Cyberattaque chez Cegedim Santé : 15 millions de patients exposés, et des notes de médecins qui font froid

15 millions de Français dans la nature. Pas leurs radios, pas leurs ordonnances, pas leurs résultats d’analyses – mais leurs identités, leurs coordonnées, et pour environ 169 000 personnes, des notes libres tapées par des médecins. Le genre de phrases qu’on écrit vite entre deux consultations, et qui, une fois sorties du cabinet, peuvent te coller à la peau.

15 millions de patients concernés : la cyberattaque contre un logiciel médical inquiète médecins et autorités

La fuite remonte à la fin 2025 et vise un logiciel de Cegedim Santé utilisé en ville. Environ 1 500 comptes de médecins ont été touchés. Une enquête est ouverte à Paris pour atteintes à un système automatisé de données, la CNIL a été alertée, et un groupe de hackers baptisé DumpSec a revendiqué le vol. Le problème, c’est que même quand “l’incident est circonscrit”, les données, elles, continuent de circuler.

Ce qui a fuité: noms, adresses, et 169 000 notes libres

Sur le papier, les autorités et l’éditeur le martèlent: pas de dossier médical structuré exfiltré. Donc pas de compte rendu d’examen, pas d’ordonnance, pas de diagnostic rangé proprement dans une case. Ce qui sort, c’est la partie administrative: nom, prénom, date de naissance, adresse postale, téléphone, e-mail. Dit comme ça, certains vont hausser les épaules. Sauf que c’est la base pour te retrouver, t’appeler, t’arnaquer.

Et puis il y a le morceau qui fait vraiment mal: les champs en texte libre. Environ 160 000 à 170 000 patients seraient concernés, soit autour de 1% des cas. Ces annotations, c’est le fourre-tout du cabinet: une info sociale, une remarque familiale, une suspicion, une phrase rapportée. Dans les exemples cités publiquement, on tombe sur des mentions de séropositivité, d’orientation sexuelle supposée, de religion, de violences subies, d’addictions, d’idées suicidaires. Pas besoin d’un “dossier structuré” pour ruiner une vie.

Le ministère parle aussi d’une base énorme: 19 millions de lignes informatiques, dont 4 millions de doublons. Et un historique qui peut remonter entre 3 et 15 ans selon l’ancienneté d’installation chez les médecins. Du coup, tu peux être concerné même si tu n’as vu ton généraliste qu’une fois, il y a une décennie, pour un certificat de sport. C’est ça, la magie des bases qui s’empilent et qu’on oublie.

Le truc qui surprend les gens, c’est l’échelle: comment 1 500 médecins peuvent “mener” à 15 millions de patients. Sauf que chaque cabinet, c’est des milliers de dossiers au fil des années, et le logiciel peut agréger large. Et surtout, la donnée administrative, c’est transversal: ça se copie, ça se duplique, ça se synchronise. Ce n’est pas spectaculaire comme une IRM, mais c’est exactement ce que recherchent les escrocs.

Comment 1 500 comptes de médecins ont servi de porte d’entrée

Ce qu’on sait côté mécanique, c’est qu’il y a eu une extraction illégale détectée via un “comportement anormal de requêtes” sur des comptes de médecins. En clair: quelqu’un a aspiré la base, trop vite, trop fort, trop systématique pour être un usage normal. Ce n’est pas forcément un scénario hollywoodien avec une salle sombre et des écrans verts. Parfois, c’est juste des identifiants qui tombent, puis un aspirateur qui tourne.

Le logiciel concerné est utilisé par des médecins libéraux, et l’éditeur indique qu’environ 3 800 praticiens l’utilisent en France, avec 1 500 comptes touchés dans cette affaire. Ça veut dire quoi pour toi, patient? Que le point faible peut être un compte, un mot de passe, une habitude de cabinet, ou une faille côté prestataire. Et que la surface d’attaque, c’est aussi le quotidien: une secrétaire débordée, un poste partagé, une authentification trop légère.

Un généraliste interrogé publiquement, le Dr Richard Handschuh, résume bien l’irritation du terrain: même sans être piraté lui-même, il reproche le manque d’information aux clients. “Ce n’est pas sérieux”, dit-il, et sur ce point, difficile de lui donner tort. Dans la santé, tu n’as pas droit au luxe du flou. Quand tu manipules des données intimes, tu préviens vite, clairement, et tu aides les cabinets à réagir. Sinon tu laisses les gens dans le noir, et les hackers, eux, ont de l’avance.

Il y a aussi un angle que beaucoup oublient: la fuite a été revendiquée tardivement, alors que l’attaque date de la fin 2025. Le ministère explique que la nouveauté, c’est la revendication, avec une identité et une nationalité des auteurs encore inconnues. Un expert en cybersécurité, Damien Bancal, évoque un scénario interne au groupe revendiquant l’attaque: un ancien membre aurait revendu une partie des infos. Si ça se confirme, ça raconte un autre problème: la donnée volée devient une monnaie qui circule, se fragmente, se revend, et tu perds toute prise dessus.

Pourquoi “pas de dossier médical” ne veut pas dire “pas grave”

On te le vend comme une nuance rassurante: pas d’ordonnances, pas de résultats, donc pas de “vraies” données de santé. Sauf que dans la vraie vie, ton nom + ton adresse + ta date de naissance + ton téléphone, c’est déjà un kit complet pour l’usurpation d’identité. Tu peux ouvrir des comptes, monter des arnaques, ou te faire passer pour toi auprès d’organismes. Et si tu ajoutes une note libre du style “fragile”, “dépression”, “violences”, tu obtiens un levier de chantage.

Exemple concret: tu reçois un appel “du cabinet” ou “de l’Assurance maladie” – même ton prénom est prononcé correctement, même ton adresse est la bonne. On te parle d’un “dossier à régulariser”, d’un “remboursement”, d’une “mise à jour”. Tu obéis parce que ça sonne vrai. Résultat: tu donnes un code, tu cliques sur un lien, tu laisses passer. Les campagnes de phishing qui marchent, c’est rarement celles qui sentent l’arnaque à trois kilomètres. C’est celles qui ont des infos exactes.

Et les notes libres, c’est le pire des deux mondes: pas cadré, pas standardisé, donc parfois brutal, maladroit, stigmatisant. Des mentions peuvent révéler une séropositivité, une orientation sexuelle supposée, une religion, un passé judiciaire, des violences subies. Même si ce n’est “que” 1% des dossiers, ça fait quand même autour de 165 000 à 169 000 personnes. Une ville moyenne entière, avec des phrases intimes attachées à leur identité.

Il y a un autre effet pervers: la discrimination. Imagine une donnée sensible qui ressort dans un contexte d’emploi, de logement, de séparation, de garde d’enfant. Tu n’as même pas besoin que ce soit vrai. Il suffit que ça existe dans une fuite, et que quelqu’un s’en serve. Et la personne visée se retrouve à se justifier sur une phrase tapée un jour, peut-être mal formulée, peut-être basée sur un “on m’a dit que”. Dans un cabinet, ça reste dans le secret médical. Sur un forum ou un canal de revente, ça devient une arme.

L’enquête, la CNIL, et la question qui fâche: qui devait prévenir qui

Sur le volet judiciaire, une enquête est en cours pour atteintes à un système automatisé de données, pilotée par la Brigade de lutte contre la cybercriminalité, avec un parquet de Paris saisi. Cegedim a porté plainte fin octobre 2025. Le ministère indique avoir demandé des mesures correctives immédiates. Et l’entreprise affirme que l’incident est “circonscrit”. Tout ça, c’est la colonne vertébrale classique d’une crise cyber: plainte, enquête, communication, promesse de colmatage.

Mais la vraie question, celle qui met les médecins en rage, c’est l’alerte. Quand tu apprends par la presse qu’un prestataire a été touché, tu te sens baladé. Le Dr Handschuh le dit sans détour: ne pas avertir les clients n’est pas raisonnable. Et derrière, il y a les patients. Parce que dans ce genre d’affaire, chaque jour de retard, c’est un jour où des gens se font piéger au téléphone, où des e-mails frauduleux partent, où des listes se revendent.

Autre point délicat: qui est responsable de quoi? Les données sont stockées chez un prestataire, mais les médecins sont utilisateurs, et ils ont des obligations vis-à-vis de leurs patients. Dans la pratique, tu peux te retrouver avec un cabinet qui doit gérer des appels paniqués, sans avoir la main sur l’infrastructure, sans savoir exactement ce qui est parti, et sans procédure prête. C’est là que tu vois la fragilité du modèle: le soin est local, mais la donnée est centralisée, industrialisée, et parfois opaque.

Et puis il y a la réalité la plus frustrante: même quand la fuite est stoppée, tu ne “récupères” pas les données. Elles peuvent circuler dans des zones obscures du web, être copiées, recopiées, archivées. Tu peux fermer la porte, mais tu ne peux pas faire disparaître les photocopies déjà distribuées. Du coup, la gestion de crise ne devrait pas se limiter à dire “c’est fini”. Elle devrait dire “voilà le risque, voilà ce que vous pouvez faire, voilà comment on vous aide”.

Ce que tu peux faire tout de suite pour limiter la casse

Première chose: pars du principe que tes coordonnées peuvent être utilisées contre toi. Donc tu durcis tes accès. Si tu as un espace santé, une messagerie principale, ou des comptes où ton numéro sert à recevoir des codes, active la double authentification quand c’est possible, et évite le SMS quand tu as une option plus solide. Change les mots de passe réutilisés – oui, c’est pénible – surtout si tu as tendance à recycler le même partout.

Deuxième chose: surveille les signaux faibles. Un appel “urgent” qui te demande un code, un e-mail qui te pousse à “mettre à jour ton dossier”, un message qui mentionne ton médecin ou ton cabinet. Même si la personne a ton nom et ton adresse, ça ne prouve rien. Un escroc peut avoir ces infos et improviser. Si tu as un doute, tu raccroches et tu rappelles via un numéro que tu trouves toi-même, pas celui qu’on te donne. C’est basique, mais ça sauve.

Troisième chose: si tu es dans le petit groupe avec des notes sensibles, le risque devient plus personnel. Là, ce n’est plus juste de la fraude, c’est du chantage ou de l’humiliation. Parle-en à ton médecin si tu reçois des messages bizarres, garde des captures, et ne négocie jamais avec quelqu’un qui prétend “détenir” des infos sur toi. Le but, c’est de te faire paniquer. Et si tu bosses dans un métier exposé, ou si tu as une situation familiale compliquée, prends ça au sérieux tout de suite.

Je te le dis franchement – et c’est la nuance qui dérange: on va encore te répéter que “ce ne sont que des données administratives”. C’est vrai sur un plan technique, mais c’est faux sur un plan humain. Ton identité, tes coordonnées, et une phrase intime tapée par un médecin, ça suffit à te rendre vulnérable. Et tant qu’on traitera ce genre de fuite comme un incident de second ordre, on continuera à empiler les victimes. Les prochaines semaines diront si les alertes aux patients et aux cabinets sont à la hauteur, ou si on se contente de colmater en espérant que ça passe.