Cyberattaque de fichiers médicaux : les "données administratives" de 15 millions de Français ont fuité, indique le ministère de la Santé

Les "données administratives" telles que le "nom, prénom, numéro de téléphone et/ou adresse postale" de quelque 15 millions de Français ont fait l'objet d'une fuite massive, a annoncé le ministère de la Santé vendredi 27 février, lors d'une cyberattaque fin 2025 qui a visé 1.500 médecins utilisateurs d'un logiciel de la société Cegedim Santé.

Pour 169.000 patients, ces données sont assorties d'annotations libres saisies par les médecins, "dont certaines peuvent être des données sensibles", soit "1% des cas", a précisé le ministère lors d'un point presse organisé au lendemain des révélations de France 2 sur cette affaire. "Il n'y a pas de documents de santé qui ont été diffusés, ni ordonnances, ni résultats d'examens de biologie", a ajouté le ministère.

Pas d'informations précises sur l'identité du hacker

L'éditeur du logiciel ciblé, Cegedim Santé, a admis vendredi avoir été victime d'une cyberattaque et a affirmé dans un communiqué que les "dossiers médicaux structurés des patients sont restés intègres".

Le ministère a aussi rappelé que l'incident "date de la fin 2025" et que le seul fait nouveau est "la revendication par le hacker" dont "on ne sait pas dire s'il est lui-même à l'origine ou s'il a récupéré les fichiers dans le cadre d'une publication sur le dark web". "Nous n'avons pas d'informations à communiquer à date, ni sur l'identité, ni sur la nationalité du hacker", a déclaré la même source.

Le ministère de la Santé a demandé à Cegedim de "rendre des comptes sur les causes techniques de cet incident" et de mettre en place "des garanties pour nous permettre d'être rassurés sur la possibilité de prévenir toute récurrence". Toutes les autorités concernées ont été saisies et une plainte a également été déposée auprès du procureur de la République, a déclaré Cegedim.

Cette fuite pourrait avoir des conséquences irrémédiables

Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, cette fuite "très grave", qui pourrait être "la plus grosse en France" dans la santé, aura des "conséquences irrémédiables", selon Gérôme Billois, expert en cybersécurité au cabinet Wavestone, qui s'est exprimé à l'AFP. Il y voit le fruit d'un "sous-investissement en cybersécurité depuis des années" dans le secteur de la santé. 

"Ce qui fait la grande valeur" de ces données, "c'est qu'elles sont constantes : votre numéro de sécurité sociale, votre date de naissance, votre nom de famille, votre numéro de téléphone et votre vrai e-mail, pas une adresse jetable.... Pour un pirate, elles sont d'autant plus monétisables qu'elle peuvent être revendues sur la durée à d'autres cybercriminels, ou alimenter des tentatives d'extorsion", souligne auprès de l'AFP Nicolas Arpagian, directeur de la stratégie de la société Jizô AI.

Une enquête ouverte

Suite à la plainte de Cegedim Santé, le parquet de Paris a saisi la Brigade de lutte contre la cybercriminalité en vue d'une enquête "pour atteintes à un système automatisé de données", a indiqué le parquet à l'AFP ce vendredi 26 février. 

En septembre 2024, la Cnil avait infligé à Cegedim Santé une amende de 800.000 euros, pour avoir notamment traité des données de santé sans autorisation, pointant notamment "la gravité des manquements" observés, le "caractère massif" du traitement des données concernées.

À lire aussi

robots

Utiles pour préparer les commandes : pourquoi les robots humanoïdes intéressent-ils les commerçants ?