Table Of Content

« Nom, prénom, numéro de téléphone et/ou adresse postale ». Les « données administratives » de quelque 15 millions de Français ont été piratées lors d’une attaque survenue fin 2025 auprès de 1 500 médecins utilisant le logiciel de la société Cegedim Santé, a confirmé vendredi 27 février le ministère de la Santé. 

Pour 169 000 patients, ces données sont assorties d’annotations libres saisies par les médecins, « dont certaines peuvent être des données sensibles », soit « 1 % des cas », a précisé le ministère de la Santé lors d’un point presse organisé au lendemain des révélations de France 2 sur cette affaire.

Le parquet de Paris a indiqué avoir saisi la Brigade de lutte contre la cybercriminalité d’une enquête « pour atteintes à un système automatisé de données », ouverte à la suite de la plainte déposée par Cegedim Santé le 27 octobre 2025. 

Le piratage a porté sur « 19 millions de lignes informatiques », dont 4 millions de doublon, contenues dans une base de données ayant « entre 3 et 15 ans d’historique, en fonction de la date d’installation du logiciel dans les cabinets des médecins ». Cela explique qu’elle contienne les données de millions de patients, soit bien plus que les informations saisies par 1 500 médecins, a expliqué le ministère.

« Il n’y a pas de documents de santé qui ont été diffusés, ni ordonnances, ni résultats d’examens de biologie », a affirmé la même source, tout en admettant ne pas avoir de « visibilité exhaustive sur l’étendue des données administratives » dérobées.

Pour le ministère, le seul fait nouveau relatif à ce cyberpiratage qui « date de la fin 2025 » est sa « revendication par le hacker », à « l’identité » et « la nationalité » pour l’heure non identifiées. Un groupe de hackers nommé DumpSec a revendiqué le vol de ces données, expliquant qu' »un ancien membre » avait ensuite « décidé de revendre une partie des informations », rapporte l’expert en cybersécurité Damien Bancal sur son site.

À lire aussiPiratage de données bancaires : la France « très mauvaise élève » en matière de cybersécurité

Interrogée par l’AFP, la Commission nationale de l’informatique et des libertés (Cnil) a indiqué ne pas être « en capacité, à ce stade, de confirmer l’ampleur de la violation alléguée ». Elle va analyser « ces révélations avec attention, et diligentera des contrôles si nécessaire ».

Cegedim sommée de rendre des comptes

France 2, qui a révélé l’affaire jeudi 26 février, affirme avoir retrouvé des données « très précises » sur plusieurs patients –leur homosexualité ou qu’ils soient atteints du sida– émanant de la fuite. Des informations sur des dirigeants politiques de premier plan y figureraient aussi, selon la chaîne publique. 

Vendredi, le ministère de la Santé a précisé à l’AFP avoir enjoint à la société Cegedim Santé, acteur important du secteur de la gestion des données médicales en France, de mettre « immédiatement en œuvre » des mesures correctives après cette cyberattaque.

Cette société a porté plainte le 27 octobre 2025 et une enquête pénale pour « atteintes à un système automatisé de données » est en cours.

Cegedim Santé – filiale de Cegedim – a admis vendredi avoir été victime fin 2025, d’une cyberattaque ayant visé 1 500 praticiens sur les 3 800 médecins utilisateurs de son logiciel MLM.

Sollicitée par l’AFP, l’entreprise « réfute qu’il s’agit d’une attaque sur les données médicales : en effet, les dossiers médicaux structurés des patients sont demeurés intègres ».

Selon l’entreprise, qui dit « accompagner au mieux » ses clients et leurs patients et vouloir « coopérer pleinement avec les autorités », « l’incident concerne 15,8 millions de dossiers administratifs (…) parmi lesquels 165 000 comportent une annotation personnelle du médecin relative à une information sensible (liée ou non à la santé) ».

 

À voir aussiCybersécurité : l’Europe se prive-t-elle de ses propres forces ?

« Sous-investissement »

Le ministère a de son côté pointé la responsabilité du « prestataire privé, responsable du traitement des données ».

Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, la fuite « très grave », qui pourrait être « la plus grosse en France » dans la santé, aura des « conséquences irrémédiables ». Car « une information de santé qui dit : ‘Vous avez le sida’ ou ‘vous avez telle maladie’, une fois qu’elle est sortie, vous ne pourrez plus jamais revenir en arrière », dit-il à l’AFP.

Il y voit la conséquence d’un « sous-investissement en cybersécurité depuis des années » dans la santé.

Agnès Giannotti, la présidente de MG France – principal syndicat de médecins généralistes – a reconnu vendredi sur France Inter « un vrai souci de confiance et de sécurité pour les patients et de pénalisation de notre exercice ».

En septembre 2024, la Cnil avait infligé à Cegedim Santé une amende de 800 000 euros, pour avoir traité des données de santé sans autorisation.

Avec AFP

Cyberattaque : 15 millions de Français à la merci des hackers, et Cegedim fait l’autruche

Une fuite de données colossale, des promesses de sécurité en l’air : la France, championne du monde du sous-investissement en cybersécurité, est à nouveau à la une.

Fin 2025, un groupe de hackers a décidé de faire un petit tour dans les dossiers administratifs de 15 millions de Français. Oui, vous avez bien lu : 15 millions ! C’est comme si un voleur de bonbons s’introduisait dans une confiserie et s’emparait de tout le stock. Le ministère de la Santé, en mode « tout va bien », a confirmé la nouvelle le 27 février, comme si cela ne concernait que quelques malheureux clients d’un supermarché.

Ce qui se passe réellement

Les données administratives de 15 millions de Français ont été piratées lors d’une attaque ciblant 1 500 médecins utilisant le logiciel de la société Cegedim Santé. Pour 169 000 patients, ces données sont assorties d’annotations libres saisies par les médecins, « dont certaines peuvent être des données sensibles », soit « 1 % des cas », a précisé le ministère. Le parquet de Paris a ouvert une enquête pour « atteintes à un système automatisé de données » après la plainte déposée par Cegedim Santé.

Le piratage a concerné « 19 millions de lignes informatiques », dont 4 millions de doublons, dans une base de données ayant entre 3 et 15 ans d’historique. Le ministère a assuré qu’aucun document de santé n’avait été diffusé, mais avoue ne pas avoir de « visibilité exhaustive sur l’étendue des données administratives » dérobées.

Cegedim sommée de rendre des comptes

La chaîne France 2 a révélé que des données « très précises » sur plusieurs patients, comme leur homosexualité ou leur statut VIH, figurent dans la fuite. Le ministère de la Santé a donc demandé à Cegedim de mettre « immédiatement en œuvre » des mesures correctives. Mais Cegedim, en bon élève, a préféré jouer la carte de l’innocence, affirmant que les dossiers médicaux étaient intacts. Un peu comme un enfant pris la main dans le pot de confiture qui jure n’avoir rien fait.

Pourquoi cela dérange

Cette fuite massive soulève des questions sur la sécurité des données personnelles. Les experts s’accordent à dire que cette situation est le résultat d’un « sous-investissement en cybersécurité depuis des années ». En gros, la France a misé sur le « ça ira » au lieu de s’assurer que les données de ses citoyens soient protégées. Comme si on laissait la porte ouverte d’une banque en espérant que personne ne viendrait y piquer des billets !

Ce que cela implique concrètement

Les conséquences sont lourdes. Une information de santé sensible, une fois divulguée, ne peut jamais être effacée. Les patients sont désormais exposés à des risques de discrimination, de stigmatisation, et d’atteinte à leur vie privée. Et tout cela pour quoi ? Pour une gestion des données qui ressemble plus à un château de cartes qu’à un système sécurisé.

Lecture satirique

Les discours politiques sur la sécurité des données semblent s’éloigner de la réalité. Pendant que les responsables se congratulent sur leurs initiatives de cybersécurité, la réalité est que 15 millions de Français se retrouvent à la merci de hackers. Une belle promesse de sécurité qui se transforme en un fiasco retentissant. Comme quoi, les mots peuvent être aussi vides que les coffres-forts de Cegedim.

Effet miroir international

À l’étranger, des pays comme les États-Unis et la Russie montrent comment une gestion laxiste des données peut mener à des dérives autoritaires. Pendant que la France se débat avec ses propres problèmes de cybersécurité, d’autres nations continuent de surveiller et de contrôler leurs citoyens, prouvant que la sécurité des données est un enjeu mondial, et pas seulement une préoccupation locale.

À quoi s’attendre

Si cette situation ne pousse pas à une réforme radicale de la cybersécurité en France, on peut s’attendre à d’autres fuites de données à l’avenir. La confiance des citoyens dans les institutions est déjà ébranlée, et cette affaire ne fera qu’aggraver le fossé entre les promesses politiques et la réalité.

Sources

Source : www.france24.com

Les données personnelles de 15 millions de patients piratées en France
Visuel — Source : www.france24.com
Partager ici :
Tags:
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire