Pourquoi les cabinets médicaux sont ciblés

Les données de santé sont les plus chères du marché noir : 10 à 100 fois plus que les données bancaires. Un cabinet médical traite des dossiers patients, des prescriptions, des prélèvements de santé. Un ransomware peut paralyser totalement un cabinet pendant des semaines (cas réels en France en 2023-2025).

Le secret médical est par ailleurs juridiquement encadré : une fuite expose à des sanctions pénales en plus des sanctions RGPD.

Les 7 règles de base

1. Les comptes nominatifs

Chaque praticien et secrétaire a son compte avec son identifiant. Aucun « compte cabinet » partagé. Cela permet la traçabilité (qui a consulté quel dossier).

2. Le MFA partout

Logiciel métier (Doctolib Pro, MaiiaCare, AlloDocteurs, etc.), boîtes mail, accès au SI. Le MFA est désormais demandé par la HAS dans les recommandations sécurité.

3. Les sauvegardes ransomware-proof

Trois copies, deux supports différents, une hors site. Sauvegarde quotidienne automatique vers un cloud séparé (Akeneo Health, Hexalink Santé). Ne jamais avoir un seul disque de sauvegarde branché en permanence (le ransomware le chiffre aussi).

4. La séparation des réseaux

Le Wi-Fi patients (salle d'attente) doit être séparé du Wi-Fi cabinet. Réseau invité distinct, sans accès au SI. Sinon, un patient malveillant peut scanner votre réseau pendant qu'il attend.

5. La messagerie sécurisée santé (MSSanté)

Tout échange de donnée patient avec un confrère ou un laboratoire passe par MSSanté, jamais par mail classique. C'est gratuit, c'est obligatoire RGPD, et c'est documenté sur esante.gouv.fr.

6. Le chiffrement des laptops

Tout laptop qui sort du cabinet (déplacement, télétravail) doit être chiffré (BitLocker sur Windows, FileVault sur Mac). Si le laptop est volé dans la voiture en stationnement, les données restent inaccessibles.

7. La procédure incident

Si un incident survient (intrusion, ransomware, vol de laptop) : 72h pour notifier la CNIL, et information des patients si la fuite est confirmée. Préparez à l'avance le canevas de notification.

Le DPO mutualisé

Pour un petit cabinet, le DPO interne n'est pas nécessaire mais le référent oui. Les CPAM ou les URPS proposent souvent un DPO mutualisé à coût mutualisé (entre 50 et 200 €/mois). Vérifiez les offres dans votre département.

La cybersécurité Ségur

Depuis 2022, l'État finance la mise à niveau cyber des cabinets médicaux via le programme Ségur. Audit gratuit, équipement subventionné, formation prise en charge. Renseignez-vous auprès de votre URPS ou de votre éditeur de logiciel métier.

En cas de ransomware

• Débrancher tous les postes du réseau (couper le Wi-Fi cabinet)
• Ne payer jamais (90 % des cabinets qui paient ne récupèrent que partiellement)
• Appeler immédiatement le CERT-Santé (numéro à conserver au cabinet : sur cyberveille-sante.gouv.fr)
• Notifier l'ARS et la CNIL dans les 72h
• Avoir un plan de continuité : possibilité de prendre les patients en consultation papier le temps de la restauration

Le coût moyen d'un ransomware sur cabinet médical

Selon le Health Data Hub et l'ANSSI : entre 25 k€ et 200 k€ par incident, hors préjudice de réputation. À comparer au coût annuel d'une cybersécurité correcte : entre 2 et 8 k€/an pour un cabinet de 3 à 10 praticiens.