Rubrique : 🎬 Le jour où Expertise : Cybersécurité · Santé Format : Récit narratif + analyse + leçons Longueur : ~1 100 mots Statut : V1 — à valider
Le récit qui suit est fictif. Les personnages sont inventés. Les faits techniques et réglementaires, eux, sont réels — et s'appuient sur des incidents documentés survenus en France entre novembre 2025 et février 2026.
Mardi matin, 7h52
Le Dr Sophie Lenormand, médecin généraliste à Auch, dans le Gers, ouvre son ordinateur avant sa première consultation. Quinze patients dans la journée, dont trois suivis pour des pathologies chroniques nécessitant un accès à leur historique complet.
L'écran reste noir. Elle relance. Toujours rien.
Elle appelle son prestataire informatique habituel. Messagerie. Elle laisse un message.
Il est 8h15. La première patiente est dans la salle d'attente.
H+2 — Le cabinet tourne en mode dégradé
Sophie improvise. Elle réussit à récupérer les ordonnances en papier des patients qui en ont apporté. Pour les autres, elle se fie à sa mémoire et aux informations que les patients lui donnent eux-mêmes. Un patient diabétique cite sa dose d'insuline — elle l'inscrit à la main sans pouvoir vérifier si son cardiologue l'a modifiée la semaine dernière.
« Si je n'ai pas accès au courrier du cardiologue avec une dose qu'il a changée, je me fie à la dernière ordonnance du patient », confiait à France 3 Normandie le Dr Marc Durand, médecin généraliste à Évreux, au moment de l'attaque WEDA en novembre 2025. La situation de Sophie est identique.
Son prestataire rappelle à 10h. Diagnostic rapide : son logiciel médical, hébergé en SaaS chez un éditeur tiers, est inaccessible. Ce n'est pas un problème sur son poste — c'est l'éditeur qui est touché.
H+6 — Elle comprend l'ampleur
Un mail de l'éditeur arrive enfin : « activité suspecte détectée », accès suspendu « par mesure de précaution », enquête en cours. Aucune indication sur la durée de l'indisponibilité. Aucun engagement sur la sécurité des données.
Sophie passe l'après-midi sans accès à ses dossiers patients, sans accès à la télétransmission pour la Sécurité sociale, sans agenda numérique. Les rendez-vous du lendemain ? Elle ne sait plus qui sont ses patients de 9h.
« Pour nous, perdre l'accès à notre logiciel professionnel, c'est un peu comme perdre l'eau et l'électricité et avoir 15 personnes à dîner le soir. On perd l'accès aux dossiers de nos patients, on n'a plus accès aux comptes rendus de consultation, aux ordonnances précédentes, aux résultats d'examen », expliquait à l'AFP le Dr Philippe Mauboussin, président de l'ordre des médecins de l'Eure, lors de la cyberattaque WEDA — qui avait paralysé plus de 23 000 professionnels de santé pendant près d'une semaine en novembre 2025.
H+24 — La question des données
Le lendemain matin, Sophie lit la presse spécialisée. L'éditeur a notifié la CNIL et l'ANSSI. Une plainte a été déposée. Mais personne ne dit clairement si les données patients ont été volées.
C'est exactement le scénario qu'ont vécu les 1 500 médecins utilisateurs de MonLogicielMedical (MLM) de Cegedim Santé, dont l'incident — détecté fin 2025 — n'a été révélé publiquement qu'en février 2026, lors d'un reportage au 20h de France 2. Les médecins concernés n'avaient été informés qu'en janvier, soit près de trois mois après les faits — un mail arrivé dans les spams pour beaucoup. Entre 11 et 15 millions de patients potentiellement concernés. « J'ai reçu un mail de Cegedim Santé le 19 janvier, arrivé dans mes spams, m'informant de la fuite de données », témoignait le Dr Abraham Christmann, généraliste en Meurthe-et-Moselle, auprès de Medscape France.
Sophie se pose la question : est-elle, elle aussi, responsable de traitement ? Doit-elle notifier la CNIL ? Informer ses patients ?
La réponse est oui — dans les 72 heures si le risque est avéré. Même si c'est l'éditeur qui a été attaqué. Même si ce n'est pas de sa faute.
H+48 — Les 72 heures tournent
Sophie n'a toujours pas d'accès à ses dossiers. L'éditeur communique en mode dégradé : certaines fonctions reviennent, d'autres pas. La télétransmission reste bloquée. Elle travaille au papier depuis deux jours.
Elle appelle un confrère qui a vécu la même situation un an plus tôt. Il lui donne le numéro de cybermalveillance.gouv.fr — la plateforme nationale d'assistance aux victimes de cybermalveillance, gérée par l'ANSSI. Elle n'en avait jamais entendu parler.
Elle notifie la CNIL. Elle rédige un message à ses patients. Elle contacte son assureur pour savoir si elle est couverte.
Elle réalise qu'elle n'avait aucune procédure pour ça.
L'analyse : ce qui a permis — et aggravé — l'incident
Sophie n'a pas été attaquée directement. C'est son éditeur qui l'a été. Mais elle en subit toutes les conséquences : perte d'accès, risque sur les données, obligations réglementaires, perte de revenus.
C'est la réalité de la dépendance aux logiciels SaaS en médecine libérale : le risque n'est plus seulement dans votre cabinet. Il est chez tous vos prestataires numériques.
Trois signaux auraient dû alerter — ou permettre de mieux gérer :
Signal 1 — Aucune sauvegarde locale. Sophie n'avait aucune copie de ses dossiers patients en dehors du SaaS de l'éditeur. Quand l'éditeur a coupé l'accès, elle a tout perdu en même temps. L'ANSSI recommande la règle 3-2-1 : trois copies, deux supports, une hors ligne. Pour un cabinet médical, ça signifie exiger de son éditeur un export régulier des données dans un format lisible — et le tester.
Signal 2 — Aucune procédure de crise. Sophie n'avait pas de liste de ses patients du lendemain en format papier. Pas de numéro de cybermalveillance. Pas de contacts CNIL. Pas de modèle de message pour informer ses patients. Tout ça aurait pu être préparé en une heure.
Signal 3 — Aucune clause contractuelle robuste. Son contrat avec l'éditeur ne précisait pas les délais de notification en cas d'incident, ni les engagements sur la continuité de service. Le RGPD impose pourtant des clauses minimales dans tout contrat avec un sous-traitant traitant des données de santé — c'est l'article 28 du règlement.
Ce qu'on aurait pu faire
- Exiger de l'éditeur un export régulier des dossiers (format lisible, fréquence hebdomadaire minimum) et le stocker chiffré sur un support local
- Préparer une fiche réflexe avec : numéro du prestataire IT, numéro cybermalveillance (0 805 805 817), lien de notification CNIL (notifications.cnil.fr), modèle de message patients
- Relire son contrat éditeur et vérifier la présence des clauses RGPD art. 28 (notification d'incident, délais, restitution des données)
- Garder un carnet papier minimal des rendez-vous des 48 prochaines heures — pas pour tout documenter, juste pour ne pas être aveugle le lendemain matin
- Faire auditer sa dépendance numérique pour identifier tous les prestataires qui traitent des données de santé en son nom
Sources
- France 3 Normandie, « On perd beaucoup de temps ! » : après une cyberattaque contre leur logiciel professionnel, les cabinets médicaux tournent au ralenti, 13 novembre 2025
- BFMTV / AFP, citation du Dr Philippe Mauboussin, médecin généraliste dans l'Eure, novembre 2025 — bfmtv.com
- Caducee.net, Cyberattaque WEDA : 23 000 soignants concernés, 19 novembre 2025 — caducee.net
- Cegedim Santé, communiqué officiel, 26 février 2026 — cegedim.fr
- Medscape France, témoignage du Dr Abraham Christmann, Alerte tardive après la cyberattaque du logiciel de Cegedim Santé, 3 mars 2026 — medscape.com
- ANSSI, Sauvegarde des systèmes d'information — Les fondamentaux, octobre 2023
- RGPD, article 28 — obligations contractuelles avec les sous-traitants traitant des données de santé
Alto France accompagne les professionnels de santé libéraux dans la sécurisation de leur cabinet. Notre offre Alto IMMUN.IT permet d'obtenir un diagnostic complet en 10 jours — avec seulement ½ journée de votre temps mobilisée.
