cropped-logo-horizontal.png

Fédération régionale de l’exercice coordonné et pluriprofessionnel en santé primaire de Nouvelle-Aquitaine. Fondée en 2008 et composée de professionnels de santé qui interviennent pour accompagner le développement et promouvoir ce “nouveau” mode d’exercice. 

Cyberattaque du logiciel WEDA : que s’est-il passé et comment réagir pour une MSP?

Résumé de la situation

Dans la nuit du lundi 10 novembre 2025, vers 23h30, l’éditeur du logiciel médical WEDA a détecté une « activité inhabituelle sur certains comptes utilisateurs, laissant penser à des tentatives d’accès non autorisés ». En réaction immédiate, par mesure de précaution, WEDA a coupé l’accès à sa plateforme et l’a mise en maintenance afin de stopper toute possibilité de fuite de données. Autrement dit, le service WEDA a été totalement indisponible pendant plusieurs jours, ce qui a laissé des milliers de MSP “dans le noir” sans accès aux dossiers patients. WEDA est l’un des principaux logiciels de gestion des dossiers patients en France, utilisé par environ 20 000 à 23 000 professionnels de santé.

La grande inquiétude concerne la confidentialité des données de santé des patients. WEDA héberge des données dites sensibles (dossiers médicaux complets, historiques de consultations, résultats d’examens, ordonnances, données de facturation, informations de Sécurité sociale type carte Vitale, etc.). Suite à l’intrusion, l’éditeur a reconnu que « les premières analyses indiquent que les accès malveillants auraient pu permettre une extraction partielle de données, mais ni l’ampleur ni la confirmation formelle d’une fuite ne sont encore établies ». En d’autres termes, il est possible que des données personnelles de santé aient été copiées par les pirates, même si l’on ne connaît pas encore précisément quelles données ni en quelle quantité. Ceci fait craindre une fuite de données médicales sensibles sur de nombreux patients.

 

À ce stade, aucun groupe de hackers n’a publiquement revendiqué l’attaque, et WEDA n’a pas communiqué sur une demande de rançon spécifique. Les informations disponibles suggèrent que l’intrusion proviendrait d’identifiants utilisateurs compromis. En effet, WEDA a signalé que plusieurs comptes de professionnels de santé utilisant la plateforme ont été compromis par des logiciels malveillants de vol de données (cleptogiciels) sur les postes de travail des utilisateurs. Autrement dit, il est possible que les pirates aient volé les identifiants de connexion WEDA de certains soignants (via un virus type keylogger ou via une réutilisation de mot de passe) puis s’en soient servis pour pénétrer le système. L’éditeur a joué la transparence relative en informant régulièrement ses clients de la situation. Il n’a toutefois pas encore confirmé publiquement si des données ont bien été volées ou non. Par précaution juridique, WEDA a notifié les autorités compétentes de l’incident : la CNIL (le régulateur français des données personnelles) et l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ont été informées, et une plainte pénale a été déposée auprès des services de police/gendarmerie.

Les risques potentiels pour les MSP et leurs patients

Une telle cyberattaque sur un outil central comme WEDA comporte plusieurs types de risques qu’il faut bien comprendre :

  • Pour les MSP utilisatrices de WEDA, l’indisponibilité soudaine du logiciel a entraîné une paralysie de l’activité courante. Sans accès aux dossiers informatisés, les équipes ont dû revenir à des méthodes papiers pour les consultations, ce qui rallonge le temps de travail et augmente le risque d’erreurs (oublis d’antécédents, prescriptions incomplètes, etc.). En somme, la continuité des soins a été affectée : les professionnels se sont retrouvés temporairement « aveugles » sur l’historique de leurs patients, avec un potentiel impact sur la qualité et la sécurité des soins prodigués.
 
  • Risque de violation de la confidentialité des données patients : Le risque le plus préoccupant à long terme est la compromission des données médicales. Si les hackers ont effectivement réussi à extraire des données de WEDA, cela signifie que des informations personnelles de santé (parmi les plus sensibles qui soient) pourraient se retrouver entre de mauvaises mains. On parle de données couvertes par le secret médical – pathologies, traitements, comptes rendus, résultats de laboratoire – associées aux informations administratives (identité, numéro de Sécurité sociale, coordonnées, etc.). Leur divulgation ou exploitation malveillante constituerait une atteinte grave à la vie privée des patients concernés. Chaque MSP est légalement garante du secret de ces données, WEDA étant considéré comme un sous-traitant de la MSP : une fuite de données peut mettre en cause la responsabilité du professionnel (même si l’attaque provient du prestataire informatique).
 
  • Risque d’usages malveillants des données volées : Si des données patients ont été dérobées, les conséquences potentielles vont au-delà du préjudice moral. Des acteurs mal intentionnés pourraient s’en servir pour commettre des fraudes ou des escroqueries. Connaître des détails sur la santé d’une personne peut faciliter des campagnes de phishing ciblé : un patient pourrait recevoir un faux e-mail prétendant venir d’un hôpital ou de la Sécu, mentionnant son état de santé réel pour le tromper. Il existe aussi un risque de chantage ou d’extorsion si des données très sensibles tombaient entre les mains de criminels sans scrupules. Bien que ces scénarios soient pour l’instant hypothétiques, il est important d’en être conscient pour mieux s’y préparer et informer les patients.
 
  • Risque juridique et réglementaire pour les professionnels de santé : En cas de violation avérée de données personnelles de santé, les MSP (en tant que « responsables de traitement » au sens du RGPD) ont des obligations légales précises, notamment notifier l’incident à la CNIL et aux patients (voir section suivante). Si ces obligations ne sont pas respectées, ou si des manquements en matière de protection des données sont constatés, la CNIL pourrait prononcer des sanctions (amendes, avertissements, etc.). Par ailleurs, des patients estimant un préjudice pourraient engager la responsabilité civile du professionnel ou de la structure pour défaut de sécurisation de leurs données.
 

Tant que toutes les causes de l’intrusion ne sont pas élucidées, on ne peut exclure que les pirates tentent de revenir à la charge. Par exemple, s’ils ont compromis des comptes utilisateurs, ils pourraient essayer d’exploiter ces mêmes identifiants sur d’autres services ou réseaux liés à la MSP. Il est donc crucial de renforcer dès maintenant votre cyberdéfense pour éviter de nouvelles déconvenues.

Que faire ? Guide des actions à entreprendre

Notifiez la CNIL

Face à cette situation exceptionnelle, il est normal de se sentir démuni. Afin de réagir de manière structurée, nous vous proposons un plan d’action clair en plusieurs étapes. Ce guide vous aidera à vérifier l’état de vos systèmes, à remplir vos obligations réglementaires et à renforcer la sécurité pour l’avenir.

1️. Vérifications immédiates dans votre structure

Contrôlez l’accès à vos dossiers et applications : Dès que vous récupérez un accès (même partiel) à WEDA ou à vos sauvegardes papier, prenez le temps de vérifier que vos données patients sont toujours présentes et intactes. Parcourez quelques dossiers médicaux pour vous assurer qu’aucune information essentielle n’a disparu ou été altérée pendant la panne. À première vue, l’attaque WEDA n’a pas consisté à effacer ou modifier des données, mais uniquement à y accéder de façon illicite. Si vous utilisez des logiciels locaux en parallèle de WEDA, vérifiez aussi qu’ils fonctionnent normalement et qu’aucune donnée n’y a été affectée.

Scrutez d’éventuelles connexions ou activités anormales : Si WEDA ou vos outils informatiques le permettent, consultez les journaux de connexion (logs) de ces derniers jours. Recherchez par exemple : des connexions à des heures indues ou depuis des adresses IP géographiquement incohérentes (ex. une connexion sur votre compte WEDA à 3h du matin ou depuis un pays étranger inattendu). WEDA a indiqué que l’attaque a impliqué certains comptes utilisateurs compromis – peut-être que votre propre compte ou celui d’un collaborateur fait partie de ces cas.

Vérifiez vos équipements et réseaux internes : Bien que l’attaque ait visé la plateforme WEDA centralisée, profitez-en pour faire un petit état des lieux de vos postes de travail et réseaux au sein de la MSP. Assurez-vous que vos ordinateurs professionnels sont bien à jour (système d’exploitation, antivirus) et lancez une analyse antivirus/anti-malware complète sur chaque poste. En effet, si l’hypothèse des identifiants volés via un malware se confirme, il se peut qu’un ou plusieurs de vos ordinateurs aient été infectés à votre insu.

Documentez l’incident de votre côté : Il est recommandé de tenir un journal interne de tout ce que vous constatez et entreprenez suite à l’incident. Notez les dates et heures clés (coupure de WEDA, rétablissement partiel, etc.), les actions réalisées (changement de mot de passe, scans antivirus, contact avec tel service…) et les éventuels problèmes rencontrés. Cette documentation vous servira en cas de questionnements ultérieurs (par la CNIL par exemple) et vous aidera à tirer des leçons de la crise une fois celle-ci terminée.

2️. Notification à la CNIL et respect des obligations légales

Notifiez la CNIL : Dès qu’une violation de données personnelles est suspectée ou avérée, la loi (RGPD) impose aux responsables de traitement (donc à vous, professionnels de santé, pour vos fichiers patients) de notifier l’incident à la CNIL si celui-ci est susceptible de porter atteinte aux personnes concernées. Dans le doute, il est généralement conseillé de procéder à la notification. Dans le cas de WEDA, l’éditeur a déjà informé la CNIL de l’incident global. Cependant, cela ne vous dédouane pas de votre propre obligation en tant que détenteur des données patients de votre structure. Autrement dit, si des données de vos patients ont pu être compromises, il faut faire une notification à la CNIL en votre nom (MSP) pour signaler la violation.

Le délai à respecter : La réglementation impose une notification dans les 72 heures après avoir eu connaissance de la violation. En pratique, il s’agit de 72h après que vous ayez été informé que vos données patients ont potentiellement fuité. Si le délai de 72h est dépassé (vu que l’incident a quelques jours), expliquez-en la raison dans la notification – par exemple, le fait d’attendre les analyses de WEDA. L’important est d’adopter une démarche proactive et transparente vis-à-vis de la CNIL.

Comment notifier concrètement : La CNIL met à disposition un téléservice en ligne pour déclarer les violations de données (https://www.cnil.fr/fr/services-en-ligne/notifier-une-violation-de-donnees-personnelles). Vous devrez fournir des informations comme : la nature des données touchées (données de santé identifiantes), le nombre approximatif de personnes concernées (potentiellement l’ensemble de vos patients enregistrés dans WEDA), les conséquences probables (atteinte à la confidentialité des données médicales, risque de phishing, etc.), ainsi que les mesures déjà prises ou envisagées pour remédier au problème. Préparez ces éléments en amont pour remplir le formulaire de façon complète. Une fois la notification envoyée, la CNIL accusera réception et pourra revenir vers vous pour des détails ou des recommandations. Notez que notifier la CNIL vous place dans une démarche de conformité : cela montre que vous prenez vos responsabilités. La CNIL pourra clore la procédure si elle estime que vous avez géré correctement la situation (notamment si vous avez informé les patients et pris des mesures pour éviter un nouvel incident).

Notification aux patients: En plus de la CNIL, le RGPD prévoit que si la violation de données est susceptible d’engendrer un risque élevé pour les personnes, vous devez également en informer les personnes concernées. Des données de santé qui fuitent représentent clairement un risque élevé pour les droits et libertés des individus (atteinte à la vie privée, risque de discrimination, etc.). Vous devez notifier vos patients (voir section suivante sur le contenu de l’information aux patients). La CNIL elle-même pourra vous y enjoindre si elle constate que le risque est important et que vous ne l’avez pas fait spontanément. Là encore, la transparence est de mise : mieux vaut informer volontairement les personnes plutôt que d’attendre une demande officielle.

Coordination avec WEDA et les autorités : Dans cette étape, n’hésitez pas à échanger avec WEDA qui centralise l’enquête technique. L’éditeur pourra peut-être vous renseigner sur l’avancée des analyses. Par ailleurs, puisque WEDA a déposé plainte pour l’attaque, vous pouvez mentionner cette plainte dans votre notification CNIL et signaler que l’affaire est entre les mains des enquêteurs. Si vous estimez que votre MSP est directement victime (par exemple, si un poste informatique chez vous a été compromis), vous pouvez porter plainte vous-même à la gendarmerie/commissariat, en vous munissant de tous éléments utiles (logs, emails de WEDA, etc.). Ce n’est pas obligatoire si WEDA l’a déjà fait, mais c’est conseillé en cas d’utilisation frauduleuse avérée de données (la CNIL d’ailleurs recommande de déposer plainte en cas de cyberattaque conduisant à une violation de données). Dans tous les cas, conservez bien les preuves techniques (captures d’écran de messages d’erreur, emails reçus, copies d’éventuels messages des hackers s’il y en avait eu, etc.) au cas où les enquêteurs ou la CNIL en auraient besoin.

3️. Information des patients potentiellement concernés

Identifier les patients à informer : il faut envisager d’informer chaque patient dont les données médicales auraient pu être compromises. Cela peut représenter beaucoup de monde (potentiellement tous vos patients suivis via WEDA). En pratique, si on ne parvient pas à déterminer précisément quelles fiches ont été consultées/exfiltrées par les attaquants, il faudra opter pour une information large englobant l’ensemble de la patientèle de la MSP. Si en revanche WEDA ou l’enquête vous fournit une liste plus restreinte (par ex. les patients vus dans les X derniers jours, ou attachés aux comptes utilisateurs compromis), vous pourrez cibler l’information sur ce périmètre. Par prudence, mieux vaut voir large initialement, puis préciser ultérieurement.

Choisir le canal et le ton approprié : L’information aux patients doit être réalisée « en des termes clairs et simples » (exigence RGPD) – autrement dit, de manière pédagogique et sans jargon technique. Le canal dépend de vos habitudes de communication : cela peut être un courrier postal adressé à chaque patient, un mail (si vous avez les adresses et le consentement pour les utiliser), voire un appel téléphonique pour les cas les plus sensibles ou si vous connaissez bien la personne. Vous pouvez aussi afficher une note d’information dans la salle d’attente et sur votre site Internet (si vous en avez un) en indiquant qu’un incident de sécurité est survenu. Le ton à adopter doit être rassurant et factuel : il s’agit d’informer sans affoler inutilement. Montrez que vous gardez la situation sous contrôle et que vous prenez des mesures pour protéger vos patients.

Contenu du message aux patients : Expliquez brièvement ce qu’il s’est passé (ex. « Notre logiciel médical WEDA a été victime d’une cyberattaque le 10/11/2025, rendant nos dossiers temporairement inaccessibles. Il existe une possibilité que des données concernant vos soins aient été consultées par des personnes non autorisées. »). Indiquez quelles types de données sont potentiellement concernées : par exemple « identité, coordonnées, informations administratives (NIR, n° Sécurité sociale) et éléments du dossier médical informatisé (historique de consultations, résultats d’analyses, comptes rendus, etc.) ». Précisez les conséquences potentielles sans dramatiser : « Aucune mauvaise utilisation n’a été constatée à ce jour, mais ces informations pourraientêtre utilisées à des fins illégitimes. ». Recommandez-leur des précautions simples : par exemple, rester vigilants face à d’éventuels appels, SMS ou mails suspects demandant des informations personnelles en se faisant passer pour un professionnel de santé ou un organisme d’Assurance Maladie. Conseillez-leur de ne jamais divulguer de données sensibles par téléphone ou mail sans certitude de l’interlocuteur.

Rassurez et accompagnez vos patients : Insistez sur le fait que vous restez disponible pour répondre à leurs questions ou inquiétudes. Donnez-leur une personne de contact (par ex. vous-même ou le coordinateur de la MSP, votre DPO le cas échéant) qu’ils peuvent joindre pour toute clarification. Vous pouvez également les informer que l’incident a été signalé aux autorités (CNIL) et que des mesures sont en cours pour sécuriser le système. Le patient doit sentir que, même si un risque existe, sa MSP ne le laisse pas seul face à cela. Montrez de l’empathie : par exemple, « Nous sommes sincèrement désolés de ce désagrément et comprenons vos inquiétudes concernant la confidentialité de vos données de santé. Enfin, assurez-les que les soins continuent normalement (l’attaque n’affecte pas la qualité de la prise en charge médicale elle-même, seulement l’accès aux données pendant quelques jours).

4️. Renforcer la cybersécurité de votre MSP pour l’avenir

Une fois les mesures d’urgence gérées, il faut penser à l’avenir. Cet incident doit servir de leçon pour améliorer la résilience et la sécurité informatique de votre structure. Voici les bonnes pratiques à (re)mettre en place :

  • Mettez à jour et diversifiez tous vos mots de passe : Si ce n’est pas déjà fait, changez immédiatement le mot de passe de votre compte WEDA, ainsi que ceux de tous les comptes utilisateurs WEDA de votre équipe. Choisissez des mots de passe robustes (longs, mêlant lettres, chiffres, caractères spéciaux) et uniques pour chaque service. En effet, s’il s’avère que les pirates ont volé des identifiants WEDA, ils tenteront peut-être de les réutiliser ailleurs. L’ONSSF (Organisation Nationale des Sages-Femmes) a d’ailleurs explicitement recommandé à ses adhérents de vérifier qu’ils n’utilisaient pas le même mot de passe WEDA sur d’autres comptes professionnels, celui-ci ayant peut-être été compromis. Cette consigne vaut pour tous : aucun mot de passe ne doit être partagé entre WEDA et un autre service (messagerie, compte Ameli Pro, etc.). Si tel est le cas, changez ces mots de passe également. De manière générale, adoptez un gestionnaire de mots de passe pour vous aider à générer et stocker des identifiants forts et distincts pour chaque usage.
  • Mettez à jour vos dispositifs et logiciels : Assurez-vous que tous les ordinateurs, tablettes ou smartphones utilisés dans le cadre de la MSP ont les dernières mises à jour de sécurité installées. Cela concerne le système Windows/Mac, mais aussi les logiciels tiers (navigateur internet, client mail, etc.). De même, vérifiez régulièrement que l’anti-virus/anti-malware est actif et à jour sur chaque poste.
  • Établissez (ou révisez) un plan de continuité des activités : La crise WEDA a montré l’importance d’avoir un plan B lorsque l’outil principal flanche. Réunissez l’équipe pour formaliser un protocole de secours en cas de nouvelle interruption du logiciel médical : qui fait quoi, quels documents papier utiliser, comment accéder aux informations critiques (par ex. tenir à jour un registre papier des patients chroniques avec leurs dernières ordonnances, ou au moins être capable de les reconstituer rapidement).
  • Renforcez vos contrats et contacts techniques : Prenez contact avec votre prestataire informatique (si vous en avez un pour la MSP) afin de discuter des mesures de sécurité additionnelles possibles. Si vous dépendez principalement de l’éditeur du logiciel (WEDA/Vidal), assurez-vous d’avoir les coordonnées de support à jour, et n’hésitez pas à demander un compte rendu officiel une fois la crise passée, détaillant les causes de l’incident et les correctifs apportés.

 

Ressources utiles et contacts en cas de besoin

Pour vous accompagner, voici quelques ressources et contacts qui pourraient vous être utiles :

  • CNIL – Notification des violations de données : Le site de la CNIL propose un téléservice pour notifier une violation de données personnelles ainsi que des guides sur quoi faire en cas de fuite de données.
  • Plateforme d’assistance Cybermalveillance.gouv.fr : Cette plateforme nationale propose de l’aide aux victimes d’actes de cybermalveillance. Vous y trouverez des conseils pratiques (fiches réflexes, tutoriels vidéo) pour renforcer votre cybersécurité, ainsi qu’un annuaire de prestataires de proximité qualifiés en cas de besoin d’intervention technique
  • Support WEDA / Groupe VIDAL : Restez attentifs aux communications officielles de WEDA (emails, notifications sur l’application). Si nécessaire, contactez directement le support technique WEDA via les canaux habituels (numéro de support ou adresse email fournis dans votre contrat). L’éditeur étant basé en France (Montpellier) et faisant partie du Groupe Vidal, il dispose d’une cellule de crise dédiée à cet incident.
  • Assurance et aide juridique : Si votre MSP ou vous-même disposez d’une assurance en responsabilité cyber ou d’une protection juridique, prenez contact avec votre assureur. Nombre de contrats d’assurance professionnelle incluent aujourd’hui une assistance en cas de cyberattaque (hotline informatique, prise en charge d’un expert pour rétablir les systèmes, conseil juridique pour la notification CNIL, etc.). Vérifiez vos polices d’assurance RCP ou PJ pour voir si une clause cyber s’y trouve. De même, votre Conseil de l’Ordre professionnel peut fournir un appui ou des consignes lors d’incidents de ce type, n’hésitez pas à le notifier de manière informelle, surtout si un patient se plaint auprès de l’Ordre, ils seront déjà au courant du contexte.
  • Autorités compétentes : Outre la CNIL, l’ANSSI (www.ssi.gouv.fr) publie des guides de bonne pratique en sécurité numérique, y compris pour le secteur de la santé.
on résume

✔️ Checklist récapitulative : comment réagir face à l’attaque WEDA

  • Vérifier vos accès et données : Contrôlez que tous vos dossiers patients sont accessibles et complets, et qu’aucune activité inconnue n’a eu lieu sur vos comptes (consultez les journaux de connexion s’ils sont disponibles). Scannez vos ordinateurs à la recherche de virus ou malware.
  • Sécuriser vos comptes : Changez immédiatement le mot de passe de votre compte WEDA et de ceux de vos collaborateurs. Utilisez des mots de passe forts et uniques. Assurez-vous de ne pas réutiliser l’ancien mot de passe WEDA sur d’autres services. Activez la double authentification sur WEDA si possible, ou renforcez vos méthodes de connexion.
  • Notifier la CNIL rapidement : Déclarez l’incident via le téléservice de notification des violations de données de la CNIL. Fournissez un maximum d’informations (même partielles) et mettez à jour si besoin plus tard.
  • Informer les patients: Préparez un message clair, pédagogique et rassurant à destination des patients dont les données ont pu être compromises. Expliquez la situation, les données potentiellement en jeu, les risques éventuels et les précautions à prendre (vigilance contre d’éventuelles arnaques). Restez disponible pour leurs questions et montrez que vous prenez le sujet en main.
  • Renforcer la sécurité interne : Appliquez les leçons de cet incident : sensibilisez l’équipe aux cyber-risques (phishing, mots de passe, etc.), maintenez à jour vos logiciels et anti-virus, et envisagez des mesures supplémentaires (sauvegardes régulières des données, plan de continuité sur papier en cas de panne, etc.). Impliquez vos prestataires/experts au besoin pour sécuriser vos installations.
  • Utiliser les ressources d’aide : En cas de doute ou de difficulté, n’hésitez pas à exploiter les ressources officielles : CNIL (conseils juridiques), Cybermalveillance.gouv.fr (assistance technique et prévention), support WEDA/Vidal (informations sur l’incident, rétablissement du service), ainsi que votre assureur ou les organisations professionnelles pertinentes. Vous n’êtes pas seuls face à cette crise – cherchez conseil auprès des bonnes instances.
 

Et surtout, tracez, écrivez, notez tout sur un registre. Particulièrement chaque action que vous menez en vue de réagir à cette situation. C’est ce qui vous permettra d’attester, en cas de besoin, que vous avez pris la situation au sérieux et réagi face à elle pour en limiter les conséquences.

Enfin rappelez vous que la Boite A Outils de notre fédération dispose de multiples outils consacrés au RGPD ainsi qu’à la Cybersécurté.

Boite A Outils
Toute l'actu

Vous souhaitez payer votre adhésion :

Par Carte Bancaire
Par prélèvement automatique (SEPA)

Vous souhaitez payer votre adhésion :

Par carte bancaire
Par prélèvement automatique (SEPA)

Ressources

Système d’information

Ressources

SISA

Ressources

Projet de santé

Ressources

L’ACI-Aides

Procèder au règlement

Equipe de Soins Primaires professionnels de santé en démarrage de projet

50

Je m'inscris

à la Newsletter de AVECSanté Nouvelle – Aquitaine

Adhésion en équipe :

Je suis une MSP, ESP, ESS ou Centre de Santé

Ou

Je suis une CPTS

Nous contacter

Remplissez le formulaire et précisez votre demande dans le champ “message”.
Nous vous répondrons dans les plus brefs délais.

Merci, votre inscription est prise en compte. A bientôt.