Les données administratives de quelque 15 millions de Français ont fait l'objet d'une fuite massive lors d'une cyberattaque ayant visé 1 500 médecins utilisateurs d'un logiciel de la société Cegedim Santé, a admis vendredi le ministère de la Santé. Des commentaires rédigés par les médecins figurent également parmi les données dérobées.
15 millions de dossiers compromis
Le piratage a porté sur 19 millions de lignes informatiques, dont 4 millions de doublons, contenues dans une base de données ayant entre 3 et 15 ans d'historique. La fuite a principalement concerné des données telles que nom, prénom, numéro de téléphone ou adresse postale des patients.
Pour 169 000 d'entre eux, les données dérobées comportent des annotations libres saisies par les médecins, « dont certaines peuvent être des données sensibles », soit « 1 % des cas », selon le ministère. « Il n'y a pas de documents de santé qui ont été diffusés, ni ordonnances, ni résultats d'examens de biologie », a affirmé la même source.
À lire aussi
- Lait infantile : une toxine « anormale » retrouvée dans le lait d'un bébé mort à Angers
- Municipales 2026 : candidats, listes et règles de candidature
France 2 qui a révélé laffaire
France 2, qui a révélé l'affaire, affirme avoir retrouvé des données « très précises » sur plusieurs patients, notamment leur homosexualité ou qu'ils soient atteints du sida. Des informations sur des dirigeants politiques de premier plan y figureraient aussi.
Le groupe DumpSec revendique l'attaque
Le ministère présente cette cyberattaque comme datant de « la fin 2025 », le fait nouveau étant sa revendication par un hacker dont l'identité et la nationalité restent inconnues. Un groupe de hackers nommé DumpSec a revendiqué le vol, expliquant qu'« un ancien membre » avait « décidé de revendre une partie des informations », selon l'expert en cybersécurité Damien Bancal.
Cegedim Santé a porté plainte le 27 octobre 2025. Une enquête pénale pour « atteintes à un système automatisé de données » est en cours. La Cnil a indiqué ne pas être « en capacité, à ce stade, de confirmer l'ampleur de la violation alléguée ».
Un sous-investissement en cybersécurité
Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, cette fuite « très grave », qui pourrait être « la plus grosse en France » dans la santé, aura des « conséquences irrémédiables ». « Une information de santé qui dit : “Vous avez le sida”, une fois qu'elle est sortie, vous ne pourrez plus jamais revenir en arrière », dit-il à l'AFP.
Il y voit la conséquence d'un « sous-investissement en cybersécurité depuis des années » dans le secteur de la santé. Agnès Giannotti, présidente de MG France, principal syndicat de médecins généralistes, reconnaît « un vrai souci de confiance et de sécurité pour les patients ».
Le ministère a enjoint à Cegedim
Le ministère a enjoint à Cegedim Santé de mettre « immédiatement en œuvre » des mesures correctives. En septembre 2024, la Cnil avait déjà infligé à cette société une amende de 800 000 euros pour avoir traité des données de santé sans autorisation.
