Cyberattaques : pourquoi les cabinets médicaux sont visés, et comment s'en prémunir
On imagine souvent les cyberattaques réservées aux grandes entreprises. La réalité de 2026 est l'inverse : les petites structures de santé sont des cibles de choix. Elles détiennent des données très sensibles, et elles sont souvent moins protégées qu'une grande organisation. La bonne nouvelle, c'est que la cybersécurité d'un cabinet n'est pas une affaire de gros budget : c'est une affaire d'hygiène. Ce guide explique pourquoi vous êtes concerné, quelles sont les attaques les plus courantes, et les mesures simples qui couvrent l'essentiel du risque.
L'essentiel en bref
- Les cabinets sont visés car les données de santé valent cher, l'activité ne peut pas s'arrêter, et la défense est souvent limitée.
- Les attaques les plus fréquentes : l'hameçonnage (email piégé), le rançongiciel, les mots de passe faibles et le vol de matériel.
- L'essentiel du risque se couvre avec des gestes simples et peu coûteux. La sécurité parfaite n'existe pas ; une sécurité « raisonnable et à jour » décourage l'immense majorité des attaques.
- Si vous ne faites que deux choses : la double sécurité à la connexion et des sauvegardes testées.
- Un site bien maintenu n'est pas un point faible ; un site abandonné, si.
1. Pourquoi la santé est une cible privilégiée
Trois raisons se combinent :
- Les données de santé valent cher. Sur le marché noir, un dossier médical se revend bien plus qu'un simple numéro de carte bancaire, parce qu'il contient une identité complète et durable, impossible à « réinitialiser ».
- Un cabinet ne peut pas s'arrêter. Quand l'agenda et les dossiers sont bloqués, la pression pour payer une rançon et reprendre l'activité est énorme. Les attaquants le savent.
- Peu de structures ont une équipe informatique dédiée. Le trio « données précieuses, forte pression, défense limitée » est exactement ce que cherche un attaquant opportuniste.
Important : la plupart des attaques ne sont pas ciblées. Ce sont des campagnes automatiques qui ratissent large et frappent qui n'est pas protégé. Vous n'avez pas besoin d'être « intéressant » pour être touché, juste d'être vulnérable.
2. Les attaques les plus courantes, sans jargon
- L'hameçonnage (phishing). Un email qui imite un fournisseur, une banque, une caisse ou une autorité pour vous soutirer vos identifiants ou vous faire ouvrir une pièce jointe piégée. C'est la porte d'entrée numéro un, et elle vise l'humain, pas la machine.
- Le rançongiciel (ransomware). Un logiciel qui chiffre vos fichiers et réclame une rançon pour les débloquer. Sans sauvegarde, c'est la catastrophe : agenda, dossiers, tout devient inaccessible.
- Les mots de passe faibles ou réutilisés. Un seul mot de passe deviné ou récupéré dans une fuite, et c'est l'accès à tout le reste si vous l'utilisez partout.
- Le vol ou la perte de matériel. Un ordinateur portable ou une clé USB non chiffrés, c'est le dossier patient dans la nature.
À retenir : l'essentiel du risque se couvre avec des gestes simples et peu coûteux. La sécurité parfaite n'existe pas, mais une sécurité « raisonnable et à jour » suffit à décourager l'immense majorité des attaques, qui sont opportunistes.
3. Les mesures qui comptent vraiment
- La double sécurité à la connexion (un code en plus du mot de passe) sur tout ce qui touche aux données patients. C'est la mesure au meilleur rapport effort/protection : même un mot de passe volé ne suffit alors plus à entrer.
- Des sauvegardes automatiques et testées. Une sauvegarde qu'on n'a jamais essayé de restaurer n'est pas vraiment une sauvegarde. C'est votre filet de sécurité contre le rançongiciel.
- Les mises à jour. Logiciels, site, navigateurs, système. La plupart des attaques exploitent des failles déjà corrigées que personne n'a installées.
- Des mots de passe uniques, idéalement gérés avec un gestionnaire de mots de passe (qui les crée, les retient et les remplit pour vous).
- Le chiffrement des appareils. Activé par défaut sur les Mac et les PC récents, encore faut-il vérifier qu'il l'est bien. Un appareil chiffré volé reste illisible.
- Un hébergement sérieux et conforme (voir la nLPD) : savoir où sont les données et qui y accède.
- La prudence sur les emails. Au moindre doute, on ne clique pas, on vérifie par un autre canal (un appel, par exemple).
4. Par où commencer : les mesures, par rapport effort/protection
| Mesure | Ce qu'elle protège | Effort |
|---|---|---|
| Double sécurité à la connexion | Contre les mots de passe volés | Faible |
| Sauvegardes automatiques et testées | Contre le rançongiciel et la perte de données | Faible à moyen |
| Mises à jour régulières | Contre les failles connues | Faible |
| Mots de passe uniques + gestionnaire | Contre l'effet domino d'une fuite | Faible |
| Chiffrement des appareils | Contre le vol de matériel | Très faible (souvent à activer) |
| Vigilance sur les emails | Contre l'hameçonnage | Faible (habitude) |
Toutes ces mesures sont à votre portée, sans budget conséquent. Commencez par les deux premières : elles couvrent à elles seules l'essentiel du risque.
5. Et le site internet dans tout ça ?
Un site bien construit et maintenu (mises à jour de sécurité, hébergement à jour) n'est pas un point faible. Un site laissé à l'abandon depuis trois ans, lui, en est un : il devient une porte d'entrée pour des attaques automatiques. Et si votre site comporte un espace de gestion ou de la prise de rendez-vous, la double sécurité et les sauvegardes ne sont pas optionnelles : ce sont les fondations.
6. Que faire si vous êtes victime ?
Garder la tête froide change tout. Les bons réflexes :
- Déconnecter l'appareil ou le système touché du réseau pour limiter la propagation.
- Ne pas payer dans la précipitation en cas de rançongiciel : payer ne garantit rien et encourage les attaquants. Vos sauvegardes sont votre meilleure option.
- Demander de l'aide à un professionnel de l'informatique de confiance.
- Évaluer si des données patients sont concernées : si oui, les obligations de la nLPD s'appliquent (notification éventuelle au PFPDT et aux personnes concernées).
- Documenter ce qui s'est passé et les mesures prises.
Questions fréquentes
Mon cabinet est petit, suis-je vraiment une cible ?
Oui. La plupart des attaques ne visent personne en particulier : elles ratissent large et frappent qui n'est pas protégé. Être petit ne protège pas ; être à jour, si.
La double sécurité, est-ce compliqué à mettre en place ?
Non. Concrètement, c'est un code reçu par application ou un second facteur à la connexion. Quelques minutes de configuration, pour un gain de protection considérable. C'est la mesure à activer en premier.
Faut-il payer la rançon en cas de rançongiciel ?
C'est fortement déconseillé : payer ne garantit pas de récupérer vos données et finance les attaquants. C'est précisément pour ne jamais avoir à se poser la question qu'il faut des sauvegardes testées.
Un antivirus suffit-il ?
Non. Un antivirus est utile, mais il ne remplace ni la double sécurité, ni les sauvegardes, ni les mises à jour, ni la vigilance face aux emails. La sécurité est un ensemble de réflexes, pas un seul logiciel.
Que faire des anciens ordinateurs et clés USB ?
Avant de vous en débarrasser, effacez réellement les données (un simple « vider la corbeille » ne suffit pas). Et tant que vous les utilisez, vérifiez qu'ils sont chiffrés.
L'essentiel à retenir
La cybersécurité d'un cabinet n'est pas une affaire de gros budget, c'est une affaire d'hygiène. Quelques réflexes, appliqués sérieusement, vous placent déjà hors de portée de la grande majorité des attaques. La bonne question n'est pas « est-ce que ça peut m'arriver », mais « est-ce que je serais prêt si ça arrivait ». Si la réponse est non, commencez par deux mesures : la double sécurité à la connexion et les sauvegardes. À elles seules, elles couvrent l'essentiel du risque.
Sources
- Office fédéral de la cybersécurité (OFCS, ex-NCSC) · rapports semestriels : près de 80 % des incidents rançongiciel signalés concernent des PME ; recommandations (authentification à plusieurs facteurs, sensibilisation du personnel).
- SWI swissinfo.ch · Mieux protéger le domaine de la santé des cybercriminels.
Un projet de site pour votre cabinet ?
Échangeons 20 minutes. Analyse personnalisée et devis gratuit, sans engagement.
Discutons de votre projet