Cybersécurité cabinet médical : les risques réels en 2026
Un dossier médical vaut cent fois plus qu’un numéro de carte bancaire sur les marchés clandestins. Les cabinets médicaux sont l’une des cibles prioritaires des cybercriminels en France — et les plus mal préparés. Voici pourquoi et ce que ça implique concrètement.
Pourquoi les cabinets médicaux sont des cibles prioritaires
Les cybercriminels appliquent une logique économique simple : ils s’attaquent là où le rapport entre la valeur des données et la faiblesse des défenses est le plus favorable. Les cabinets médicaux cochent toutes ces cases.
Un dossier médical complet — antécédents, traitements, diagnostics, données d’identité — peut se revendre entre 100 et 1 000 euros sur les marchés clandestins. À titre de comparaison, un numéro de carte bancaire vaut 1 à 5 euros. La rentabilité d’une attaque réussie sur un cabinet médical est sans commune mesure.
Le secteur de la santé représente l’une des cibles les plus attaquées en France selon les rapports annuels de l’ANSSI. Les hôpitaux font les manchettes, mais les cabinets libéraux — moins visibles, moins protégés — sont proportionnellement encore plus exposés. Un cabinet de médecin généraliste gère en moyenne les données de 2 000 à 5 000 patients.
Les données sensibles d’un cabinet médical
Avant d’évaluer les risques, il faut mesurer ce qu’un cabinet détient réellement comme données. La liste est plus longue que la plupart des praticiens ne l’imaginent.
| Type de données | Où elles se trouvent | Valeur pour un attaquant |
|---|---|---|
| Dossiers patients | Logiciel médical, serveur, cloud | Très élevée — revente, chantage |
| Ordonnances et prescriptions | Logiciel de prescription, emails | Élevée — fraude médicamenteuse |
| Données bancaires patients | Terminal de paiement, comptabilité | Élevée — fraude financière |
| Numéros de sécurité sociale | Logiciel de facturation CPAM | Très élevée — usurpation d’identité |
| Données de santé spécialisées | Logiciel spécialiste, imagerie | Très élevée — chantage au patient |
| Identifiants de connexion | Ordinateur, messagerie sécurisée | Critique — accès à tout le cabinet |
Les 4 scénarios d’attaque les plus fréquents
1. Le ransomware sur le logiciel médical
C’est l’attaque la plus fréquente et la plus paralysante. Le logiciel de gestion des dossiers patients est chiffré intégralement. Le médecin ne peut plus accéder aux antécédents, aux ordonnances en cours ni aux résultats d’examens. Les consultations s’enchaînent sans les informations nécessaires — ou s’arrêtent.
Un cabinet de médecine générale de 3 associés à Bordeaux découvre un lundi matin que son logiciel médical est inaccessible. Message sur l’écran : les données sont chiffrées, rançon de 35 000 € demandée. Les 47 consultations de la journée sont assurées sans accès aux dossiers. Les 3 semaines suivantes se font avec des dossiers papier de substitution. Coût total : 62 000 €, dont 18 000 € de prestataire informatique et 44 000 € de pertes d’exploitation.
2. Le phishing via les organismes de santé
Les secrétaires médicales et assistantes reçoivent quotidiennement des emails de laboratoires, de mutuelles, de la CPAM, de l’Ordre. Des emails frauduleux imitant parfaitement ces expéditeurs peuvent conduire au téléchargement d’un malware ou à la saisie d’identifiants sur un faux portail. Une seule ouverture suffit.
Depuis 2024, ces attaques intègrent des éléments personnalisés générés par IA — nom du praticien, numéro RPPS, adresse exacte du cabinet — rendant la détection encore plus difficile.
3. La violation de données sans attaque visible
Toutes les violations ne sont pas spectaculaires. La perte d’un ordinateur portable contenant des dossiers patients, un accès non sécurisé via un prestataire informatique, une erreur d’envoi de résultats par email — ce sont des violations de données au sens du RGPD qui déclenchent les mêmes obligations légales qu’un ransomware.
4. L’attaque via les équipements médicaux connectés
Les appareils d’échographie, les électrocardiographes connectés, les tensiomètres WiFi — tout équipement connecté au réseau du cabinet est un point d’entrée potentiel. Ces appareils sont rarement mis à jour et souvent mal isolés du reste du réseau.
Les périodes de forte activité — rentrée de septembre, épidémies hivernales, rattrapages de novembre — sont les moments les plus ciblés. Les équipes sont sous pression, les volumes de patients augmentent, la vigilance diminue. C’est précisément ce que les attaquants attendent.
Les obligations légales spécifiques au secteur
Les cabinets médicaux sont soumis à un cadre réglementaire plus strict que la plupart des autres PME. Trois régimes s’appliquent simultanément.
- RGPD — données de santé (catégorie spéciale) : notification CNIL dans les 72h en cas de violation, information des patients concernés, sanctions jusqu’à 4% du CA annuel
- Code de déontologie médicale : obligation de confidentialité des données patients, responsabilité disciplinaire devant l’Ordre en cas de négligence avérée
- Exigences ANS : l’Agence du Numérique en Santé impose des exigences de sécurité sur les logiciels médicaux — les praticiens ont une responsabilité dans le choix et la maintenance de leurs outils
Notre guide dédié au RGPD et données de santé détaille ces obligations et leurs implications concrètes en cas d’incident.
Diagnostic rapide : votre cabinet est-il exposé ?
- Votre logiciel médical est-il hébergé en local ou en cloud ? Les deux ont des risques spécifiques — local : sauvegarde souvent insuffisante. Cloud : exposition si les identifiants sont volés.
- Vos sauvegardes sont-elles hors réseau et testées régulièrement ? Une sauvegarde sur le même réseau est chiffrée en même temps que les données principales lors d’un ransomware.
- Votre secrétaire a-t-elle reçu une formation au phishing ? Elle est le point d’entrée le plus fréquemment exploité.
- Vos équipements médicaux connectés sont-ils isolés du reste du réseau ? Un réseau WiFi séparé pour les appareils médicaux est une mesure de base souvent négligée.
- Votre assurance professionnelle couvre-t-elle une cyberattaque ? Dans la quasi-totalité des cas, non. Voir notre guide assurance cyber pour cabinet médical.
Les données médicales ont une durée de vie exceptionnellement longue — un dossier patient peut être conservé 20 à 30 ans. Le scénario « harvest now, decrypt later » est particulièrement préoccupant pour ce secteur : des données volées aujourd’hui pourront être déchiffrées par les ordinateurs quantiques dans quelques années, exposant des informations médicales très personnelles avec un délai considérable.
Un ransomware sur votre cabinet : que se passe-t-il vraiment ?
Scénario heure par heure, coûts réels et ce que l’assurance prend en charge pour un cabinet médical.