Les hôpitaux belges peuvent désormais s’assurer contre la cybercriminalité. Amma et Relyens leur proposent une offre sur mesure pour les aider à faire face au risque cyber. Cette assurance ne couvre pas le remboursement des rançons, mais les frais d’assistance, les dommages, les pertes d’exploitation et la responsabilité civile.
La cyberprotection est une priorité des gestionnaires hospitaliers. Outre les mesures de prévention et de protection qui peuvent être prises en interne, il est indispensable d’être accompagné par des sociétés spécialisées lorsqu’une attaque informatique survient. Depuis près de deux ans, Amma et Relyens préparent une offre d’assurance pour répondre aux demandes des hôpitaux.
« Nous mettons à la disposition de nos clients une assistance immédiate avec une équipe multidisciplinaire, composée notamment d’informaticiens, d’experts en gestion des risques et en communication de crise », précise Frédéric Melle, chief product officer chez Amma.
Cette assurance cyber couvre la prise en charge des frais d’assistance générés par l’attaque (honoraires d’experts et consultants engagés, frais de défense et formalités), les dommages immatériels et matériels (remise en état des données et logiciels), y compris les pertes d’exploitation engendrées par le ralentissement ou l’arrêt de l’activité hospitalière, ainsi que la couverture de la responsabilité civile.
« Cette offre ne couvre pas les montants des rançons qui sont réclamées par les pirates informatiques, car cela pourrait avoir un effet d’appel auprès des hackers », précise Frédéric Melle. « En outre, lorsqu’un hôpital récupère des données après avoir payé une rançon, il ne sait pas si ces données ont été altérées. Il court donc un risque en les récupérant. »
Conditions d’assurabilité
Cette assurance est-elle abordable – tant sur le plan financier que par rapport aux conditions à respecter pour pouvoir s’assurer – pour des institutions dont les finances sont déjà sous pression ?
« Nous avons rédigé un questionnaire qui est soumis à l’hôpital pour vérifier s’il est assurable en cybercriminalité », explique Frédéric Melle.
Quant au coût de la prime d’assurance, « il s’agit d’une offre sur mesure en fonction de l’audit cyber qui est réalisé », ajoute Dominique Godet, directeur général de Relyens, acteur européen de référence en assurance et gestion des risques dans les secteurs médical et hospitalier. « Nous sommes des entreprises mutuellistes qui ne doivent pas offrir des dividendes à des actionnaires. Notre approche est différente. Depuis 100 ans, Relyens est engagé aux côtés des acteurs de l’intérêt général. Par exemple, le président du CA de Relyens est le directeur général du CHU de Saint-Étienne. Nous voulons apporter de la valeur et des solutions pour garantir la sécurité des patients. Nos objectifs vont au-delà de la rentabilité. Nous partageons ces valeurs avec Amma. »
« En fonction de la taille de l’hôpital et de son degré de maturité en cybersécurité, les primes pour notre assurance peuvent s’élever de plusieurs dizaines à quelques centaines de milliers d’euros par an pour une couverture qui peut atteindre plusieurs millions d’euros », précise Frédéric Melle.
Amendes et risques financiers
Pour rappel, la loi NIS2 du 26 avril 2024 impose un certain nombre d’obligations aux entités essentielles que sont les hôpitaux. Il s’agit notamment des mesures de gestion des risques de cybersécurité, de la notification des incidents significatifs, de l’enregistrement et de la collaboration avec les autorités. En cas d’infraction à cette réglementation, des amendes pouvant s’élever entre 500 000 et 10 millions d’euros ou 2 % du chiffre d’affaires annuel peuvent être réclamées aux hôpitaux. On comprend que les dirigeants hospitaliers essaient de réduire au maximum les risques financiers liés à la cybercriminalité, quitte à souscrire une assurance.
Assurance individuelle
Amma ne propose actuellement pas d’assurance cyber pour les prestataires de soins qui voudraient s’assurer à titre individuel. Plusieurs compagnies (Axa, Ethias…) assurent les PME contre les menaces informatiques.
Notre grande enquête sur la cybersécurité dans les soins de santé a montré que seulement 6 % des 903 répondants (médecins et pharmaciens) ont souscrit une assurance cybersécurité l’année passée. Sous-estiment-ils la menace ou misent-ils tout sur la sécurisation informatique ?