Une cyberattaque d'ampleur frappe le secteur médical français
Le ministère de la Santé a révélé ce vendredi qu'une cyberattaque massive a ciblé 1 500 médecins utilisateurs d'un logiciel de la société Cegedim Santé. Cette attaque a provoqué une fuite de données administratives concernant environ 15 millions de Français, ainsi que des annotations médicales pour 169 000 patients, soit 1% des cas.
Des données sensibles exposées
Si la majorité des informations divulguées concernent des données administratives classiques - noms, prénoms, numéros de téléphone et adresses postales - l'attaque a également touché des « annotations libres » rédigées par les médecins. Le ministère précise que « certaines peuvent être des données sensibles », tout en affirmant qu'aucun document médical structuré (ordonnances, résultats d'examens) n'a été diffusé.
Le ministère reconnaît cependant ne pas avoir de « visibilité exhaustive sur l'étendue des données administratives » des 15 millions de personnes concernées. Cette cyberattaque, qui « date de la fin 2025 », a été récemment revendiquée par un hacker dont l'identité et la nationalité restent inconnues.
Des informations en libre accès
Selon France 2, qui a révélé l'affaire jeudi soir, des données « très précises » issues de cette fuite sont désormais « en libre accès » sur Internet. Des informations concernant des dirigeants politiques de premier plan y figureraient, bien que le ministère n'ait pas apporté de précisions sur ce point spécifique.
Le ministère de la Santé a indiqué avoir ordonné à Cegedim Santé de mettre « immédiatement en œuvre » des mesures correctives et d'apporter « des garanties » pour prévenir toute nouvelle fuite. La société a porté plainte le 27 octobre 2025 après que des salariés ont signalé avoir reçu des courriels d'extorsion.
Les explications de Cegedim Santé
Cegedim Santé, acteur majeur de l'hébergement des données médicales en France, a confirmé avoir été victime fin 2025 d'une cyberattaque ayant touché 1 500 praticiens sur les 3 800 médecins utilisateurs de son logiciel MLM. La société affirme que les données concernées proviennent « exclusivement » des dossiers administratifs des patients, mais reconnaît que pour « un nombre très limité » d'entre eux, ces dossiers pouvaient contenir « des annotations personnelles du médecin concernant des informations sensibles ».
L'entreprise maintient que les « dossiers médicaux structurés des patients sont restés intègres » et précise avoir informé les autorités de cet incident qu'elle considère comme « circonscrit ».
Des conséquences potentiellement irrémédiables
Le ministère a souligné la responsabilité du « prestataire privé, responsable du traitement des données », insistant sur le fait que cette fuite « ne résulte ni d'une défaillance des systèmes du ministère, ni d'une infrastructure relevant directement de l'État ».
Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, cette fuite « très grave », qui pourrait être « la plus grosse en France » dans le secteur de la santé, aura des « conséquences irrémédiables ». Il explique à l'AFP : « Une information de santé qui dit : “Vous avez le sida” ou “vous avez telle maladie”, une fois qu'elle est sortie, vous ne pourrez plus jamais revenir en arrière. »
L'expert y voit la conséquence d'un « sous-investissement en cybersécurité depuis des années » dans le secteur de la santé. Nicolas Arpagian, directeur de la stratégie de Jizô AI, rappelle quant à lui que « les données de santé ont une dimension émotionnelle très forte, parce que ça touche à l'intimité » des personnes.
Un contexte réglementaire tendu
Le ministère précise que le fait pour un médecin de consigner des annotations concernant « le quotidien et l'intimité des patients » n'enfreint pas le règlement général sur la protection des données (RGPD). Cependant, cette révélation intervient dans un contexte particulier pour Cegedim Santé.
En septembre 2024, la Commission nationale de l'informatique et des libertés (Cnil) avait infligé à l'entreprise une amende de 800 000 euros pour avoir notamment traité des données de santé sans autorisation. La Cnil avait alors pointé « la gravité des manquements » observés et le « caractère massif » du traitement des données concernées, soulignant les préoccupations existantes quant aux pratiques de l'entreprise en matière de protection des données.
