Cybersécurité pour les cabinets médicaux
Les cabinets médicaux sont devenus l'une des cibles favorites des cybercriminels. Médecins généralistes, dentistes, kinésithérapeutes, ostéopathes, sages-femmes, infirmiers libéraux, pharmacies, paramédicaux : aucune profession de santé libérale n'est épargnée. La raison est simple, les données de santé se revendent à prix d'or sur les marchés clandestins, et la dépendance totale du cabinet à son logiciel patient rend une attaque immédiatement paralysante. KERIONIS accompagne les professionnels de santé libéraux d'Ille-et-Vilaine et de Bretagne dans une démarche de cybersécurité pragmatique pour PME et collectivités, adaptée à la réalité d'un cabinet, sans jargon technique et sans surdimensionner.
Votre cabinet face aux cybermenaces, parlons-en
Que vous soyez médecin seul, dentiste en cabinet de groupe, kinésithérapeute installé en libéral ou pharmacien d'officine, 45 minutes d'échange permettent de qualifier votre situation, d'identifier les priorités concrètes et de mesurer ce qui doit être traité en urgence.
Sans engagement, sans pression commerciale, sans démarche standardisée appliquée à votre cabinet.
Pourquoi les cabinets médicaux sont ciblés
Les attaques contre les cabinets médicaux ne sont pas le fruit du hasard. Trois facteurs précis font des libéraux de santé des cibles particulièrement attractives.
Des données qui se vendent cher
Un dossier patient complet se négocie entre 100 et 1 000 dollars sur les marchés clandestins, soit jusqu'à vingt fois plus qu'une donnée bancaire. La raison : un dossier médical contient nom, adresse, numéro de sécurité sociale, antécédents, traitements, parfois identifiants de remboursement. C'est une identité complète exploitable pour fraude médicale, ouverture de comptes frauduleux, ou chantage direct au patient. Face à cette valeur, les cabinets médicaux sont devenus une priorité claire pour les groupes cybercriminels organisés.
Une dépendance totale au logiciel métier
Un cabinet sans accès à son logiciel de gestion patient (Weda, Hellodoc, Maincare, Almapro, Médimust, Logos, Logimedic, et d'autres) ne peut littéralement plus exercer. Plus de planning, plus de dossiers, plus d'ordonnances, plus de facturation, plus de télétransmission CPAM. Les attaquants le savent : ils ciblent en priorité le serveur du logiciel patient ou les postes qui y accèdent, parce qu'ils savent que le cabinet sera prêt à payer rapidement pour récupérer l'accès.
Une cybersécurité souvent reléguée
La majorité des cabinets libéraux n'ont pas de référent informatique interne, pas de budget IT clairement identifié, et reposent sur un installateur de logiciel patient qui n'est pas un spécialiste cybersécurité. Les sauvegardes sont souvent sur un disque externe oublié sur le bureau, les mots de passe sont partagés entre praticien et secrétaire, et la mise à jour du système d'exploitation est repoussée "parce qu'on n'a pas le temps de redémarrer en pleine consultation". Cette réalité crée un terrain idéal pour les attaquants.
Face à cette exposition, une approche cybersécurité structurée pour PME et professionnels libéraux est devenue incontournable, même pour un cabinet seul.
Les scénarios que nous voyons sur le terrain
Au-delà des statistiques, voici les quatre situations que nous rencontrons concrètement chez les libéraux de santé en Ille-et-Vilaine. Pas des hypothèses, des cas vécus.
Le mail piégé qui passe les filtres
Une fausse notification de l'Assurance Maladie, un faux courrier de l'Ordre, une fausse facture d'un fournisseur médical, un faux mail d'une mutuelle : le phishing ciblé sur les libéraux de santé se perfectionne chaque mois. Les attaquants connaissent les expéditeurs habituels d'un cabinet et imitent leurs logos, leur tournure, leur adresse. Le clic est souvent fait par la secrétaire entre deux patients, ou par le praticien lui-même "juste pour ouvrir le PDF du remboursement". Une fois la pièce jointe lancée, l'attaque commence en silence.
Le ransomware qui paralyse le cabinet
Quelques jours après une compromission silencieuse, le chiffrement se déclenche un matin entre 8h et 9h, juste avant l'ouverture du cabinet. Tous les fichiers patients deviennent illisibles, le logiciel métier ne démarre plus, le planning du jour est inaccessible. Une rançon est demandée, en général entre 5 000 et 50 000 euros pour un cabinet libéral. Et même si on paie, il n'y a aucune garantie de récupérer les données. Les conséquences vont bien au-delà : déclaration CNIL obligatoire dans les 72 heures, information des patients concernés, perte de chiffre d'affaires pendant plusieurs jours ou semaines.
Le poste qui tombe pendant les consultations
Plus banal mais tout aussi paralysant : le poste de consultation qui plante un mardi matin parce que le disque dur est mort, ou parce qu'une mise à jour Windows s'est mal passée la veille. Sans sauvegarde testée et restaurable rapidement, le praticien se retrouve à reporter ses rendez-vous, à appeler ses patients à la chaîne, à improviser sur papier. Une journée perdue, parfois deux, parfois trois selon le temps de récupération. La cybersécurité, c'est aussi la résilience face aux pannes matérielles, pas seulement face aux attaquants.
La fuite par une sauvegarde mal configurée
Cas plus discret mais grave : la sauvegarde externalisée mal configurée rend accessible sur internet l'intégralité des dossiers patients. Des chercheurs en sécurité ou des cybercriminels scannent en permanence les serveurs de stockage exposés. En quelques minutes, un cabinet peut se retrouver avec ses données patients publiquement accessibles. La déclaration CNIL est obligatoire, l'image du cabinet est gravement atteinte, les sanctions RGPD peuvent atteindre des montants significatifs. Et tout cela sans aucune intrusion active, juste à cause d'une configuration par défaut jamais corrigée.
Ce qu'un cabinet médical doit protéger
Avant de parler protection, il faut savoir précisément ce qui doit être protégé. L'écosystème informatique d'un cabinet médical est plus large qu'on ne le pense.
Les dossiers patients informatisés
C'est le trésor du cabinet. Tout ce qui touche au dossier patient (consultations, antécédents, ordonnances, courriers, résultats d'examens, imagerie médicale, comptes rendus opératoires) doit être protégé en confidentialité, en intégrité et en disponibilité. Cela suppose un stockage chiffré, des sauvegardes testées, une gestion stricte des droits d'accès, et une journalisation des consultations qui permet de savoir qui a consulté quel dossier et quand.
La messagerie sécurisée santé
Les échanges entre confrères, avec les laboratoires, les hôpitaux, les pharmacies, sont devenus largement dématérialisés via MSSanté (Messagerie Sécurisée de Santé). Cette messagerie est sécurisée par conception, mais elle reste accessible depuis vos postes : si un poste est compromis, la messagerie l'est aussi. Au-delà de MSSanté, la messagerie professionnelle classique du cabinet doit être protégée par un filtre anti-phishing performant, parce que c'est par elle qu'arrivent 90 % des attaques.
Les équipements connectés du cabinet
Lecteur de carte vitale, carte CPS (Carte de Professionnel de Santé), terminal de paiement, équipements d'imagerie ou de diagnostic connectés, imprimantes en réseau, écrans d'attente, boîtier de signalisation : tous ces équipements connectés au réseau du cabinet peuvent être un point d'entrée pour un attaquant, ou être eux-mêmes victimes d'une attaque qui les rend inutilisables. Leur sécurisation passe par une segmentation du réseau, une mise à jour régulière, et un changement systématique des mots de passe par défaut.
Les accès distants et téléconsultation
Avec le télétravail administratif des secrétaires, les téléconsultations des praticiens, les accès distants pour intervenir à domicile chez un patient, la frontière du cabinet s'étend désormais à de multiples points d'accès. Chacun de ces points doit être protégé par une authentification forte et une liaison chiffrée. Une téléconsultation passant par un Wi-Fi mal sécurisé expose à la fois le praticien et le patient.
Les obligations réglementaires en bref
Les libéraux de santé sont soumis à des obligations spécifiques en matière de protection des données. Voici l'essentiel à connaître, sans jargon juridique.
RGPD santé et secret médical
Les données de santé sont des données sensibles au sens du RGPD, ce qui impose des protections renforcées. Cela se cumule avec le secret médical prévu par le Code de la santé publique. Concrètement, le cabinet doit tenir un registre des traitements, désigner un DPO ou un référent données, sécuriser les accès, et notifier la CNIL en 72 heures en cas de violation de données. La déclaration des violations est obligatoire même si aucune donnée n'a "fuité" vers l'extérieur : un simple chiffrement par ransomware est une violation au sens du RGPD.
Hébergement de données de santé HDS
Toute société qui héberge des données de santé d'un patient identifié doit être certifiée HDS (Hébergement de Données de Santé). Cette certification est lourde et coûteuse, KERIONIS n'en dispose pas et n'a pas vocation à devenir hébergeur. En revanche, nous travaillons avec des partenaires HDS certifiés en Bretagne et en France quand un client a besoin d'un hébergement souverain et conforme. Pour aller plus loin sur la conformité, voir notre page enjeu sur la protection des données et des utilisateurs.
Les gestes immédiats à mettre en place
Sans attendre un audit complet, quatre actions concrètes peuvent être mises en place dans la quinzaine pour réduire significativement votre exposition. Aucune n'est coûteuse, toutes sont accessibles à un cabinet libéral.
Activer l'authentification forte
L'authentification à deux facteurs (MFA) doit être activée sur tous les comptes critiques : messagerie professionnelle, accès à distance au logiciel patient, sauvegarde cloud, compte d'administration du serveur. Un mot de passe seul, même fort, ne suffit plus en 2026. Le MFA divise par 99 % le risque de compromission d'un compte selon les études Microsoft. C'est l'action la plus rentable en cybersécurité, et l'une des plus simples à mettre en place.
Sécuriser la sauvegarde patient
Vos sauvegardes doivent suivre la règle 3-2-1 : trois copies de vos données, sur deux supports différents, dont une copie externalisée hors du cabinet. Concrètement, cela signifie typiquement : votre serveur ou votre poste principal, un disque local de sauvegarde, et une copie chiffrée déposée chaque nuit chez un prestataire de sauvegarde en cloud. Et surtout, la sauvegarde doit être testée régulièrement, parce qu'une sauvegarde qu'on n'a jamais restaurée n'est pas une sauvegarde.
Filtrer les emails malveillants
Un filtre anti-phishing professionnel (Mailinblack, Mimecast, Vade) intercepte la majorité des emails malveillants avant qu'ils n'atteignent votre boîte. Le coût est dérisoire (typiquement 4 à 8 euros par utilisateur et par mois), et l'impact est immédiat. Le filtre intégré à Microsoft 365 ou Gmail est insuffisant face aux attaques ciblées sur les libéraux de santé : il faut une couche dédiée.
Former l'équipe en 30 minutes
La sensibilisation des collaborateurs (secrétaire, assistant, remplaçant) à reconnaître un email suspect, à ne pas cliquer dans le doute, à signaler immédiatement une anomalie, est la mesure la plus négligée et l'une des plus efficaces. Une session de 30 minutes par an, illustrée d'exemples concrets, suffit à diviser drastiquement le risque humain.
KERIONIS propose cette sensibilisation en complément des prestations techniques.
Plusieurs portes d'entrée selon vos priorités
Selon que votre priorité immédiate concerne la protection ciblée contre les cybermenaces ou la gestion complète et continue de votre informatique de cabinet, deux portes d'entrée s'offrent à vous chez KERIONIS.
Vous pouvez aussi combiner les deux, c'est souvent la solution la plus pertinente pour un cabinet médical qui veut sortir durablement de la débrouille.
Pourquoi la supervision change tout
Beaucoup de cabinets achètent un antivirus, configurent une sauvegarde, et considèrent la cybersécurité réglée. La réalité est que sans supervision continue, l'antivirus peut être désactivé sans qu'on s'en aperçoive, la sauvegarde peut échouer trois nuits de suite sans alerter personne, et une intrusion peut se dérouler en silence pendant des semaines.
Détecter une intrusion en cours
Les attaques modernes ne déclenchent pas immédiatement le chiffrement. Elles observent, élèvent leurs privilèges, copient les données sensibles, et seulement ensuite déclenchent le rançongiciel. Une supervision active détecte les signaux faibles de cette progression silencieuse : connexions anormales, élévations de droits suspectes, transferts de données vers l'extérieur, modifications de comptes administrateurs. Sans supervision, ces signaux passent inaperçus.
Garantir la disponibilité du cabinet
Un cabinet médical ne peut pas se permettre de découvrir le lundi matin que le serveur est tombé pendant le week-end. La supervision détecte immédiatement une panne disque, un service arrêté, une sauvegarde qui n'a pas tourné, et permet d'intervenir avant l'ouverture du cabinet. C'est la différence entre une matinée gâchée et un week-end de réparation invisible pour les patients.
Tenir un cabinet sans équipe IT
Aucun libéral de santé n'a vocation à devenir son propre administrateur système. La supervision externalisée transfère cette responsabilité à un prestataire compétent, qui détecte, alerte et intervient à votre place. C'est l'essence même de l'infogérance pour PME et professionnels libéraux : vous concentrer sur votre métier, nous prenons l'informatique.
Notre approche pour les cabinets médicaux
KERIONIS n'aborde pas un cabinet médical comme une PME classique. Trois éléments structurent notre démarche spécifique aux libéraux de santé.
Une approche adaptée au libéral
Un cabinet libéral n'a ni le budget ni les contraintes d'une PME structurée. Notre approche est calibrée à la taille du cabinet : pas de surdimensionnement, pas de prestations qui correspondent à une PME industrielle, pas de jargon. Les solutions que nous proposons sont modulaires, évolutives et réversibles : vous pouvez démarrer avec une protection essentielle et monter en gamme au fil des années.
Des outils pensés pour la santé
Nous travaillons avec des outils compatibles avec les contraintes du secteur santé : éditeurs européens majoritairement (Mailinblack, Bitdefender, ESET, Terra, Zyxel), partenaires HDS certifiés en Bretagne pour les besoins d'hébergement, sauvegarde locale plus externalisation chiffrée pour les dossiers patients, segmentation du réseau pour isoler les équipements médicaux connectés du reste du système.
Un interlocuteur unique disponible
Vous parlez toujours à la même personne, pas à un standard, pas à un ticket renvoyé en sous-traitance. Cette continuité relationnelle est essentielle pour un cabinet libéral où chaque minute d'arrêt compte. Notre engagement contractuel sur les délais d'intervention est clair, négocié au contrat, et nous le tenons.
Démarche type pour un cabinet médical
Comment se déroule concrètement un accompagnement KERIONIS pour un cabinet médical ? La démarche se structure en trois phases progressives.
Phase 1 : audit du cabinet
Nous démarrons par un audit ciblé du cabinet : inventaire des postes et serveurs, état des sauvegardes, niveau de mise à jour, configuration du logiciel patient, gestion des accès distants, équipements connectés. Cette phase prend quelques jours et débouche sur un rapport écrit avec un plan d'action priorisé. Notre méthodologie complète est détaillée sur notre page audit cybersécurité PME et libéraux.
Phase 2 : sécurisation rapide
À partir du rapport d'audit, nous traitons en priorité les risques critiques : activation du MFA, mise en place d'une sauvegarde 3-2-1 testée, déploiement d'un filtre anti-phishing, sécurisation des accès distants, mise à jour de l'OS et des logiciels métier en concertation avec l'éditeur du logiciel patient. Cette phase s'étale typiquement sur deux à six semaines, avec des interventions courtes et planifiées hors heures de consultation.
Phase 3 : protection continue
Une fois les fondations posées, la cybersécurité entre dans un régime continu de supervision, maintenance, mise à jour et sensibilisation. C'est le cœur de notre approche cybersécurité globale pour PME et libéraux : transformer un projet ponctuel en une protection durable, intégrée à votre fonctionnement quotidien.
Audit cybersécurité pour cabinet médical
Un audit cybersécurité spécifique au cabinet médical permet d'objectiver la situation et de hiérarchiser les priorités, sans engagement.
Pourquoi auditer son cabinet
Sans audit, un cabinet médical avance à l'aveugle. Le praticien et son équipe n'ont pas vocation à évaluer techniquement leur exposition, et l'installateur du logiciel patient n'est généralement pas formé à la cybersécurité globale. Un audit externe apporte un regard neutre, structuré et chiffré sur votre situation réelle, indispensable pour prendre des décisions d'investissement éclairées et calibrées au cabinet.
Spécificités d'un audit en santé
Notre audit adapté aux libéraux de santé intègre plusieurs spécificités : vérification de la conformité RGPD santé, analyse de la configuration du logiciel patient et de ses interconnexions, contrôle des sauvegardes du dossier médical, évaluation de la sécurité des équipements connectés (CPS, carte vitale, terminal de paiement, imagerie), examen des accès distants et de la téléconsultation. Tous les détails sont sur la page audit cybersécurité KERIONIS.
Nos engagements envers les libéraux santé
Quatre engagements opérationnels structurent notre relation avec les cabinets médicaux que nous accompagnons.
Confidentialité absolue
Toutes les informations auxquelles nous avons accès dans le cadre de notre mission (données techniques, configurations, infrastructure du cabinet) sont protégées par une clause de confidentialité stricte, conservées de manière chiffrée pendant la durée de la prestation et supprimées de nos systèmes à votre demande en fin de relation. Aucune donnée ne quitte l'Union européenne. Nous n'accédons jamais au contenu des dossiers patients : notre périmètre est l'infrastructure qui les protège, pas leur contenu.
Interventions discrètes au cabinet
Quand nous intervenons physiquement au cabinet, nous le faisons en respectant le cadre médical : tenue sobre, déplacements minimisés, interventions planifiées hors consultations quand c'est possible, intervention en silence quand c'est nécessaire. Nous ne croisons jamais un patient sans y être autorisés. C'est une évidence pour nous, ça reste utile à préciser.
Aucune dépendance technique
Nous ne déployons pas de solutions propriétaires fermées qui vous rendraient captifs. Les outils mis en place (Microsoft 365, Bitdefender, ESET, Mailinblack, Terra, Zyxel) sont standards du marché, gérables par tout autre prestataire en cas de changement. Le cabinet reste propriétaire de ses configurations, ses sauvegardes, ses documentations, ses accès.
Documentation à disposition
Chaque intervention génère une documentation à jour, remise au praticien ou à la secrétaire référente. Cette documentation est votre propriété et vous permet de transférer la gestion à un autre prestataire en cas de besoin, sans rétention technique de notre part. La transparence est notre standard, pas un argument commercial.
Questions fréquentes des cabinets médicaux
Suis-je vraiment une cible en libéral ?
Oui, et plus que jamais. Les gros hôpitaux sont aujourd'hui mieux protégés grâce à leurs équipes dédiées et aux financements publics. Les attaquants se reportent donc massivement sur les cabinets libéraux, considérés comme des cibles plus faciles avec des données aussi précieuses. Selon les remontées récentes, le secteur libéral représente une part croissante des cyberattaques en santé. Un cabinet seul est tout aussi exposé qu'une polyclinique, parfois davantage en proportion de ses défenses.
Quel budget pour un cabinet seul ?
Le budget cybersécurité d'un cabinet libéral seul se situe typiquement entre 1 200 et 4 000 € HT par an, en fonction du niveau de protection souhaité, du nombre de postes, et de la présence ou non d'un serveur dédié. Ce coût peut être intégré dans un contrat d'infogérance global qui mutualise la cybersécurité avec la maintenance et le support utilisateur. Un audit gratuit permet de chiffrer précisément avant tout engagement.
Que faire en cas de cyberattaque ?
Immédiatement : déconnecter les machines affectées du réseau sans les éteindre, préserver les preuves, ne pas payer la rançon sans avoir consulté un professionnel, notifier la CNIL dans les 72 heures si des données patients sont concernées, informer votre Ordre selon les obligations applicables, et contacter sans tarder un prestataire compétent. KERIONIS est référencé sur Cybermalveillance.gouv.fr comme prestataire d'assistance aux victimes : nous traitons les incidents en priorité absolue.
Mon logiciel patient est-il sécurisé ?
Les logiciels patients du marché (Weda, Hellodoc, Maincare, Almapro, Médimust, et d'autres) sont conçus pour respecter les normes médicales en vigueur. Mais la sécurité d'un logiciel patient ne dépend pas que du logiciel lui-même : elle dépend aussi de la machine qui l'héberge, du réseau qui le relie, des sauvegardes qui le protègent, des accès qui y mènent. Un excellent logiciel patient sur un poste mal protégé reste exposé. Notre travail consiste à sécuriser l'environnement dans lequel votre logiciel métier fonctionne.
La téléconsultation est-elle risquée ?
Pas si elle est correctement configurée. Les plateformes de téléconsultation reconnues (Doctolib, Maiia, Qare, Hellocare) intègrent un chiffrement de bout en bout et respectent les exigences HDS. Le risque vient principalement de l'environnement : praticien en téléconsultation sur un Wi-Fi public, poste personnel non sécurisé utilisé pour la téléconsultation, capture d'écran non protégée. Nous accompagnons les praticiens dans la mise en place d'un cadre sécurisé pour la téléconsultation, sans alourdir leur pratique quotidienne.
Aller plus loin avec KERIONIS
La cybersécurité d'un cabinet médical ne se construit pas en un jour, mais elle peut commencer dès aujourd'hui. Selon votre point d'entrée prioritaire, plusieurs ressources peuvent vous être utiles.
Pour une vue globale de notre offre, consultez notre page dédiée à la cybersécurité pour PME et collectivités à Rennes. Pour un premier diagnostic objectivé de votre cabinet, notre audit cybersécurité est le bon point de départ, sans engagement. Pour structurer durablement la gestion de votre informatique au-delà de la cybersécurité, notre page infogérance pour PME et professions libérales détaille notre approche. Pour comprendre les enjeux de protection des données dans votre cabinet, voir notre page enjeu sur la protection des données et des utilisateurs.
Dans tous les cas, un premier échange permet de qualifier votre situation et d'orienter vers la démarche la plus pertinente pour votre cabinet, sans engagement ni pression commerciale.