Cyberattaque ciblant 1500 médecins : les données de plusieurs millions de patients sur le dark web

Article mis à jour le 27 février, à 19h : ajout précisions du ministère et citations de Stéphanie Rist

Après Weda en novembre dernier, on apprend qu'un autre logiciel médical a été la cible d'une cyberattaque à la même période. Cegedim "a identifié, fin 2025, un comportement anormal de requêtes applicatives sur des comptes médecins utilisateurs du logiciel MLM (MonLogicielMedical.com)", confirme le groupe dans un communiqué diffusé ce vendredi 27 février, en réaction à un reportage diffusé dans le journal télévisé de France 2 la veille. Sur les 3800 utilisateurs du logiciel en France, 1500 ont été concernés par cette cyberattaque, précise Cegedim.

Le reportage évoque quant à lui "11 à 15 millions de Français" exposés, parmi lesquels des "personnalités politiques de premier plan", "des députés", des "hauts fonctionnaires" ou encore des "responsables de la sécurité nationale". Les journalistes ont eu accès à un fichier en vente sur le dark web, rassemblant principalement des données administratives de patients, mais aussi des données relatives à leur état de santé ("porteuse Sida", "addictions en tout genre", "risque suicidaire grave"…), ou à leur vie privée ("fils en prison", "viol incestueux", "frère musulman intégriste"…).

"Les informations concernées proviennent exclusivement du dossier administratif du patient : nom, prénom, sexe, date de naissance, téléphone, adresse, email et commentaire administratif en texte libre à la discrétion des médecins", détaille Cegedim, soulignant que ce "commentaire a pu contenir, pour un nombre très limité de patients, des annotations personnelles du médecin concernant des informations sensibles". "Les dossiers médicaux structurés des patients sont restés intègres", assure le groupe.

Notes personnelles des médecins

"Il n'y a pas de documents de santé qui ont été diffusés, ni ordonnances, ni résultats d'examen de biologie", a confirmé vendredi lors d'un point presse le cabinet de la ministre de la Santé Stéphanie Rist. Sur les 19 millions de lignes présentes dans ce fichier, "correspondant à 15 millions de personnes", l'écrasante majorité ne comportent que "des données de contact", tandis que "169 000" contiennent les notes écrites par les médecins utilisateurs du logiciel dans le champ texte libre – une fonctionnalité commune à l'ensemble des logiciels – et peuvent donc inclure des données "sensibles". Le fait que les professionnels de santé "saisissent des informations qui concernent le quotidien et l'intimité des patients dans le cadre du colloque singulier qui les lie" ne constitue pas "une infraction en tant que telle" au RGPD, considère le cabinet. D'après le ministère, la base de données "a entre 3 et 15 ans d'historique", d'où la "volumétrie" du nombre de patients concernés.

Comme le veut la procédure, les médecins concernés – dont les noms ne figurent pas dans le fichier – ont été contactés par Cegedim "début janvier et accompagnés s’ils le souhaitaient, par des équipes dédiées, dans leurs démarches de notification à la Cnil et d’information de leurs patients conformément à leurs obligations de responsable de traitement au sens du RGPD", précise le communiqué. Le groupe indique avoir "procédé à l’ensemble des démarches réglementaires, notamment la notification auprès de la Cnil et le dépôt de plainte auprès du procureur de la République". Le parquet a d’ores et déjà indiqué avoir saisi la Brigade de lutte contre la cybercriminalité. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a également été saisie pour conduire une enquête sur les méthodes employées par le ou les hackers, dont on ne sait encore rien.

Le cabinet de Stéphanie Rist assure en tout cas que cette cyberattaque n'a "aucun lien" avec celle dont Weda a été la cible, et qui avait lourdement impacté 23 000 médecins en rendant le logiciel inaccessible pendant plusieurs jours. Cette fois, "il n'y a pas eu d'interruption de service".

MG France renvoie les pouvoirs publics à leurs responsabilités

Dans un communiqué, MG France monte au créneau et annonce saisir la Cnil. "Quand les parlementaires et l'assurance maladie obligatoire ne cessent d'exhorter voire d'obliger les généralistes à mettre les informations médicales en ligne et quand les assurances complémentaires réclament chaque jour d'accéder plus largement à ces informations, les médecins ne peuvent que s'inquiéter des risques qu'ils encourent en se pliant à ces injonctions", pointe le syndicat, qui "refuse que le médecin généraliste porte la moindre responsabilité pour la diffusion de ces informations au-delà de son logiciel médical propre". "MG France demande à chaque généraliste de prévenir ses patients des risques encourus par la publication sur le DMP d'éléments confidentiels et de leur rappeler la possibilité de s'y opposer."

De son côté, le cabinet de Stéphanie Rist souligne que cet incident ne résulte pas d’une défaillance des "infrastructures numériques de l'Etat, des administrations ou du ministère de la Santé" et rappelle que 750 millions d'euros sont consacrés jusqu'en 2027 à la sécurisation des données de santé de la sphère publique dans le cadre du programme CaRE mené par l'Agence du numérique en santé.

L’ampleur de la fuite sous-estimée ?

Contactée par Egora, la Cnil confirme qu'elle a reçu des "notifications de violation à l'automne dernier par le logiciel de la société Cegedim mais dont l'ampleur – notamment quant au nombre de personnes concernées – ne coïncide pas avec les éléments indiqués hier dans les médias". "La Cnil va donc analyser ces révélations avec attention, et diligentera des contrôles si nécessaire", mais n'est pas "en capacité, à ce stade, de confirmer l’ampleur de la violation alléguée ni, le cas échéant, si celle-ci a été rendue possible par des manquements en termes de sécurité". 

Dans un message publié en fin d'après-midi sur les réseaux sociaux, la ministre de la Santé indique qu'elle a demandé à l'entreprise "de rendre compte précisément des causes techniques de l'incident, des mesures correctives immédiatement mises en œuvre et des garanties apportées afin de prévenir toute récurrence".