Cybersécurité : Protéger vos données et celles de vos patients

Professionnels de santé libéraux — Bonnes pratiques et ressources publiques

Introduction

Les données de santé constituent l’un des actifs les plus sensibles et précieux dans l’exercice médical. Les cabinets libéraux font aujourd’hui l’objet d’un ciblage croissant par les cybercriminels. Une infrastructure informatique insuffisamment protégée ou l’absence de procédures de sécurité élémentaires peuvent rapidement exposer des informations confidentielles.

Risques encourus :

  • Violation du secret médical et fuite de données patients
  • Paralysie de l’activité par chiffrement malveillant (ransomware)
  • Compromission des systèmes de facturation et télétransmission
  • Sanctions réglementaires au titre du RGPD

Vulnérabilités fréquemment observées

Gestion des accès et sessions

  • Ordinateurs du cabinet en libre accès ou mots de passe partagés
  • Absence de séparation entre usage professionnel et personnel
  • Sessions utilisateurs non distinctes par praticien

Protection des données patients

  • Noms de patients visibles dans les logiciels de comptabilité
  • Documents non verrouillés accessibles à tous
  • Écrans laissés sans protection en zone d’attente

Infrastructure réseau

  • Réseaux Wi-Fi non protégés ou identiques pour le cabinet et l’accueil patients
  • Absence de segmentation des accès invités

Politique de sauvegarde et maintenance

  • Sauvegardes inexistantes ou non chiffrées
  • Supports de sauvegarde constamment connectés au réseau
  • Mises à jour système et logiciels négligées
  • Solutions antivirus absentes ou obsolètes

Dispositifs d’accompagnement publics (gratuits)

MesServicesCyber (ANSSI)

Plateforme nationale d’information et de formation cybersécurité

  • Diagnostic gratuit avec un Aidant Cyber qualifié
  • Modules de formation adaptés aux TPE/PME
  • Site : messervicescyber.gouv.fr

17Cyber

Service unifié Police/Gendarmerie/cybermalveillance.gouv.fr

  • Assistance 24h/24 et 7j/7
  • Conseils personnalisés en cas d’incident cyber
  • Orientation vers les dispositifs de soutien

CSIRT territoriaux

Centres régionaux de réponse aux incidents de sécurité informatique

  • Assistance technique de proximité
  • Sensibilisation et formation
  • Mise en relation avec des prestataires locaux

Formation continue

  • SensCyber : modules courts de sensibilisation
  • MOOC SecNumacadémie (ANSSI) : formation approfondie gratuite

Mesures de sécurité essentielles

1. Gestion des accès

  • Créer une session professionnelle distincte de la session personnelle
  • Implémenter un verrouillage automatique (3-5 minutes d’inactivité)
  • Utiliser des mots de passe robustes et uniques par utilisateur
  • Activer la double authentification sur tous les services critiques

2. Séparation des usages

  • Séparer strictement activités privées (streaming, messagerie personnelle) et professionnelles
  • Limiter l’affichage des données patients aux seuls écrans nécessaires
  • Verrouiller systématiquement l’écran lors des absences

3. Sécurisation du réseau

  • Configurer le Wi-Fi en WPA2/WPA3 minimum
  • Mettre en place un réseau invité séparé pour les patients
  • Sécuriser tous les équipements connectés

4. Politique de sauvegarde

  • Automatiser les sauvegardes avec chiffrement
  • Conserver au moins une copie hors du cabinet (cloud sécurisé ou site distant)
  • Tester régulièrement la restauration des données

5. Maintenance préventive

  • Maintenir à jour Windows/macOS et l’ensemble des logiciels
  • Activer et mettre à jour l’antivirus
  • Planifier les mises à jour de sécurité

6. Sécurité après assistance à distance

En cas d’intervention via TeamViewer ou solution similaire :

  1. Fermer impérativement la session à la fin de la session (même avec nous lors de nos rendez vous comptabilité gestion !!)
  2. Vérifier l’arrêt complet du logiciel (icône système)
  3. Modifier ou désactiver tout mot de passe permanent (ou modifier le mot de passe aléatoire à chaque fin de session)
  4. Redémarrer l’ordinateur par sécurité

Objectif : Empêcher toute reconnexion non autorisée via une session laissée ouverte.

Conduite à tenir en cas d’incident

Premiers réflexes

  1. Isoler immédiatement le poste compromis (déconnexion Wi-Fi/Ethernet)
  2. Ne pas éteindre brutalement si un chiffrement est en cours
  3. Préserver les preuves : noter date/heure, photographier les écrans, conserver les journaux

Signalement et assistance

  1. Contacter 17Cyber en première urgence
  2. Solliciter votre CSIRT régional ou prestataire de confiance
  3. Ne jamais payer de rançon sans avis expert
  4. Ne pas reconnecter les sauvegardes avant expertise

Références juridiques et réglementaires

  • Règlement (UE) 2016/679 (RGPD) — Protection des données personnelles
  • Code de la santé publique, article L1110-4 — Confidentialité et secret des informations de santé
  • Guides ANSSI — Recommandations techniques
  • cybermalveillance.gouv.fr — Centre national d’assistance aux victimes

Ressources de formation

 Checklist de sécurité (à afficher dans le cabinet) recommandée par nos instances professionnelles

Gestion des accès :

  • ☐ Mot de passe fort et personnel par ordinateur
  • ☐ Verrouillage automatique après inactivité
  • ☐ Sessions professionnelles et personnelles séparées
  • ☐ Accès individualisés par praticien (pas de compte partagé)
  • ☐ Aucun mot de passe visible (post-it, carnet)

Réseau et connectivité :

  • ☐ Wi-Fi sécurisé (WPA2/3) avec réseau invité distinct
  • ☐ Logiciels et OS maintenus à jour
  • ☐ Antivirus actif et actualisé

Protection des données :

  • ☐ Sauvegardes automatiques, chiffrées, hors site
  • ☐ Supports amovibles (USB/disques) chiffrés
  • ☐ Aucun envoi de données patients par mail non sécurisé
  • ☐ Affichage patient limité aux écrans nécessaires

Préparation aux incidents :

  • ☐ Coordonnées 17Cyber disponibles
  • ☐ Contact prestataire/CSIRT à portée de main