Une cyberattaque d'ampleur expose les données de millions de patients
Le ministère de la Santé a confirmé ce vendredi une fuite massive de données administratives et médicales affectant près de 15 millions de Français. Cette violation résulte d'une cyberattaque ciblant 1 500 médecins utilisateurs d'un logiciel développé par la société Cegedim Santé, un acteur majeur de la gestion des données médicales en France.
Des données sensibles parmi les informations dérobées
Si la majorité des données exposées concernent des informations administratives standard – noms, prénoms, numéros de téléphone et adresses postales –, le ministère a reconnu que pour 169 000 patients, soit environ 1% des cas, des annotations libres rédigées par les médecins ont également été compromises. Certaines de ces annotations contiennent des données sensibles, bien que le ministère affirme qu'aucun document de santé formel, comme des ordonnances ou résultats d'examens biologiques, n'a été diffusé.
France 2, qui a révélé l'affaire en premier, rapporte avoir identifié dans les données fuites des informations "très précises" sur certains patients, incluant leur homosexualité ou leur statut séropositif. Des données concernant des personnalités politiques de premier plan figureraient également parmi les informations exposées.
Une base de données historique vulnérable
Le piratage a ciblé 19 millions de lignes informatiques contenues dans une base de données comportant entre trois et quinze ans d'historique, selon la date d'installation du logiciel dans les cabinets médicaux. Cette ancienneté explique pourquoi le nombre de patients affectés dépasse largement le nombre de médecins directement visés par l'attaque.
Le ministère précise que le cyberpiratage "date de la fin 2025", mais que l'élément nouveau est sa revendication par un groupe de hackers nommé DumpSec. Selon l'expert en cybersécurité Damien Bancal, le groupe affirme qu'un ancien membre a ensuite décidé de revendre une partie des informations volées.
La Cnil lance une enquête approfondie
La Commission nationale de l'informatique et des libertés (Cnil) a indiqué ne pas être "en capacité, à ce stade, de confirmer l'ampleur de la violation alléguée". L'autorité de protection des données a cependant annoncé qu'elle allait analyser ces révélations avec attention et diligenter des contrôles si nécessaire.
Parallèlement, la Brigade de lutte contre la cybercriminalité a ouvert une enquête pour "atteintes à un système automatisé de données", comme l'a confirmé le parquet de Paris.
Responsabilité pointée et antécédents préoccupants
Le ministère de la Santé a immédiatement enjoint à Cegedim Santé de mettre "immédiatement en œuvre" des mesures correctives suite à cette cyberattaque. L'entreprise a reconnu avoir été victime fin 2025 d'une attaque ayant touché 1 500 praticiens sur les 3 800 médecins utilisateurs de son logiciel MLM.
Le ministère a clairement pointé la responsabilité du "prestataire privé, responsable du traitement des données". Cette mise en cause intervient dans un contexte où Cegedim Santé avait déjà été sanctionnée par la Cnil en septembre 2024, avec une amende de 800 000 euros pour avoir traité des données de santé sans autorisation préalable.
Gérôme Billois, expert en cybersécurité au cabinet Wavestone, analyse cette faille comme la conséquence d'un "sous-investissement en cybersécurité depuis des années" dans le secteur de la santé. Cette situation soulève des questions cruciales sur la protection des données sensibles dans un environnement numérique de plus en plus exposé aux menaces cybercriminelles.
