Cyberattaque historique: 15 millions de dossiers patients exposés en France

Une cyberattaque d’envergure, révélée fin février, a compromis les données administratives d’environ 15 millions de patients en France. L’attaque, qui remonte à la fin de l’année 2025, a ciblé 1 500 médecins utilisant un logiciel édité par Cegedim Santé, acteur majeur de la gestion numérique des données médicales.

Selon le ministère de la Santé, les informations concernées incluent les noms, prénoms, numéros de téléphone et adresses postales des patients. Pour environ 169 000 d’entre eux — soit près de 1 % des cas — ces données comporteraient également des annotations libres rédigées par les médecins, dont certaines pourraient contenir des éléments sensibles.

Le parquet de Paris a ouvert une enquête pour « atteintes à un système automatisé de données » et confié les investigations à la brigade spécialisée en cybercriminalité. La procédure fait suite à une plainte déposée par Cegedim Santé le 27 octobre 2025.

Au total, la base piratée contenait 19 millions de lignes informatiques, dont environ 4 millions de doublons. Les données s’étendaient sur une période de trois à quinze ans, selon l’ancienneté d’installation du logiciel dans les cabinets médicaux. Cette durée explique l’ampleur exceptionnelle du nombre de patients concernés.

Les autorités assurent qu’aucun document médical structuré — ordonnances, résultats d’analyses ou comptes rendus — n’a été diffusé. Toutefois, elles reconnaissent ne pas disposer encore d’une vision exhaustive de l’ensemble des informations administratives dérobées.

La cyberattaque a été revendiquée par un groupe se présentant sous le nom de DumpSec, dont un ancien membre aurait tenté de revendre une partie des données. À ce stade, ni l’identité ni la nationalité du ou des auteurs n’ont été confirmées.

De son côté, la Commission nationale de l’informatique et des libertés (Cnil) a indiqué ne pas être en mesure de confirmer l’ampleur exacte de la violation, mais assure analyser les éléments disponibles et se réserve la possibilité de diligenter des contrôles.

L’affaire a pris une dimension supplémentaire après des révélations de France 2, qui affirme avoir consulté des données particulièrement sensibles concernant certains patients, notamment des informations relatives à leur orientation sexuelle ou à des pathologies graves. Des données concernant des responsables politiques figureraient également parmi les fichiers compromis.

Face à la gravité de la situation, le ministère de la Santé a sommé Cegedim Santé de mettre en œuvre sans délai des mesures correctives. L’entreprise reconnaît avoir été victime d’une attaque visant 1 500 praticiens sur les 3 800 utilisateurs de son logiciel MLM, mais conteste toute atteinte aux dossiers médicaux structurés, qu’elle affirme être restés intègres.

L’incident concernerait précisément 15,8 millions de dossiers administratifs, dont environ 165 000 comporteraient une annotation personnelle du médecin liée à une information sensible, qu’elle soit ou non médicale.

Pour les experts en cybersécurité, cette fuite pourrait constituer l’un des plus importants incidents de sécurité jamais enregistrés dans le secteur de la santé en France. Ils soulignent que la divulgation d’informations médicales sensibles peut avoir des conséquences irréversibles pour les personnes concernées.

Des représentants de la profession médicale ont également exprimé leur inquiétude, évoquant une crise de confiance majeure pour les patients et un impact direct sur l’exercice des médecins. L’affaire relance enfin les critiques sur un sous-investissement chronique dans la cybersécurité hospitalière et médicale.

À noter que la Cnil avait déjà sanctionné Cegedim Santé en septembre 2024 d’une amende de 800 000 euros pour traitement de données de santé sans autorisation, un précédent qui accentue aujourd’hui la pression sur l’entreprise.