"Nom, prénom, numéro de téléphone et/ou adresse postale". Les "données administratives" de quelque 15 millions de Français ont été piratées lors d'une attaque survenue fin 2025 auprès de 1 500 médecins utilisant le logiciel de la société Cegedim Santé, a confirmé vendredi 27 février le ministère de la Santé. 

Pour 169 000 patients, ces données sont assorties d'annotations libres saisies par les médecins, "dont certaines peuvent être des données sensibles", soit "1 % des cas", a précisé le ministère de la Santé lors d'un point presse organisé au lendemain des révélations de France 2 sur cette affaire.

L'éditeur du logiciel ciblé, Cegedim Santé, a admis avoir été victime d'une cyberattaque fin 2025 avec pour conséquence une fuite de données personnelles de patients.

Entre 11 et 15 millions de personnes pourraient être concernées, selon France 2, qui a révélé cette affaire jeudi 26 février. Parmi elles, des données "très précises" sont "en libre accès" sur le net, a affirmé la chaîne publique, selon laquelle des informations sur des dirigeants politiques de premier plan y figurent.

Selon Cegedim Santé, acteur important du secteur de l'hébergement des données médicales en France, qui gère aussi la facturation des professionnels de santé, parmi les 3 800 médecins utilisateurs de son logiciel MLM, 1 500 ont été victimes d'une cyberattaque identifiée fin 2025.

"Après investigations poussées, il ressort que des données personnelles de patients du parc logiciel MLM ont été consultées ou extraites illégalement", a indiqué la société dans un communiqué, sans donner d'estimation du nombre de personnes touchées.

Cegedim sommée de rendre des comptes

Le ministère de la Santé a enjoint la société Cegedim, important fournisseur de logiciels médicaux, de mettre "immédiatement en œuvre" des mesures correctives après une fuite de données personnelles de patients dont l'ampleur comme les conséquences restent encore difficile à évaluer.

La ministre de la Santé, Stéphanie Rist, a demandé des comptes à la société, et "attend les conclusions des investigations en cours et veillera, en lien avec les autorités compétentes, à ce que toute la transparence soit faite sur cette situation", pointant la responsabilité du "prestataire privé, responsable du traitement des données".

Cette fuite "ne résulte ni d'une défaillance des systèmes du ministère, ni d'une infrastructure relevant directement de l'État", a-t-elle insisté.

Une plainte a également été déposée auprès du procureur de la République, a-t-elle ajouté.

Mais "les données de santé ont une dimension émotionnelle très forte, parce que ça touche à l'intimité" des individus, c'est pourquoi elles "bénéficient d'un régime de protection juridique plus élevé que la liste de vos courses dans votre carte de fidélité au supermarché", souligne auprès de l'AFP l'expert Nicolas Arpagian, directeur de la stratégie de la société Jizô AI.

"Sous-investissement"

Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, cette fuite "très grave", qui pourrait être "la plus grosse en France" dans la santé, aura des "conséquences irrémédiables". Car "une information de santé qui dit 'vous avez telle maladie', une fois qu'elle est sortie, vous ne pourrez plus jamais revenir en arrière", dit-il à l'AFP.

Il y voit la conséquence d'un "sous-investissement en cybersécurité depuis des années" dans le secteur de la santé.

Pour Nicolas Arpagian, "ce qui fait la grande valeur" de ces données, "c'est qu'elles sont constantes : votre numéro de sécurité sociale, votre date de naissance, votre nom de famille, votre numéro de téléphone et votre vrai e-mail, pas une adresse jetable.... Ces données perdurent : pour un pirate, elles sont d'autant plus monétisables qu'elle peuvent être revendues sur la durée à d'autres cybercriminels, ou alimenter des tentatives d'extorsion".

(AFP)