L'assurance cyber, une première pour les hôpitaux belges

En 2022, 11% des hôpitaux belges ont connu un cyberincident. Ces attaques s'accompagnent de reports de consultations et d'interventions, et nécessitent une gestion de crise. Avec la venue de la loi NIS 2, qui vise à renforcer la cybersécurité des opérateurs de services essentiels (dont les hôpitaux font partie), les hôpitaux doivent renforcer leurs mesures de cybersécurité, de gestion des incidents, sous peine d'amendes dès janvier 2026. Amma assurances et Relyens lancent donc leur produit au moment opportun. "Le risque cyber n'est pas un risque inhérent à la France ou à la Belgique. C'est un risque européen, international. L'objectif de ce partenariat est d'associer les expertises pour se prémunir contre les dangers cyber", explique Dominique Godet, directeur général de Relyens. Frédéric Melle ajoute: "Depuis plusieurs années, les cyber- attaques sont devenues l'un des risques les plus importants pour les hôpitaux. En quelques secondes, le système informatique peut être paralysé, et, avec lui, tous les équipements médicaux connectés. C'est une véritable situation de crise, qui coûte de l'argent. Nous proposons une assurance cyber, avec une assistance immédiate grâce à une équipe multidisciplinaire composée d'informaticiens, d'experts en gestion des risques et en communication de crise.""Notre objectif porte sur trois axes prioritaires: la gestion du risque médical, la gestion du risque cyber et l'assurance", explique Dominique Godet. "La prévention et la maîtrise des risques autour des services de santé est un sujet de premier plan en Europe."Concrètement, Amma assurances et Relyens proposent trois types de couverture. D'abord, la prise en charge des frais d'assistance générés par l'attaque (honoraires d'experts et consultants engagés, frais de défense et formalités). Frédéric Melle détaille. "Il est très important que nous soyons présents tôt dans le processus de mise en place d'une stratégie cyber. Plus tôt nous sommes présents, mieux nous pouvons accompagner une crise. Nous proposons d'ailleurs de défranchiser les quatre premiers jours d'une intervention pour que les hôpitaux puissent nous appeler pour des cas de suspicion."Ensuite, les dommages immatériels et matériels (remise en état des données et logiciels), en ce compris les pertes d'exploitations engendrées par le ralentissement ou l'arrêt de l'activité hospitalière. "Il faut limiter le risque et les dommages potentiels. On sera notamment attentif aux données logicielles - la remise en état des données ou d'un logiciel peut s'avérer extrêmement coûteuse en termes de temps et d'argent -, à l'installation téléphonique et toutes les pertes d'exploitation", ajoute le Chief Product Officer. Enfin, dernier élément de la couverture: la responsabilité civile. "Quelles sont les responsabilités de l'hôpital si des données confidentielles sont atteintes? Jusqu'il y a peu, ce n'était pas clair, malgré le RGPD. Mais avec NIS-2, il y a désormais un cadre." En cas de non-conformité à NIS-2, les entités essentielles pourront écoper d'une amende allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires. NIS-2 est déjà d'application, mais les hôpitaux ont jusqu'au 1er janvier 2026 pour s'y conformer. Cette date passée, ils seront passibles d'amende. Certains directeurs hospitaliers estiment qu'investir dans une politique cyber est coûteux. Le jeu en vaut-il la chandelle? "Nous avons l'expérience d'hôpitaux qui ont été attaqués", répond Dominique Gobet. "Il faut considérer cette offre comme une assurance, mais aussi comme une prévention. C'est un investissement. Toutes les entreprises investissent dans la cybersécurité. Les hôpitaux n'y échapperont pas. Un cyberincident peut coûter des millions d'euros, mais aussi fatiguer le personnel et ralentir durablement l'activité."Un mot prévaut pour Frédéric Melle: prévenir vaut mieux que guérir, surtout quand il y a de l'argent en jeu. "Cette assurance est plus qu'une assurance, c'est un investissement. Tous les hôpitaux seront confrontés à des cyberincidents. Préféreriez-vous perdre des millions à cause de cela, ou investir pour minimiser les pertes? Nous permettons aux hôpitaux de mieux gérer les risques, d'avoir une meilleur hygiène cyber, grâce à une approche préventive, à une offre construite sur mesure. Nous sommes conscients que tous les hôpitaux ne disposent pas des mêmes moyens face aux risques."Amma et Relyens ont d'ailleurs élaboré un questionnaire afin de garantir l'assurabilité d'un hôpital. "Ce questionnaire permet de voir si l'hôpital est assurable, mais il a aussi pour objectif d'accompagner l'hôpital, de détecter les points d'amélioration. Si un hôpital n'est pas assurable, il saura quoi mettre en place pour le devenir, et pour être conforme aux prescrits légaux."