Nouvelle alerte dans le secteur sanitaire. Les données administratives de quelque 15 millions de patients ont été compromises lors d’une cyberattaque survenue fin 2025 visant le logiciel MLM de la société Cegedim Santé. Le ministère de la Santé a confirmé vendredi l’ampleur de la fuite, révélée la veille par France 2.
Selon les autorités, les informations concernées comprennent les noms, prénoms, numéros de téléphone et adresses postales. Aucun document médical structuré, ni ordonnance, ni résultat d’examen biologique n’aurait été diffusé à ce stade. Une enquête a été ouverte par le parquet de Paris pour atteintes à un système automatisé de données.
19 millions de lignes, dont 4 millions de doublons
Le piratage porte sur 19 millions de lignes informatiques issues d’une base contenant entre trois et quinze années d’historique, en fonction de la date d’installation du logiciel dans les cabinets médicaux. Parmi elles, environ 4 millions seraient des doublons.
Au total, 15,8 millions de dossiers administratifs seraient concernés, selon l’entreprise. Dans 165 000 à 169 000 cas, soit environ 1 % des patients, les données comprennent des annotations libres saisies par les médecins, dont certaines peuvent relever d’informations sensibles.
Interrogée, Cegedim a admis avoir été victime d’une attaque fin 2025 visant 1 500 praticiens sur les 3 800 utilisateurs du logiciel MLM. L’entreprise affirme que les dossiers médicaux structurés sont demeurés intègres et réfute toute compromission directe des données médicales à proprement parler.
Une revendication tardive
Le seul élément nouveau, selon le ministère, réside dans la revendication récente de l’attaque par un groupe de hackers baptisé DumpSec. D’après l’expert en cybersécurité Damien Bancal, ce collectif aurait indiqué qu’un ancien membre aurait revendu une partie des informations dérobées.
L’identité et la nationalité des auteurs restent inconnues. Le parquet de Paris a saisi la Brigade de lutte contre la cybercriminalité après la plainte déposée par Cegedim Santé le 27 octobre 2025.
Commission nationale de l’informatique et des libertés a indiqué ne pas être en mesure, à ce stade, de confirmer l’ampleur exacte de la violation alléguée. L’autorité de contrôle a précisé qu’elle analyserait les révélations et diligenterait des contrôles si nécessaire.
« Une information de santé sortie ne revient jamais »
Le ministère de la Santé a enjoint à l’entreprise de mettre immédiatement en œuvre des mesures correctives, rappelant la responsabilité du prestataire privé en charge du traitement des données. En septembre 2024, la Cnil avait déjà infligé à Cegedim Santé une amende de 800 000 euros pour traitement de données de santé sans autorisation.
Pour Gérôme Billois, expert en cybersécurité au cabinet Wavestone, cette fuite pourrait constituer « la plus grosse en France » dans le domaine de la santé. Il alerte sur des « conséquences irrémédiables », estimant qu’« une information de santé qui dit : “Vous avez le sida” ou “vous avez telle maladie”, une fois qu’elle est sortie, vous ne pourrez plus jamais revenir en arrière ».
Agnès Giannotti, présidente de MG France, principal syndicat de médecins généralistes, a reconnu « un vrai souci de confiance et de sécurité pour les patients et de pénalisation de notre exercice ».
Au delà des responsabilités techniques, cette nouvelle affaire relance le débat sur le niveau d’investissement du secteur sanitaire en matière de cybersécurité. Gérôme Billois évoque un « sous investissement en cybersécurité depuis des années » dans un système de santé déjà fragilisé par les tensions budgétaires et organisationnelles.
