1. Maîtriser l’accès physique aux équipements informatiques
Vous avez déjà probablement adopté une routine cyber sécurité dans votre cabinet. Mais les pirates ayant souvent un coup d’avance, se tenir informé et actualiser ses procédures est l’une des clés pour réduire les risques numériques comme le rappelle le mémento du risque en exercice libéral, publié fin 2021 par l’Agence du Numérique en Santé.
En premier lieu, il peut être considéré comme essentiel de sécuriser l’accès aux outils informatiques qui hébergent des données vos patients.
Vous devez vous assurer que votre cabinet ou votre pharmacie est bien protégé contre les vols en installant par exemple un système de sécurité renforcée sur vos portes extérieures et fenêtres ou en faisant appel à une société de télésurveillance.
Veillez également à ce que vos équipements informatiques restent inaccessibles au public et surtout ne pas oublier de verrouiller votre poste de travail lorsque vous vous absentez de votre bureau.
2. Respecter les règles d’utilisation de votre Carte de Professionnel de Santé
En tant que professionnel de santé, vous disposez d’une carte CPS vous permettant d’échanger des données ou de rechercher des informations dans le DMP (dossier médical partagé) directement depuis votre ordinateur.
Cette carte est personnelle et ne peut en aucun cas être cédée à une tierce personne. Prenez soin de l’avoir toujours sur vous ou rangée dans un lieu sûr pour éviter les risques de perte ou de vol. Son code PIN doit être gardé secret et l’ensemble des documents en faisant mention doit être détruit.
En cas d’attaque numérique : le réflexe Assistance Cyber MACSF
Vous avez souscrit un contrat d’assurance Multirisque professionnel à la MACSF ? Vous pouvez bénéficier de notre prestation assurance Cyber-risques : si vous soupçonnez un hameçonnage ou une intrusion dans votre système informatique, avant toute démarche, contactez prioritairement votre assistance Cyber MACSF au
- disponible 7j/7 et 24h/24.
Un réflexe à avoir même en cas de doute sur un mail ou un fonctionnement inhabituel : nos experts sauront rapidement distinguer un bug de l’attaque et vous guider dans les premières actions à mener auprès de votre hébergeur, fournisseur d’accès internet, et autres.
Ce diagnostic préalable vous permettra aussi de faire valoir vos droits en cas de dégâts sur votre système informatique. Un numéro à conserver près de votre poste de travail, donc !
3. Sécuriser vos mots de passe informatiques
Un manque de rigueur dans la gestion des mots de passe est une des causes les plus souvent identifiées lors d’une intrusion informatique.
Les mots de passe doivent respecter certaines règles pour ne pas être facilement découverts par les outils à la disposition des pirates. Les spécialistes recommandent de les penser de façon à ce qu’ils soient :
- Longs d’au moins 12 caractères ;
- Composés de minuscules, majuscules, chiffres et signes spéciaux ;
- Mémorisés et non notés sur un support accessible à un tiers ;
- Uniques pour chaque compte.
Dès que cela est possible, l’authentification à double facteurs doit également être utilisée (application sur le téléphone par exemple). Elle permet de se prémunir contre le vol de mot de passe : ainsi, le seul mot de passe ne suffit plus pour accéder au compte et aux données

Bon à savoir
Pour vous aider à réduire les risques numériques, il existe des logiciels de gestion de mots de passe gratuits (ex. Keepas) permettant de les stocker, d’en générer de nouveaux et de les sécuriser avec un unique mot de passe « maître » robuste.
4. Penser à sauvegarder vos données
L’ensemble de vos données est à sauvegarder régulièrement, afin de pouvoir être facilement récupéré en cas d’incident. Ce risque numérique est d’autant plus important que les cyberattaques de type rançongiciel - qui ont la particularité de chiffrer vos données et de les rendre inutilisables - sont de plus en plus fréquentes dans le monde de la santé.
Les enregistrements sont réalisés sur des supports amovibles, déconnectés du poste informatique entre deux sauvegardes, et conservés dans un lieu sécurisé.
En cas de sauvegarde externe confiée à un organisme hébergeur de données, ce dernier doit être certifié HDS (Certification Hébergeur de Données de Santé). L'Agence du numérique en santé (ANS) recense plus de 140 hébergeurs certifiés, dont des éditeurs de logiciels, des sociétés spécialisées dans l'hébergement, des groupes de cliniques et des CHU.
Lorsque vous devez supprimer certaines données, soit parce qu’elles sont obsolètes, soit parce que la durée légale de conservation est dépassée, assurez-vous qu’elles ne seront plus du tout accessibles. Selon la technologie de sauvegarde, cela peut revenir à détruire les supports de stockage.
5. Utiliser une messagerie sécurisée
Il vous arrive certainement d’envoyer des documents concernant vos patients à des confrères ou à des établissements de santé depuis votre messagerie professionnelle ?
Sachez qu’il existe des outils de messagerie sécurisée de santé, comme Lifen, qui permettent de protéger vos échanges et de faire en sorte que ces données à caractère personnel et confidentiel ne soient pas interceptées et utilisées à des fins malveillantes.
Message à risques : comment réagir ?
En cas de réception d’un mail suspect, il est conseillé de réaliser des captures d’écran comme élément de preuve, de marquer le courrier comme indésirable et de déposer un signalement à cette adresse :
https://www.cybermalveillance.gouv.fr/
Cela permettra qu’il soit pris en compte dans le cadre de l’enquête ouverte par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.
6. Respecter les principes du règlement général sur la protection des données (RGPD)
Dans le cadre du RGPD, les professionnels de santé sont tenus de garantir la confidentialité des données de santé de leurs patients. Au quotidien comme en cas de partage de cabinet ou d’activité, ils doivent veiller à ce que chaque soignant de la structure ne puisse accéder qu’aux données qui lui sont nécessaires.
Cela vaut également pour l’ensemble de ses partenaires : prestataire de télémaintenance, plateforme de prise de rendez-vous…
7. Se former aux risques numériques
Se préserver des cyber risques passe souvent par avoir connaissance des principales menaces auxquelles un professionnel de santé peut être confronté. En gardant un œil sur l’actualité du risque numérique et en vous formant régulièrement, vous serez en mesure de réagir rapidement et vous saurez quelle attitude adopter pour limiter les dommages.