L'assurance cyber pour les médecins et cabinets médicaux
Les données de santé relèvent de l'article 9 du RGPD : catégorie spéciale, obligations renforcées. Une cyberattaque sur votre cabinet, c'est un risque clinique, juridique et déontologique. Inqase vous couvre.
Contexte du secteur
Un cabinet médical manipule chaque jour des données classées en catégorie spéciale par le RGPD (article 9) : antécédents, prescriptions, imagerie. Logiciel de cabinet, e-Health, télé-consultation : autant de flux exposés. Une fuite ou un ransomware paralyse votre activité et déclenche une notification à l'APD dans les 72h.
1 sur 2
PME belges déjà confrontées à un incident cyber Source · Centre pour la Cybersécurité Belgique (CCB), 2024
Article 9
RGPD : les données de santé sont en catégorie spéciale Source · Règlement (UE) 2016/679
72 h
délai légal pour notifier l'Autorité de protection des données (APD) Source · RGPD, article 33
Pourquoi les cabinets médicaux sont une cible
L’imaginaire collectif place les cyberattaques côté grandes entreprises et banques. La réalité belge est différente : les groupes criminels organisent leurs campagnes comme des chaînes de production.
Ils ne cherchent plus une « grosse prise » par an, ils cherchent des dizaines de petites structures qui paient vite. Dans cette catégorie, les cabinets médicaux cochent toutes les cases.
La valeur des données de santé
Un dossier patient complet, identité, numéro de registre national, mutuelle, antécédents, traitements, se revend bien plus cher sur les marchés noirs qu’un email ou une carte bancaire.
Ces données ne se changent pas comme un mot de passe. Elles intéressent les fraudeurs à l’assurance, les escrocs au faux médicament, et tout un écosystème de chantage personnel.
La pression à la reprise
Un cabinet qui ne peut plus consulter perd de la marge brute chaque heure, mais surtout met en risque le suivi de pathologies chroniques, le renouvellement de prescriptions, la coordination avec les hôpitaux.
Cette pression clinique est très bien comprise par les attaquants. C’est exactement le levier qu’ils exploitent.
Le niveau de maturité IT
La majorité des cabinets ne sont pas équipés comme des hôpitaux. Pas de RSSI, pas de SOC, souvent un seul prestataire externe qui gère poste, sauvegardes, accès eHealth et Wi-Fi.
Les bonnes pratiques de base, MFA sur le logiciel métier, sauvegardes testées, mises à jour, comptes administrateurs séparés, ne sont pas toujours en place. Pas par négligence : parce que la priorité du quotidien est ailleurs, voir les patients.
Le maillage avec l’écosystème de soin
Un cabinet n’est jamais isolé techniquement. Vous échangez via eHealthBox avec des confrères, déposez des prescriptions sur Recip-e, consultez le Sumehr d’un patient, communiquez avec un laboratoire ou un hôpital.
Chaque flux est un canal légitime. C’est aussi un canal qu’un attaquant qui a pris le contrôle de votre cabinet peut utiliser pour rebondir, ou piéger des destinataires de confiance avec des emails signés en votre nom.
Les attaques qu’on voit le plus chez les médecins belges
Le ransomware qui chiffre vos dossiers patients
C’est le scénario le plus visible : le logiciel de cabinet refuse de s’ouvrir, une fenêtre annonce que les fichiers sont chiffrés, un délai est donné pour payer.
Le point d’entrée typique est un email de phishing ouvert par le secrétariat, ou une connexion distante (RDP, VPN sans MFA) compromise. Une fois à l’intérieur, les attaquants se déplacent vers le serveur où tournent HealthOne, MediBank ou un autre logiciel métier, puis chiffrent ce qu’ils trouvent, y compris les sauvegardes locales mal isolées.
Le bon réflexe n’est pas de payer. C’est d’appeler immédiatement l’assistance 24/7 pour mobiliser un expert IT qui évalue si une restauration propre est possible. Aucune négociation directe : ce sont des avis techniques, pas un service de négociation de rançon.
La fuite de données patients (RGPD article 9)
Ici, l’attaquant ne se contente pas de chiffrer, il exfiltre. Il copie une partie de la base patients avant de chiffrer, puis ajoute une seconde menace : si vous ne payez pas, les données seront publiées. C’est la « double extorsion », devenue standard.
Pour un cabinet médical, les conséquences dépassent la perte de marge brute :
notifier l’APD dans 72h (article 33 RGPD)
en cas de risque élevé, informer individuellement les patients concernés (article 34 RGPD)
gérer les plaintes, les réclamations et l’éventuelle sanction APD
La qualité de cette notification, son timing, sa précision, les mesures proposées, joue énormément sur la suite.
Le faux email « INAMI » ou « Ordre »
Les fraudes ciblées exploitent la confiance institutionnelle.
email imité de l’INAMI demandant la mise à jour d’un IBAN
email signé « Ordre des médecins » exigeant le paiement d’une cotisation fictive
email d’un faux confrère demandant un avis sur un dossier en pièce jointe, pièce piégée
Ces attaques visent souvent le secrétariat plutôt que le médecin. Elles passent rarement par de la haute technicité : elles passent par de l’ingénierie sociale bien faite. La sous-limite cyber-fraude du contrat est de 50 000 €, à condition d’avoir déposé plainte dans les 24 heures.
La compromission d’un accès distant
Depuis la généralisation de la télé-consultation, beaucoup de cabinets ont ajouté des outils : plateforme de visio, accès à distance au logiciel métier depuis le domicile, smartphones avec accès aux agendas.
Chaque accès distant est une porte d’entrée si l’authentification se limite à un identifiant et un mot de passe. Quand un identifiant fuite sur le dark web, parce que le médecin l’avait réutilisé sur un autre service, l’attaquant entre sans bruit, lit, exfiltre, parfois modifie.
La mise en place de la MFA sur eHealth, le logiciel métier et la messagerie réduit drastiquement ce risque. C’est aussi un point que tout assureur cyber regarde aujourd’hui.
Comment Inqase intervient si ça vous arrive
Le réflexe quand un cabinet est touché, c’est d’appeler le prestataire IT habituel. C’est utile, mais ça ne suffit pas.
Un incident sur des données de santé déclenche en parallèle :
une horloge juridique de 72 heures (notification APD)
une obligation déontologique (information patient, secret médical)
un risque de réputation qui se joue en quelques jours
Trois métiers mobilisables en parallèle
L’assistance 24/7 réunit trois compétences, dans la limite globale de 15 000 € par année :
Expert IT pour contenir l’attaque et restaurer ce qui peut l’être (jusqu’à 1 000 € de réparation immédiate)
Avocat spécialisé RGPD pour la notification APD et la coordination déontologique
Conseil en communication de crise pour les patients, les confrères, parfois la presse
L’objectif est concret : que vous puissiez continuer à voir vos patients pendant que la crise est traitée.
Le secret médical respecté à chaque étape
Les analyses techniques portent sur les logs et les flux, pas sur le contenu clinique. L’avocat vous assiste sur la procédure sans accéder aux dossiers patients.
Si une consultation technique de données médicales s’avère strictement indispensable, elle est encadrée et tracée.
Perte d’exploitation calculée sur la marge brute
L’indemnisation tient compte de votre marge brute, pas du chiffre d’affaires. La franchise temporelle dépend de la formule choisie : elle n’est pas universelle, elle est précisée à la souscription.
Combien ça coûte et délai
Le coût dépend de quelques variables simples :
votre chiffre d’affaires annuel
le nombre de patients actifs
le logiciel métier utilisé
l’état de vos mesures de sécurité de base (MFA, sauvegardes testées, mises à jour)
Pour un médecin solo, l’ordre de grandeur reste modeste par rapport à la valeur protégée : un seul incident sérieux dépasse largement plusieurs années de prime. Pour un cabinet de 2 à 5 médecins, le coût se mutualise.
Côté délai : Inqase travaille en 24 à 48 heures à partir d’un premier échange. Pas de questionnaire fleuve, pas d’audit invasif. L’objectif est un devis lisible, qui distingue clairement ce qui est couvert, les sous-limites, et les conditions de mise en jeu.
Données
Ransomware sur les dossiers patients
Le scénario
Un lundi matin, le logiciel de cabinet ne s'ouvre plus. Une note exige une rançon en cryptomonnaie pour récupérer l'accès aux dossiers, aux agendas et aux résultats d'examens.
Ce qui est pris en charge
Assistance 24/7 sans franchise : expert IT (jusqu'à 1 000 € de réparation immédiate), avocat et conseil en communication de crise
Avis d'expert IT sur les options techniques avant toute décision de paiement
Paiement éventuel de la rançon uniquement avec accord écrit préalable de l'assureur et d'un mandataire social, après avis d'expert IT
Perte d'exploitation indemnisée sur base de la marge brute, selon la franchise temporelle de votre formule
Frais de récupération des données et d'améliorations de sécurité plafonnés à 10 000 €
À savoir
Aucune négociation de rançon par Inqase : ce sont des avis d'expert IT, pas un service de négociation
Exclusions classiques : cyber-guerre, faute intentionnelle, passé connu, sanctions
RGPD
Fuite de données patients (RGPD article 9)
Le scénario
Un pirate exfiltre une partie de votre base patients, identités, pathologies, traitements, et menace de la publier. Vos patients commencent à recevoir des emails de chantage.
Ce qui est pris en charge
Notification à l'APD dans les 72 heures (article 33 RGPD) accompagnée par un avocat spécialisé
Call center pour répondre aux questions des patients concernés
Identity monitoring proposé aux personnes exposées, jusqu'à 12 mois
Défense face aux plaintes et amendes administratives, dans la mesure où elles sont assurables
À savoir
Le caractère assurable des amendes RGPD dépend de l'ordre public applicable
L'obligation de notifier subsiste même si l'attaque est endiguée rapidement
Fraude
Faux email « INAMI » ou « Ordre des médecins »
Le scénario
Le secrétariat reçoit un email très bien imité de l'INAMI ou de l'Ordre, demandant la mise à jour d'un IBAN ou le paiement urgent d'une cotisation. Le virement part vers un compte frauduleux.
Ce qui est pris en charge
Indemnisation du préjudice financier dans la limite de la sous-limite cyber-fraude de 50 000 €
Avocat pris en charge dans le cadre de l'assistance 24/7
Analyse pour vérifier si la boîte mail du cabinet a été compromise plus largement
Plainte à déposer dans les 24 heures comme condition de prise en charge
À savoir
Sous-limite contractuelle de 50 000 € pour la cyber-fraude
Fraude commise par le mandataire social exclue, comme les paiements en cryptomonnaies
Accès
Compromission d'un accès distant ou de la télé-consultation
Le scénario
Un identifiant de télé-consultation ou un VPN du cabinet est récupéré sur le dark web. Un tiers se connecte de nuit, consulte des dossiers et tente de modifier des prescriptions Recip-e.
Ce qui est pris en charge
Expert IT mobilisé via l'assistance 24/7 pour déterminer le périmètre exact des dossiers consultés
Coupure et reconfiguration des accès, accompagnement vers une authentification forte (MFA) sur eHealth et logiciel métier
Avocat pour préparer la notification APD et l'information éventuelle des patients (article 34 RGPD si risque élevé)
Frais d'amélioration de sécurité plafonnés à 10 000 € pour éviter la récidive
À savoir
Une déclaration inexacte sur les mesures de sécurité de base peut réduire la prise en charge
Les actes médicaux frauduleux relèvent de la RC professionnelle, pas du contrat cyber
Ce qui est couvert pour vous en tant que Cabinet médical
Assistance 24/7 sans franchise, plafonnée à 15 000 € par an
Trois métiers mobilisables à tout moment : expert IT, avocat, communication de crise. La prise d'appel est immédiate, sans franchise, dans la limite globale de 15 000 € par année d'assurance.
Notification APD et patients prises en charge
L'avocat prépare la notification à l'Autorité de protection des données dans les 72 heures et, si l'article 34 RGPD s'applique, l'information individuelle des patients concernés.
Identity monitoring jusqu'à 12 mois
En cas de fuite confirmée, un service de surveillance d'identité peut être proposé aux patients exposés, pour une durée maximale de 12 mois.
Conformité article 9 du RGPD
Les juristes mobilisés connaissent le régime spécifique des données de santé : ce ne sont pas les mêmes obligations qu'une fuite chez un e-commerçant.
Respect du secret médical pendant l'enquête
Les analyses techniques portent sur les logs et flux, pas sur le contenu clinique. L'avocat vous accompagne sans accéder aux dossiers patients eux-mêmes.
Cyber, pas RC professionnelle médicale
Le contrat couvre l'incident informatique : restauration, perte d'exploitation, RGPD, fraude. Il ne remplace pas votre RC pro, qui reste indispensable pour la faute médicale.
Questions fréquentes pour Cabinet médical
Et si je dois prévenir mes patients d'une fuite ?
Quand le risque pour les droits et libertés des personnes est élevé, l'article 34 du RGPD impose une information individuelle des personnes concernées, c'est fréquemment le cas pour des données de santé. L'avocat mobilisé via l'assistance 24/7 rédige les courriers, organise un call center pour répondre aux questions, et déclenche l'identity monitoring (jusqu'à 12 mois) si pertinent. L'objectif est de gérer cette étape avec la même rigueur que vous appliquez à une annonce difficile : structurée, sans cacher l'incident.
Le secret médical est-il compatible avec une enquête sinistre ?
Oui. L'expert IT mobilisé via Inqase travaille sur les logs, les flux réseau et les fichiers techniques, pas sur le contenu clinique des dossiers patients. L'avocat vous assiste sur la procédure RGPD et déontologique sans avoir besoin d'accéder lui-même aux données médicales. Si une consultation technique de données médicales s'avère strictement indispensable, elle est encadrée et tracée. L'Ordre des médecins peut être informé de la démarche.
Ma RC professionnelle médicale ne couvre-t-elle pas déjà la cyber ?
Non, et c'est une confusion fréquente. La RC professionnelle médicale couvre les dommages causés à un patient par une faute médicale, diagnostic, geste, prescription. L'assurance cyber couvre l'incident informatique lui-même : restauration des systèmes, perte d'exploitation sur base de la marge brute, notification RGPD, défense face à l'APD, gestion de crise. Les deux contrats se complètent, ils ne se remplacent pas. Inqase ne remplace pas votre RC pro.
Combien ça coûte pour un médecin solo ?
Pour un médecin libéral en pratique solo en Belgique, le tarif dépend du chiffre d'affaires, du volume de patients actifs, du logiciel métier utilisé et des mesures de sécurité déjà en place (MFA sur eHealth, sauvegardes testées). Inqase fournit un devis personnalisé sous 24 à 48 heures après un échange court : pas de questionnaire fleuve, pas d'audit invasif.
