Une cyberattaque d’une ampleur sans précédent a frappé le secteur de la santé en France, révélant une fuite de données touchant environ 15 millions de citoyens. Ce vendredi 27 février, le ministère de la Santé a confirmé que des informations sensibles, incluant les données administratives de patients, avaient été compromises suite à l’attaque ciblant 1 500 médecins utilisant le logiciel de la société Cegedim Santé.
EN BREF
- 15 millions de données de santé compromises suite à une cyberattaque.
- Cegedim Santé a été sommé de prendre des mesures correctives immédiates.
- Le ministère assure qu’aucun document médical n’a été diffusé.
Cette fuite massive concerne principalement des informations telles que le nom, le prénom, le numéro de téléphone et l’adresse postale des patients. Plus alarmant encore, pour 169 000 d’entre eux, des commentaires libres rédigés par les médecins pourraient contenir des données sensibles, représentant environ 1 % des cas. Lors d’un point de presse, le ministère a toutefois précisé qu’aucun document de santé, comme des ordonnances ou des résultats d’examens, n’avait été diffusé. Toutefois, l’étendue exacte des données administratives compromises reste incertaine.
Le ministère a également souligné que la cyberattaque, qui remonte à la fin de l’année 2025, a été revendiquée par un hacker dont l’identité et la nationalité sont encore inconnues. Il n’est pas certain que ce dernier soit à l’origine de la fuite, car il pourrait avoir récupéré les fichiers via une publication sur le dark web.
La chaîne France 2, qui a été la première à rapporter l’incident, a indiqué que certaines données très précises issues de cette fuite sont actuellement en accès libre sur Internet, incluant des informations concernant des personnalités politiques de premier plan. Toutefois, le ministère n’a pas fourni de détails supplémentaires à ce sujet.
En réponse à cette crise, le ministère de la Santé a exigé que Cegedim Santé, un acteur clé dans le domaine des logiciels médicaux, mette en œuvre des mesures correctives immédiates pour garantir la sécurité des données. Cegedim Santé, qui gère également la facturation des professionnels de santé, a reconnu avoir été victime de cette cyberattaque et a déclaré que des investigations étaient en cours.
Dans un communiqué, la société a précisé que seules des données administratives avaient été consultées ou extraites illégalement, tout en assurant que les dossiers médicaux structurés des patients étaient restés intacts. Néanmoins, des annotations personnelles de certains médecins, potentiellement sensibles, ont été compromises pour un nombre limité de patients.
Le ministère a mis en avant la responsabilité de Cegedim Santé, soulignant que cette fuite ne résultait pas d’une défaillance des systèmes du ministère ni d’une infrastructure publique. Les experts en cybersécurité, comme Gérôme Billois du cabinet Wavestone, ont qualifié cette fuite de « très grave », la décrivant comme potentiellement « la plus grosse en France » dans le secteur de la santé. Ils pointent du doigt un sous-investissement chronique en cybersécurité dans ce domaine.
Les données de santé, qui touchent à l’intimité des individus, bénéficient d’une protection juridique stricte. Nicolas Arpagian, expert dans le domaine, a souligné que la divulgation de telles informations pourrait avoir des conséquences durables et irréversibles pour les personnes concernées.
La Commission nationale de l’informatique et des libertés (Cnil) avait déjà sanctionné Cegedim Santé en septembre 2024 avec une amende de 800 000 euros pour avoir traité des données de santé sans autorisation, révélant ainsi la gravité des manquements dans la gestion des données personnelles au sein de cette entreprise.
Les autorités continuent de suivre de près cette affaire, qui soulève des questions cruciales concernant la sécurité des données de santé et la protection de la vie privée des citoyens.
