Cybersécurité en officine : ce que l'attaque Almerys nous oblige à mettre en place
L'attaque contre Almerys du 22 mai 2026 a exposé la fragilité de l'écosystème numérique officinal. Tour d'horizon concret des risques cyber pour l'officine et des mesures à mettre en place sans attendre.
L'attaque Almerys du 22 mai 2026 a rappelé que l'écosystème officinal — LGO, tiers payant, messagerie, télétransmission — est une cible. Pour une officine moyenne, cinq actions techniques et organisationnelles changent la donne : authentification forte, sauvegardes hors ligne, sensibilisation au phishing, mise à jour systématique des LGO, et procédure d'incident écrite. Aucune n'est coûteuse. Toutes sont attendues par la CNIL en cas de contrôle ou d'incident.
L'attaque contre Almerys du 22 mai 2026 a rappelé une réalité que beaucoup d'officines préfèrent ne pas regarder en face : l'écosystème numérique sur lequel repose le métier — LGO, tiers payant, télétransmission, messagerie sécurisée — est une cible attractive pour les cybercriminels. Pas parce que les officines sont riches, mais parce qu'elles concentrent des données de santé, des données bancaires, et qu'elles sont interconnectées à toute la chaîne de soin.
Voir notre article sur la cyberattaque Almerys →
Pourquoi l'officine est une cible
Quatre raisons concrètes :
- Concentration de données : 5 000 à 15 000 fiches patients dans une officine de taille moyenne, avec NIR, mutuelle, traitements en cours. Un jackpot pour qui veut revendre ou faire chanter.
- Interconnexions multiples : LGO ↔ Sesam-Vitale, ↔ DP, ↔ messageries de santé, ↔ tiers payant, ↔ banque. Une porte d'entrée = un risque de propagation.
- Sensibilité opérationnelle : un LGO bloqué 24 heures = pas de dispensation, pas de tiers payant. Pression immédiate sur le titulaire.
- Équipes hétérogènes : titulaires, adjoints, préparateurs, étudiants en stage — tout le monde a accès, peu ont eu une formation cybersécurité.
Les 5 mesures à mettre en place sans attendre
Aucune ne demande un budget important. Toutes sont attendues par la CNIL en cas d'incident.
1. Authentification forte sur les comptes critiques
LGO, messagerie pro, accès Ameli Pro, banque, comptes administrateur Windows : double authentification (2FA) obligatoire dès qu'elle est disponible. Mot de passe long (12+ caractères), unique par service, gestionnaire de mots de passe pour l'équipe.
Ce qu'il faut bannir : mot de passe partagé sur un post-it sous le clavier, compte "officine" générique utilisé par tout le monde, même mot de passe pour le LGO et la boîte mail.
2. Sauvegardes hors ligne et testées
Une sauvegarde qui n'est pas testée n'est pas une sauvegarde. Règle 3-2-1 :
- 3 copies des données
- 2 supports différents (disque local + cloud, ou cloud + disque déconnecté)
- 1 copie hors site et hors ligne (déconnectée du réseau)
Tester la restauration au moins une fois par an. Un rançongiciel chiffre aussi les sauvegardes connectées au réseau — la copie hors ligne est la seule garantie.
3. Sensibilisation au phishing — pour toute l'équipe
L'attaque cyber la plus fréquente n'est pas technique : c'est un mail piégé qu'un membre de l'équipe ouvre. Sensibiliser systématiquement à :
- Ne jamais cliquer sur un lien d'un mail demandant de "mettre à jour ses identifiants"
- Vérifier le nom de domaine de l'expéditeur (pas juste le nom affiché)
- Ne jamais transmettre de mot de passe par mail ou téléphone, même à "l'assistance"
- Doute → on appelle directement le service concerné, pas par les coordonnées du mail suspect
Le post-Almerys, c'est encore plus vrai : les données contractuelles volées peuvent servir à du phishing très ciblé.
4. Mise à jour systématique des logiciels
LGO, système d'exploitation (Windows), navigateurs, antivirus : mises à jour appliquées sans délai. La majorité des cyberattaques exploitent des failles déjà corrigées par les éditeurs depuis des semaines ou des mois.
Configurer en mises à jour automatiques quand c'est possible. Pour le LGO : exiger de l'éditeur un engagement de maintien à jour et un calendrier de patchs.
5. Procédure d'incident écrite
Le pire moment pour réfléchir, c'est quand l'attaque arrive. Préparer une fiche réflexe d'une page, affichée près du poste, contenant :
- Qui prévenir en interne (titulaire, adjoint en cas d'absence)
- Numéro du support LGO et du prestataire informatique
- Procédure pour déconnecter physiquement les postes du réseau (débrancher le câble Ethernet, désactiver le Wi-Fi)
- Numéro de Cybermalveillance.gouv.fr : 0 805 805 817
- Délai de notification CNIL en cas de violation de données : 72 heures
Que faire si on est victime
- Isoler : déconnecter les postes touchés du réseau (Ethernet débranché, Wi-Fi coupé). Ne pas éteindre les machines — cela peut détruire des preuves.
- Alerter : prévenir le prestataire informatique, l'éditeur du LGO, puis Cybermalveillance.gouv.fr.
- Notifier : si des données personnelles sont concernées, notification CNIL obligatoire dans les 72 heures (formulaire en ligne).
- Plainte : dépôt de plainte au commissariat ou en ligne sur pre-plainte-en-ligne.gouv.fr.
- Communiquer : informer les patients si leurs données ont pu être exposées. La transparence est exigée par le RGPD et préserve la relation de confiance.
Et au-delà ?
Pour aller plus loin, les officines volontaires peuvent :
- Engager un audit cybersécurité (prestataire spécialisé, environ 1 500-3 000 € pour une officine moyenne)
- Souscrire une assurance cyber-risque (devis variable selon CA et équipement)
- Former un référent cybersécurité dans l'équipe
- Adhérer aux dispositifs d'accompagnement de l'ANS (Agence du Numérique en Santé) — guides, autodiagnostics, programmes type "Hôpital numérique ouvert sur la ville"
À retenir
- L'attaque Almerys rappelle que l'officine est dans la chaîne cible.
- 5 mesures de base : authentification forte, sauvegardes 3-2-1, sensibilisation phishing, mises à jour, procédure d'incident écrite.
- En cas d'incident : isoler, alerter, notifier CNIL sous 72 h, déposer plainte.
- Le bon réflexe : préparer maintenant ce qu'on ne saura pas faire dans l'urgence.
À lire aussi sur Pharmactu :
À lire aussi
Cyberattaque d'Almerys : ce que les pharmaciens doivent anticiper au comptoir
Almerys, opérateur majeur du tiers payant, a subi une cyberattaque le 22 mai 2026. Des données administratives (identité, numéro de sécurité sociale, informations contractuelles) ont été exposées pour les assurés d'Alan, MGEN et AG2R La Mondiale, entre autres. Les données de santé et les coordonnées bancaires ne sont pas touchées. Les pharmaciens doivent anticiper des perturbations du tiers payant et rester vigilants face aux tentatives d'hameçonnage.
Tiers payant Carte Blanche Partenaires : la nouvelle convention FSPF du 2 juin 2026 (circulaire 2026-28)
La FSPF a publié le 2 juin 2026 sa circulaire 2026-28 actant la convention nationale de délégation de paiement pharmaceutique avec Carte Blanche Partenaires (CBP). Effet rétroactif au 1er janvier 2025, date à laquelle CBP a déployé son propre dispositif de tiers payant indépendant d'Almerys. Code préfectoral à utiliser : 37930151. La norme VISIODROITS® permet la consultation des droits patients en temps réel ; son activation chez l'éditeur logiciel est conseillée pour limiter les rejets de paiement, annoncés inférieurs à 0,5 % par CBP.
Prescription infirmière : la liste complète des produits et examens autorisés
L'arrêté du 26 juin 2026 (NOR : SFHH2617311A), publié au Journal officiel du 27 juin, fixe la liste des produits de santé et examens complémentaires que les infirmiers diplômés d'État sont autorisés à prescrire ou renouveler. Pris en application de la loi infirmière de juin 2025, il couvre six domaines : vaccination (calendrier vaccinal pour les 11 ans et plus), prévention et traitement des plaies (pansements, bas de contention, antiseptiques), santé sexuelle et reproductive (renouvellement contraceptifs oraux 6 mois max, contraception d'urgence, dépistage IST), sevrage tabagique (substituts nicotiniques), produits de santé courants (antalgiques palier I, sérum physiologique, dispositifs médicaux) et examens biologiques (NFS, ionogramme, ECBU, glycémie, HbA1c, INR, créatininémie). Le pharmacien va recevoir ces ordonnances au comptoir. Les renouvellements de contraceptifs doivent porter la mention "Renouvellement infirmier" et sont limités à 6 mois. La traçabilité au dossier patient et au DMP est obligatoire.