Une cyberattaque d’une ampleur inédite a récemment frappé le secteur de la santé en France, exposant les données administratives de près de 15 millions de Français. Cette violation de données, qui a concerné 1.500 médecins utilisateurs d’un logiciel développé par la société Cegedim Santé, a soulevé des inquiétudes majeures quant à la sécurité des informations médicales et administratives des patients.
EN BREF
- 15 millions de données administratives piratées, incluant des informations sensibles.
- La fuite a été revendiquée par un groupe de hackers nommé DumpSec.
- Le ministère de la Santé a demandé des mesures correctives immédiates à Cegedim Santé.
Le ministère de la Santé a confirmé que les données compromises incluent des éléments tels que les noms, prénoms, numéros de téléphone et adresses postales des patients. En outre, pour environ 169.000 d’entre eux, des annotations personnelles rédigées par leurs médecins ont également été exposées, suscitant des préoccupations concernant la confidentialité des informations sensibles.
Les détails de cette cyberattaque révèlent qu’elle a touché une base de données contenant environ 19 millions de lignes d’informations, dont 4 millions sont des doublons. Cette base de données a été constituée au cours des 3 à 15 dernières années, en fonction de la date à laquelle le logiciel a été installé dans les cabinets médicaux. Cela signifie que les données de millions de patients, bien au-delà des seuls médecins affectés, sont désormais à risque.
Le ministère a rassuré en précisant qu’aucun document de santé, ordonnance ou résultat d’examen n’a été divulgué lors de cette cyberattaque. Toutefois, l’absence de clarté sur l’étendue des informations dérobées laisse place à l’inquiétude.
La cyberattaque, qui remonte à la fin de l’année 2025, a été récemment revendiquée par des hackers, mais leur identité et leur nationalité restent inconnues. Le groupe DumpSec a affirmé qu’un ancien membre du groupe avait décidé de revendre une partie des données obtenues, ce qui pourrait aggraver la situation.
La Commission nationale de l’informatique et des libertés (Cnil) a déclaré qu’elle n’est pas encore en mesure de confirmer l’ampleur de cette violation, mais qu’elle suivra l’affaire de près et procédera à des contrôles si nécessaire. France 2 a rapporté des informations personnelles sur des patients, y compris des détails concernant leur orientation sexuelle ou leur état de santé, ce qui soulève des questions éthiques et juridiques importantes.
En réponse à cette crise, le ministère de la Santé a exigé que Cegedim Santé, un acteur majeur dans la gestion des données médicales en France, mette en œuvre des mesures correctives immédiates. Cette société, qui a porté plainte pour atteinte à un système automatisé de données, a déclaré qu’elle coopérera pleinement avec les autorités.
Cegedim Santé a reconnu avoir été victime de cette cyberattaque, précisant qu’elle ne concerne pas les données médicales structurées, qui demeurent intactes. L’entreprise a déclaré que la violation concerne 15,8 millions de dossiers administratifs, dont une fraction contient des annotations personnelles des médecins relatives à des informations sensibles.
Les experts en cybersécurité, tels que Gérôme Billois, estiment que cette fuite est l’une des plus graves dans le secteur de la santé en France et pourrait avoir des conséquences irréversibles. Il souligne un problème de sous-investissement en cybersécurité, qui pourrait avoir permis cette violation.
Agnès Giannotti, présidente de MG France, principal syndicat de médecins généralistes, a exprimé des préoccupations quant à la confiance des patients et à la sécurité des données médicales, incitant à des réflexions sur la protection des informations personnelles dans le domaine de la santé.
La situation actuelle met en lumière les défis auxquels le secteur de la santé est confronté en matière de cybersécurité, et souligne l’importance de renforcer les mesures de protection pour éviter de telles violations à l’avenir.
