La société française de technologies de santé, Cegedim, a subi une cyberattaque majeure fin 2025 ayant compromis les données personnelles d’environ 15 millions de patients, a-t-on confirmé mercredi. Des pirates ont exploité des failles du logiciel médical largement utilisé par l’entreprise pour dérober les noms, les adresses et, dans certains cas, des notes médicales sensibles incluant des diagnostics de pathologies et des informations personnelles.
L’attaque a visé le logiciel « Mon Logiciel Médical » (MLM), un système de gestion de cabinet médical très répandu ; 1 500 sur 3 800 professionnels de santé utilisant la plateforme ont été directement touchés, a déclaré l’entreprise. L’intrusion est restée indétectée pendant des mois avant que les équipes de sécurité de Cegedim n’identifient « un comportement anormal » sur la plateforme et ne déposent plainte auprès du procureur de Paris le 27 octobre 2025.
La fuite n’a été rendue publique que cette semaine lorsque France 2 a révélé l’incident, entraînant une confirmation immédiate tant de la part de Cegedim que du ministère de la Santé. Selon Le Monde, l’un des hackers a déjà mis en ligne un échantillon des données volées et proposé la base de données complète à la vente sur un forum, affirmant qu’elle contenait des informations sur 19 millions de patients, chiffre supérieur aux estimations officielles.
Gravité des informations compromises
Si les données administratives, notamment les noms, numéros de téléphone et adresses, ont été exposées pour la grande majorité des victimes, environ 169 000 patients ont subi une violation bien plus grave. Pour ce sous-groupe, les pirates ont accédé à des notes médicales en champ libre contenant des détails extrêmement sensibles sur des maladies spécifiques, notamment le SIDA, la sexualité du patient et des circonstances personnelles telles que l’incarcération de membres de la famille, selon les médias ayant examiné les données.
Les experts en cybersécurité ont averti que le caractère immuable des données médicales les rend particulièrement précieuses pour les criminels, qui peuvent les exploiter pour des attaques de phishing ciblées, une usurpation d’identité médicale et des campagnes d’extorsion durant des années. La violation établit un lien direct entre les patients et leurs médecins, créant des risques de confidentialité à long terme.
Le parquet de Paris a ouvert une information judiciaire pour « atteintes à un système automatisé de données », confiant l’affaire à sa brigade spécialisée dans la cybercriminalité. Le ministère de la Santé a émis une demande formelle exigeant que Cegedim mette en œuvre des mesures de sécurité correctives immédiates.
Les experts estiment qu’il s’agit potentiellement de la plus vaste violation de données de santé de l’histoire française, exposant ce qu’ils décrivent comme un sous-investissement systémique en cybersécurité dans le secteur de la santé. Cegedim a sécurisé les points d’accès compromis et a informé l’autorité française de protection des données (CNIL), bien que les conséquences totales pour l’entreprise et les personnes concernées restent à déterminer.
Sources
- Le Monde
- France Info
