Ransomware sur un cabinet médical : scénario, coûts et recours
Un email, un clic, et l’ensemble des dossiers patients devient inaccessible. Pour un médecin, c’est une crise simultanément technique, médicale et juridique. Voici comment ça se passe concrètement — heure par heure.
partiel d’activité
la CNIL
cabinet 3 praticiens
Scénario type : une attaque ransomware, heure par heure
Ce scénario est une reconstitution basée sur des cas documentés en France entre 2022 et 2025. Les noms sont fictifs. Les faits sont représentatifs.
Cabinet médical Lefebvre — 3 généralistes associés, Lyon. Mardi matin.
L’email de la « CPAM »
Marie, la secrétaire médicale, arrive la première. Elle trouve un email de la « CPAM » demandant de mettre à jour les coordonnées bancaires du cabinet pour le prochain virement de remboursements. L’email est parfaitement formaté. Elle clique sur le lien et saisit ses identifiants sur ce qui ressemble au portail CPAM habituel.
L’installation silencieuse
En arrière-plan, un malware s’installe sur le poste de Marie. Il cartographie le réseau du cabinet, identifie le serveur hébergeant le logiciel médical et les sauvegardes locales. Les trois associés arrivent progressivement.
Le chiffrement commence
Le ransomware commence à chiffrer les fichiers du serveur. Les dossiers patients, les ordonnances archivées, la comptabilité du cabinet — tout devient inaccessible en quelques minutes. Les sauvegardes locales connectées au réseau sont chiffrées en même temps.
Le message de rançon s’affiche
Sur tous les écrans : « Vos fichiers sont chiffrés. Payez 45 000 € en bitcoin avant 72h. » Le Dr Lefebvre est en consultation avec son premier patient. Marie l’interrompt. La journée de 52 consultations prévues ne pourra pas se dérouler normalement.
Les premières décisions sous pression
Le Dr Lefebvre coupe internet et isole les postes du réseau. Il appelle son prestataire informatique habituel — indisponible avant jeudi. Il appelle son assurance professionnelle — la RC Pro ne couvre pas les cyberattaques. Les consultations du matin se poursuivent sans accès aux dossiers.
L’évaluation des dégâts
Un prestataire spécialisé en réponse à incident est mandaté. Diagnostic : logiciel médical inaccessible, 4 200 dossiers patients chiffrés, sauvegardes locales perdues. Une seule sauvegarde externe existe — elle date de 8 jours. Le cabinet a perdu 8 jours de mises à jour des dossiers.
L’obligation CNIL — délai critique
Des données de santé de 4 200 patients sont compromises. L’avocat contacté confirme : notification CNIL obligatoire dans les 72h. Le Dr Lefebvre doit également évaluer si les 4 200 patients doivent être informés individuellement. La décision est difficile — et coûteuse.
Ne pas payer — reconstruire
L’expert cybersécurité déconseille le paiement. Décision : restaurer depuis la sauvegarde externe et reconstruire manuellement les 8 jours manquants depuis les feuilles de soins papier. Processus estimé à 3 semaines de travail supplémentaire pour toute l’équipe.
Reprise progressive
Le logiciel médical est restauré avec les données récupérées. Les dossiers sont à nouveau accessibles mais incomplets pour certains patients. Deux patients ont contacté le cabinet après avoir reçu la notification de violation de leurs données — avec une incompréhension et une méfiance que le Dr Lefebvre devra gérer dans le temps.
Le détail des coûts réels
Ce que l’assurance cyber aurait couvert
Cellule de crise immédiate — pas d’attente de jeudi : un expert mandaté dès le premier appel, dans les 2 heures.
Prestataire réponse à incident — les 14 000 € couverts intégralement.
Perte d’exploitation — les 28 000 € de CA perdu compensés après délai de carence.
Accompagnement RGPD santé — juriste spécialisé santé pour la notification CNIL et la procédure patients, frais pris en charge.
La surcharge de travail : les 3 semaines de reconstruction manuelle ne sont pas indemnisées.
L’impact réputationnel : la méfiance des patients qui ont reçu la notification de violation ne se chiffre pas.
Les données définitivement perdues : les 8 jours de mises à jour de dossiers ne sont pas récupérables.
Les recours légaux après l’attaque
- Dépôt de plainte à la police ou gendarmerie — obligatoire pour certains contrats d’assurance et pour l’enquête
- Signalement sur cybermalveillance.gouv.fr — plateforme nationale gratuite d’aide aux victimes
- Notification CNIL dans les 72h — via notifications.cnil.fr
- Information des patients si risque élevé pour leurs données — voir notre guide RGPD données de santé
- Conservation des preuves — ne pas réinstaller avant d’avoir sauvegardé les logs pour l’investigation
5 mesures qui auraient changé l’issue
- Sauvegarde externe quotidienne non connectée — restauration en quelques heures au lieu de semaines
- Double authentification sur le portail de messagerie — le phishing CPAM n’aurait pas fonctionné
- Formation annuelle de la secrétaire au phishing — reconnaissance des emails frauduleux
- Réseau WiFi séparé pour les équipements connectés — isolation des appareils médicaux
- Contrat cyber avec cellule de crise santé — ne pas découvrir au moment de l’attaque que la RC Pro ne couvre rien
Les ransomwares actuels utilisent des algorithmes de chiffrement standards. Dans quelques années, des variantes post-quantiques pourraient rendre la récupération sans clé définitivement impossible. Pour un cabinet qui archive des dossiers patients sur 20 ans, anticiper la migration vers des standards post-quantiques est une décision à prendre dès maintenant. En savoir plus →
Connaissez-vous tous les risques de votre cabinet ?
Ransomware, phishing, violation RGPD — état des lieux complet des cybermenaces pour les professionnels de santé.