Quand un logiciel métier devient inaccessible, quand des données patients ont pu être exposées ou qu’un incident touche un prestataire du cabinet, il faut réagir vite. En médecine libérale, une cyberattaque n’est jamais seulement un problème technique : elle peut désorganiser l’activité, compliquer la prise en charge et exposer le cabinet à des démarches urgentes. L’enjeu n’est pas de tout gérer seul, mais d’avoir les bons réflexes, dans le bon ordre.
Ne pas banaliser un incident !
Le scénario n’est pas toujours spectaculaire. Il peut commencer par un agenda qui ne s’ouvre plus, des dossiers patients inaccessibles, une télétransmission bloquée, un message inhabituel à l’écran ou un appel de l’éditeur signalant un incident. En quelques minutes, le cabinet peut se retrouver désorganisé sans même savoir encore s’il s’agit d’une simple panne ou d’un incident cyber.
Dès lors que le cabinet ne peut plus utiliser normalement son outil métier ou que des données patients ont pu être consultées, copiées, modifiées ou perdues, la situation doit être prise au sérieux.
Contactez tout de suite votre éditeur ou votre prestataire
Si l’incident touche votre logiciel métier, votre hébergeur, votre messagerie ou une plateforme utilisée par le cabinet, il faut demander immédiatement ce qui est connu à ce stade, le périmètre potentiellement concerné, les premières mesures prises, les consignes à suivre, ainsi que les éléments permettant d’apprécier s’il existe une violation de données personnelles.
La CNIL rappelle que le responsable de traitement (souvent vous…) doit être alerté rapidement par son éditeur pour pouvoir engager les démarches nécessaires.
Protéger l’activité du cabinet
La première conséquence d’un incident cyber est souvent très concrète: agenda perturbé, accès au dossier patient compliqué, télétransmission bloquée, documents impossibles à éditer, secrétariat désorganisé. La priorité est donc de maintenir l’essentiel : accueil, consultations prioritaires, traçabilité minimale, continuité des soins et information utile aux patients.
Concrètement, cela suppose d’avoir anticipé un mode dégradé. Par exemple :
- Demander aux patients d’apporter leurs ordonnances, résultats biologiques et courriers récents en version papier ;
- Disposer au cabinet d’un stock d’ordonnanciers papier, de formulaires CERFA et de feuilles de soins papier ;
- Prévoir un agenda de secours, sur support papier ou sur un support indépendant (par exemple un disque dur externe vous appartenant) ;
- Préparer une affichette pour la salle d’attente et un message d’information pour prévenir les patients que le système informatique est temporairement indisponible mais que leur prise en charge reste assurée ;
- Identifier en amont les consultations à prioriser et les informations indispensables à recueillir si le dossier patient n’est plus accessible.
L’objectif n’est pas de reproduire un fonctionnement normal sans informatique. Il est de permettre au cabinet de continuer à assurer l’essentiel pendant les premières heures, voire les premiers jours, sans ajouter de désorganisation à la crise.
Tout consigner
Dès les premières minutes, il faut garder une trace des faits : date et heure de découverte, symptômes observés, outils concernés, comptes touchés, messages d’erreur, premières mesures prises, interlocuteurs contactés. Cette documentation est utile pour piloter la suite, échanger avec le prestataire et répondre aux éventuelles exigences de la CNIL.
Pensez à tout noter ou à tout prendre en photo !
Se faire accompagner rapidement
Un médecin n’a pas à gérer seul une crise cyber. Le portail 17Cyber permet d’obtenir une assistance rapide en cas d’incident.
En Nouvelle-Aquitaine, une fiche réflexe proposée par le GRADeS ESEA permet de retrouver simplement les principales démarches à engager en cas d’incident cyber.
Évaluer rapidement s’il faut notifier
Tous les incidents ne donnent pas lieu aux mêmes démarches. La CNIL distingue trois niveaux :
- Pas de risque pour les droits et libertés des personnes : l’incident est documenté en interne ;
- Risque pour les droits et libertés : la violation doit être notifiée à la CNIL ;
- Risque élevé* : les patients concernés doivent aussi être informés.
La notification à la CNIL doit être faite au plus tôt et dans un délai maximal de 72 heures. Si toutes les informations ne sont pas encore disponibles, une notification initiale peut être envoyée puis complétée. En cas de doute, la CNIL recommande de notifier.
*Quand parle-t-on de risque élevé pour les patients ?
Il y a risque élevé lorsque l’incident peut avoir pour les patients des conséquences graves et concrètes (articles 75 et 76 du RGPD) : atteinte au secret médical, divulgation d’informations sensibles sur leur état de santé, fraude, usurpation d’identité, chantage, discrimination, atteinte à la réputation ou préjudice important dans leur vie personnelle, sociale ou professionnelle.
Ce qu'il faut retenir :
Face à un incident cyber, le mauvais réflexe est d’attendre. Le bon est d’agir vite, documenter, alerter, se faire accompagner et évaluer sans délai le risque pour les patients.
L’objectif n’est pas de faire de vous des experts de la cybersécurité, mais de vous donner des repères simples pour protéger votre activité, votre cabinet et les données confiées par vos patients.
