Nancy · 03 72 61 04 67 WhatsApp
Cybersécurité

Après Cegedim : comment sécuriser les données patients quand on n'est pas informaticien

·Par Sébastien Rattanatay
Cabinet médical sécurisant ses données patients après l'incident Cegedim, accompagné par YSY ONE

15 millions de dossiers patients sur le dark web après l’attaque Cegedim fin 2025. Un mois plus tard, 23 000 soignants paralysés pendant une semaine quand Weda a coupé son service. Pour un médecin libéral, ces chiffres disent une chose simple : le maillon faible se cache rarement là où on le pense.

Après Cegedim, sécuriser les données patients devient un sujet de sécurité IT pour cabinets médicaux qui se joue dans votre cabinet, pas chez votre éditeur. On vous explique ce qui s’est passé, qui est responsable de quoi et les 5 actions à activer sans avoir à devenir informaticien.

Ce qui s’est passé chez Cegedim et Weda (et pourquoi ça vous concerne)

Fin 2025, le secteur médical français a vécu deux électrochocs cyber consécutifs. Aucun médecin n’a été épargné par les conséquences, même ceux qui n’utilisaient ni Cegedim ni Weda.

Anatomie de la fuite Cegedim, 1 500 médecins et 15 millions de patients

L’attaque a frappé fin 2025 et a touché 1 500 médecins généralistes utilisateurs de MonLogicielMedical, édité par Cegedim Santé. Sur les 3 800 utilisateurs de la solution en France, près de 40 % se sont retrouvés exposés. Un fichier en vente sur le dark web contenait les données administratives et médicales de 11 à 15 millions de Français selon les estimations officielles.

Le contenu a glacé la profession. Au-delà des informations administratives classiques (nom, adresse, numéro de Sécurité sociale), les commentaires libres rédigés par les médecins ont été exposés : mentions VIH, addictions, risques suicidaires, contextes familiaux sensibles. Environ 169 000 dossiers contenaient des données qualifiées de “particulièrement sensibles”.

Le groupe a notifié la CNIL et déposé plainte. Pour les médecins concernés, le mal est fait : leurs patients ont reçu des courriers expliquant que leurs données ont fuité, et la confiance en a pris un coup direct.

Weda à l’arrêt, 23 000 soignants forcés au papier pendant une semaine

Un mois plus tôt, en novembre 2025, Weda (autre éditeur majeur, filiale du groupe Vidal) a détecté une activité anormale sur des comptes utilisateurs. Le service a été coupé immédiatement par précaution. Pendant près d’une semaine, 23 000 professionnels de santé sont retournés au papier : pas d’accès aux dossiers patients, pas de télétransmission Sécurité sociale, pas de prescription numérique.

Le retour s’est fait en mode dégradé, sans création de nouveau dossier ni transmission FSE pendant plusieurs jours supplémentaires. Pire : Weda a demandé à chacun de ses clients de remplir lui-même la déclaration d’incident à la CNIL, ce qui a provoqué un tollé dans la profession.

La leçon est limpide. Dépendre d’un seul éditeur, sans plan B documenté, c’est s’exposer à une paralysie totale du cabinet en 24 heures.

Comment savoir si mon cabinet est concerné par la fuite Cegedim ?

Si vous utilisez MonLogicielMedical, Cegedim a contacté les médecins concernés. Vos patients ont aussi reçu un courrier officiel. Pour vérifier sans attendre : consultez votre messagerie professionnelle, le portail Cegedim, ou contactez directement votre éditeur. Si vous n’utilisez pas Cegedim, vous n’êtes pas concerné par cette fuite précise. Mais l’incident révèle que votre cabinet peut être la cible suivante.

Qui fait quoi entre votre éditeur et vous

C’est le point le plus mal compris dans la profession, et celui qui fait la différence entre un cabinet exposé et un cabinet protégé. Quand un éditeur subit une fuite, beaucoup de médecins concluent : “il faut changer de logiciel”. Mauvaise lecture.

Ce que votre éditeur (Doctolib, Weda, Julie) sécurise vraiment

Votre éditeur de logiciel médical (Doctolib, Weda, Cegedim, Julie pour les dentistes) gère la sécurité de son application : hébergement HDS, chiffrement des bases de données, authentification serveur, mises à jour applicatives. C’est sa responsabilité contractuelle.

Quand l’éditeur est compétent, cette couche tient. Mais elle reste limitée à son périmètre : son code, ses serveurs, son hébergement. Tout ce qui se passe en amont, chez vous, n’est pas couvert.

Ce qui reste sous votre responsabilité dans le cabinet

C’est là que le bât blesse. La majorité des incidents ne viennent pas de l’éditeur, mais du cabinet lui-même. Le cas Coaxis dans l’expertise comptable suit exactement le même schéma de dépendance à un tiers. Au cabinet, restent à votre charge :

  • Les postes de travail du secrétariat et des praticiens (antivirus, mises à jour, chiffrement disque)
  • Le réseau du cabinet : box Internet, Wi-Fi patient cloisonné, pare-feu
  • Les accès : qui se connecte avec quel mot de passe, qui a une carte CPS active, qui a quitté le cabinet sans révocation des droits
  • La sauvegarde locale des fichiers hors logiciel métier (photos, documents scannés, courriers)
  • Le télétravail et les postes nomades (tablette en salle, ordinateur du remplaçant)
  • La sensibilisation de l’équipe au phishing, par où démarrent 80 % des intrusions

L’Agence du Numérique en Santé est explicite : son directeur cybersécurité Vincent Croisile rappelle que les médecins libéraux sont autant concernés que les hôpitaux par les attaques informatiques. Le sujet a basculé du monde hospitalier vers le monde du cabinet libéral.

Mon logiciel est hébergé en HDS : suis-je couvert ?

Non. La certification HDS de votre éditeur garantit la sécurité de l’hébergement de vos dossiers patients chez lui. Elle laisse de côté votre poste de travail, votre messagerie, votre Wi-Fi cabinet et les sauvegardes locales que vous faites de votre côté. Considérez l’HDS comme un coffre-fort en banque : il sécurise ce qui est dedans, pas la rue par laquelle vous y arrivez.

5 actions concrètes à activer sans être informaticien

Bonne nouvelle pour vous : la plupart des intrusions sont stoppées par des mesures simples, peu coûteuses, qui ne demandent aucune compétence technique côté médecin. Notre approche cybersécurité repose sur cette logique : aller au plus simple et au plus impactant d’abord. Voici les 5 actions à prioriser, dans l’ordre.

1. Activer la double authentification (MFA) sur les accès critiques

C’est l’action n°1 et la moins chère. Activez la double authentification sur :

  • Votre boîte mail professionnelle (souvent oubliée, et pourtant point d’entrée privilégié)
  • Votre logiciel médical (si l’éditeur le propose)
  • Vos accès Pro Santé Connect et e-CPS
  • Votre messagerie MSSanté
  • Microsoft 365 ou Google Workspace si vous y êtes

En pratique, un mot de passe volé ne suffit plus à entrer : un code à 6 chiffres reçu sur votre smartphone est exigé. Cette seule mesure bloque la majorité des tentatives d’intrusion automatisées.

2. Tester (vraiment) la restauration de vos sauvegardes

Avoir une sauvegarde, ce n’est pas la même chose que pouvoir la restaurer. La majorité des cabinets ont une sauvegarde théorique sur un disque externe ou un NAS, mais personne ne l’a jamais restaurée. En cas de ransomware, ils découvrent au pire moment que la sauvegarde était cassée depuis 6 mois.

Bonne pratique : restaurer un fichier test une fois par mois, sauvegarde stockée hors site (cloud chiffré ou disque déconnecté), versionnée sur 30 à 90 jours pour pouvoir remonter avant l’attaque. Notre offre de sauvegarde fiable et testée inclut ces tests par défaut.

3. Cloisonner l’accès aux dossiers patients

Tous les utilisateurs n’ont pas besoin d’accéder à tous les dossiers. La secrétaire doit consulter les rendez-vous, pas les antécédents médicaux. Le remplaçant n’a accès qu’aux dossiers de son périmètre. L’ancien collaborateur doit être révoqué le jour même de son départ.

Cloisonnement = limitation des dégâts. Si un compte est compromis, l’attaquant n’accède qu’à ce que ce compte voyait.

4. Sécuriser le télétravail et les postes nomades

Les permanences à distance, les remplaçants, les médecins en télétravail multiplient les points d’entrée. Quelques règles à appliquer :

  • Pas de PC personnel pour accéder aux dossiers patients (ou alors avec une session pro cloisonnée et chiffrée)
  • Connexion VPN ou accès distant tracé, jamais de RDP exposé sur Internet
  • Verrouillage automatique du poste après 5 minutes d’inactivité

5. Former l’équipe au phishing en 30 minutes

C’est l’action que personne ne fait, et c’est celle qui change tout. 80 % des intrusions commencent par un email piégé qu’un membre de l’équipe a ouvert. 30 minutes de sensibilisation par an, avec des exemples concrets, font chuter le taux de clic sur les pièces jointes douteuses de 70 %.

Inutile d’imaginer une formation technique. L’objectif : apprendre à votre équipe à repérer un faux mail Ameli, un faux mail Doctolib, un faux mail de l’Ordre.

Ce que la loi exige vraiment côté HDS, RGPD, Ségur et Donum 2026

Le cadre réglementaire s’est durci en 3 ans. La conformité conditionne désormais une partie de votre rémunération.

Certification HDS, qui est vraiment concerné

L’HDS encadre l’hébergement de données de santé pour le compte d’autrui. Si votre logiciel est en cloud, c’est l’éditeur qui doit être certifié, pas vous. Si vous gérez votre propre serveur en local au cabinet, vous n’avez pas besoin d’être certifié HDS, mais votre obligation de sécurité reste pleine.

À noter : la certification HDS 2.0 devient obligatoire pour tous les hébergeurs au 16 mai 2026. Vérifiez que votre éditeur est en règle.

La responsabilité du médecin reste pleine et entière

Quel que soit le prestataire choisi, le médecin reste juridiquement responsable de la confidentialité, de l’intégrité et de la sécurité des données patients. La CNIL peut sanctionner jusqu’à 20 millions d’euros ou 4 % du CA mondial. Pénalement, on parle de 300 000 € d’amende et jusqu’à 5 ans de prison.

L’illustration la plus claire reste la sanction de 800 000 € infligée à Cegedim Santé pour un manquement de sécurité. Si la CNIL sanctionne un éditeur national, elle peut aussi sanctionner un cabinet de 10 personnes.

Ce que change la Donum 2026 (ex-forfait structure)

Depuis le 1er janvier 2026, la Dotation Numérique remplace l’ancien forfait structure. Jusqu’à 2 940 € par an par médecin si tous les indicateurs sont atteints. Mais ces indicateurs imposent un logiciel référencé Ségur dernière version, un LAP certifié HAS, et un usage actif des téléservices sécurisés (SESAM-Vitale, MES). Objectif d’utilisation : 60 % en 2026, 80 % en 2028.

Sans infrastructure stable, impossible d’atteindre ces seuils. La Donum devient un argument financier supplémentaire pour aligner l’IT du cabinet.

Quand passer le relais à un partenaire IT, et comment le choisir

4 signaux qui montrent qu’il est temps

  • Votre prestataire actuel met plus de 4 heures à rappeler en cas de problème
  • Vous n’avez aucune idée de qui a accès aux dossiers patients hors de l’équipe
  • Personne n’a jamais testé une restauration de sauvegarde
  • L’équipe n’a jamais reçu de formation cybersécurité

Si vous cochez 2 cases sur 4, le risque est concret. À 3 ou 4 cases, vous êtes dans la situation pré-incident des cabinets attaqués en 2024-2025.

Les questions à poser à un prestataire avant de signer

Un partenaire IT qui parle votre langue répond précisément à ces 5 questions :

  1. Avez-vous des références dans des cabinets médicaux ou MSP ?
  2. Connaissez-vous Doctolib, Weda, Julie, Cegedim ?
  3. Comment garantissez-vous le zéro impact sur les consultations pendant le déploiement ?
  4. Quel est votre délai d’intervention sur site en cas d’incident ?
  5. Quelles clauses RGPD et confidentialité sont prévues au contrat ?

Si le prestataire bafouille ou répond à côté, fuyez.

Ce qu’on regarde dans un diagnostic YSY ONE

Le diagnostic dure environ 1h, hors heures de consultation. On cartographie : postes, accès, sauvegardes, réseau, messagerie, télétravail. On détecte les failles concrètes (compte oublié d’un ancien collaborateur, sauvegarde cassée, MFA absent) et on remet un plan d’action priorisé. On ne touche ni à Doctolib ni à Weda ni à Julie. On sécurise l’environnement autour.

Les questions qui reviennent avant d’agir

Combien coûte la cybersécurité pour un cabinet de 10 personnes ?

À partir de 39 €/utilisateur/mois sur la formule Essentiel YSY ONE, 59 €/utilisateur/mois sur la formule Standard recommandée (avec EDR, sauvegarde et intervention sur site). Pour un cabinet de 10 personnes : 590 € par mois tout compris, soit moins que le coût d’une journée d’arrêt de consultations. Comparez à une amende CNIL ou à une semaine au papier comme chez Weda. Voir nos formules par utilisateur.

Le déploiement peut-il se faire sans interrompre les consultations ?

Oui, et c’est un préalable non négociable. Toutes les actions critiques (MFA, sauvegarde, supervision) se déploient en arrière-plan, sans toucher aux postes en consultation. Les interventions plus lourdes se planifient un samedi ou un mercredi après-midi, en accord avec le cabinet. Aucun jour de fermeture imposé.

Faut-il changer de logiciel médical après la fuite Cegedim ?

Pas forcément. La fuite Cegedim est une faille applicative côté éditeur. Changer de logiciel laisse votre poste, votre Wi-Fi et votre messagerie au même niveau d’exposition. Concentrez-vous sur l’infrastructure cabinet : c’est là que se jouent 80 % des incidents. Le changement de logiciel ne s’envisage que si l’éditeur ne donne aucune garantie post-incident sérieuse.

Que doit-on déclarer à la CNIL en cas d’incident ?

Toute violation susceptible d’avoir un impact sur les droits et libertés des patients doit être notifiée à la CNIL sous 72 heures. Les patients concernés doivent être informés. L’URPS Médecins Libéraux Nouvelle-Aquitaine détaille la conduite à tenir étape par étape : à imprimer et garder à portée de main au cabinet.