15 millions de dossiers médicaux exposés dans la cyberattaque de Cegedim

Cegedim reconnaît une cyberattaque sur son logiciel médical MLM et une fuite de données touchant un volume massif, jusqu’à 15 millions de patients pour la partie administrative. Dans le même temps, l’entreprise admet un point nettement plus sensible, la présence d’ annotations personnelles rédigées par des médecins, exposées pour un nombre plus limité de dossiers. Le périmètre déclaré côté praticiens fait état de 1 500 médecins concernés sur 3 800 utilisateurs en France.

Le cur du problème tient à une zone grise que beaucoup de professionnels connaissent, le champ en texte libre. Officiellement, les dossiers médicaux structurés resteraient intègres, mais ce commentaire administratif peut contenir des éléments intimes, parfois stigmatisants, qui n’auraient jamais dû sortir d’un cabinet. Les autorités ont été saisies, une enquête est ouverte, et le ministère de la Santé a demandé des mesures correctrices en urgence.

Cegedim décrit une intrusion fin 2025 sur MLM

Selon la chronologie communiquée, Cegedim Santé dit avoir repéré fin 2025 un comportement anormal de requêtes applicatives sur des comptes de médecins utilisant MLM. Derrière cette formule, il faut imaginer une exploitation de comptes existants, avec un volume de requêtes inhabituel, typique d’une extraction automatisée. L’entreprise explique avoir sécurisé les accès, déposé plainte et signalé l’incident à la CNIL.

Sur l’étendue, la société affirme que des données personnelles de patients ont été consultées ou extraites illégalement. La nuance compte, car consultées peut renvoyer à un accès sans exfiltration massive, tandis que extraites implique une copie. Dans les faits, des éléments ont circulé en ligne, et un échantillon a montré des données administratives sur environ 300 000 patients, avec seulement une petite fraction contenant des informations médicales ou privées.

Le logiciel concerné est présenté comme utilisé par 3 800 médecins en France. L’attaque en viserait 1 500, soit près de quatre praticiens sur dix dans ce parc. Ce chiffre ne signifie pas que 1 500 comptes ont été pillés de la même manière, mais il pose une question opérationnelle, comment segmenter les accès, surveiller les connexions et limiter les droits pour qu’un compte compromis n’ouvre pas trop de portes.

Dans un cabinet, un logiciel comme MLM n’est pas un simple agenda. Il agrège identité, coordonnées, historique administratif, échanges avec l’assurance maladie, et des champs de commentaires que chacun utilise à sa manière. C’est là que la promesse administratif uniquement devient fragile. Un médecin peut noter patient anxieux, à rappeler, un autre peut écrire des éléments intimes pour se souvenir d’un contexte, et ce sont précisément ces formulations qui, une fois sorties du cadre de soin, changent la nature du risque.

15 millions de patients: l’exposition des données administratives

L’ampleur annoncée frappe par son volume, 15 millions de patients pour des données dites administratives. Dans le détail, il s’agit d’éléments d’identification et de contact, nom, prénom, sexe, date de naissance, téléphone, adresse, email. Pris séparément, ces champs semblent classiques. Pris ensemble, ils constituent un kit complet pour de l’usurpation d’identité, des campagnes de phishing ciblées, ou des arnaques téléphoniques très crédibles.

Le scénario le plus probable pour le grand public, c’est le message qui imite un cabinet médical, une mutuelle ou un organisme public. Avec un nom, une date de naissance et une adresse, un escroc peut personnaliser son approche et obtenir un clic. Un spécialiste en cybersécurité, Marc D., résume le mécanisme, quand tu connais déjà l’identité et le contexte santé, tu n’as plus besoin d’un mail générique, tu construis un piège sur mesure, et le taux de réponse grimpe.

Cette fuite pose aussi un problème de temporalité. Même si l’intrusion date de fin 2025, l’exploitation peut s’étaler sur des mois, voire plus, car les coordonnées restent valables longtemps. Un patient peut changer de numéro, mais rarement de date de naissance. Et une adresse email compromise, c’est parfois l’accès à d’autres services. Ici, la donnée de santé n’est pas forcément dans le fichier, mais la relation avec un médecin, elle, est implicite.

Il y a un point à ne pas édulcorer, quand on parle de données de santé, l’imaginaire collectif pense ordonnance, résultats, diagnostics. Là, la fuite décrite est d’abord administrative, mais elle touche un secteur où la confiance est centrale. Même sans résultat d’analyse, le simple fait d’être présent dans un fichier médical, avec un praticien identifié, peut alimenter des tentatives de chantage ou de pression, surtout si des annotations sensibles existent sur une partie des dossiers.

Les annotations personnelles: le risque de stigmatisation

Le volet le plus délicat concerne ces annotations personnelles présentes dans le champ de commentaire en texte libre. Cegedim concède que, pour un nombre très limité de patients, ce champ a pu contenir des informations sensibles. Dans le quotidien d’un cabinet, ce texte libre sert parfois à noter un détail pratique, préfère être joint le soir, mais il peut aussi dériver vers des mentions intimes, parce que c’est rapide et que personne n’imagine une fuite.

Des exemples cités par des observateurs ayant eu accès à des données évoquent des formulations sur des diagnostics, l’orientation sexuelle ou la religion. Même si ces mentions ne sont pas un dossier médical structuré, elles peuvent être plus violentes qu’un code de remboursement, parce qu’elles sont rédigées en clair, parfois avec des jugements, parfois avec des mots bruts. Là, on n’est plus dans la statistique, on est dans la réputation, la vie familiale, le travail.

Le ministère a d’ailleurs mis l’accent sur le risque de données sensibles pour 164 000 personnes. Ce chiffre marque une différence de nature, tout le monde n’est pas exposé de la même façon. Un patient dont le dossier ne contient qu’une adresse et un téléphone subit surtout un risque d’arnaque. Un patient associé à une annotation intime peut subir une discrimination, un harcèlement ou un chantage, même si l’information est fausse ou mal formulée.

La nuance à poser, c’est que le texte libre n’est pas censé être un fourre-tout médical, mais la frontière est floue dans la pratique. Et c’est là que la critique s’impose, le secteur sait depuis des années que ces champs sont des zones à risque, parce qu’ils échappent aux contrôles de structure et aux règles de minimisation. Les éditeurs comme les utilisateurs ont une part de responsabilité, et le résultat, ce sont des phrases qui sortent de leur contexte clinique et deviennent des munitions.

1 500 médecins touchés: cabinet, responsabilités, information des patients

Le chiffre de 1 500 médecins concernés, sur 3 800 utilisateurs, place l’incident à une échelle nationale. Concrètement, cela signifie des cabinets libéraux, des maisons de santé, parfois des secrétariats externalisés, qui ont potentiellement vu leurs comptes utilisés. Quand un compte médecin sert de porte d’entrée, la question n’est pas seulement qui a été piraté, mais quelles données étaient accessibles avec ce compte.

Les autorités ont été saisies, et une enquête est en cours, mais les patients attendent surtout une information compréhensible. Des associations de patients soulignent que l’information individuelle reste souvent insuffisante dans ce type d’affaire, et que le patient ne peut pas deviner ce que le texte libre contenait sur lui. Dans la vraie vie, ça donne des appels au cabinet, des demandes de copie de dossier, et parfois des tensions, parce que le médecin lui-même découvre ce qui a été aspiré.

Sur la responsabilité, le médecin est dépositaire du secret médical, mais il dépend d’un outil et d’un éditeur. L’éditeur, lui, gère un logiciel, parfois des services d’hébergement, et doit garantir des mesures de sécurité adaptées. Dans ce type de chaîne, chacun a une obligation, et personne n’a une maîtrise totale. Marc B., médecin généraliste en région parisienne, résume brutalement, tu te retrouves à expliquer à tes patients que tu n’as rien publié, mais que ton outil a été forcé, et tu passes pour celui qui a laissé la porte ouverte.

Le ministère de la Santé a demandé des mesures correctrices de toute urgence. Derrière, on parle de durcissement des accès, rotation des mots de passe, contrôle des sessions, supervision renforcée. Mais il y a un angle mort, l’organisation des cabinets. Si le même poste sert à plusieurs usages, si des identifiants circulent, si l’authentification est faible, l’attaque devient plus facile. Et là, ce n’est pas qu’une question de technologie, c’est de l’hygiène numérique au quotidien.

Autre point sensible, l’attribution. Les autorités indiquent que l’identité et la nationalité du hacker ne sont pas établies, et qu’on ne sait pas s’il est l’auteur direct ou s’il a récupéré des fichiers déjà publiés. Pour les victimes, cette nuance ne change pas grand-chose, les données circulent. Pour l’enquête, elle change tout, parce qu’elle oriente vers un piratage initial, une revente, ou une republication opportuniste, et donc vers des réseaux criminels distincts.

CNIL, enquête et mesures: ce que l’affaire change pour la e-santé

L’affaire intervient après une série de cyberattaques touchant le secteur santé, avec une trentaine d’hôpitaux ces dernières années. Le fait marquant ici, c’est l’attaque d’un éditeur de logiciel utilisé en ville, au plus près du patient. Cela rappelle que la surface d’attaque ne se limite pas aux grands établissements. Un logiciel diffusé, installé partout, devient une cible rentable, parce qu’un seul incident peut exposer des millions de lignes.

La CNIL est saisie, et l’entreprise dit avoir effectué les signalements. Sur le plan réglementaire, la question centrale sera la proportionnalité des mesures de sécurité, la détection, la réaction, et la gestion de crise. Sur le plan opérationnel, les cabinets vont demander des garanties concrètes, journalisation des accès, alertes en cas d’extraction massive, limitation des requêtes, authentification renforcée. Ce sont des chantiers coûteux, et c’est là que la tension apparaît entre ergonomie et sécurité.

Dans la pratique, cette affaire va aussi relancer un débat sur les champs en texte libre. Beaucoup d’experts poussent à réduire leur usage ou à mieux le cadrer, avec des champs structurés, des listes, ou des alertes quand un mot-clé sensible est saisi. Mais attention à l’effet pervers, si tu verrouilles trop, tu dégrades la prise en charge, parce que le médecin a besoin de contexte. L’objectif, c’est de guider l’écriture, pas de l’empêcher, et de chiffrer, tracer, segmenter.

Enfin, la confiance. Les patients acceptent la numérisation parce qu’elle fluidifie les soins, mais une fuite d’annotations personnelles touche quelque chose de plus intime que des coordonnées. Même si les dossiers médicaux structurés sont annoncés comme intègres, l’opinion retiendra surtout que des commentaires ont pu sortir. Pour les éditeurs, la leçon est claire, la sécurité ne se joue pas seulement sur le stockage, mais sur la manière dont les logiciels permettent d’écrire, d’accéder, d’exporter, et de surveiller.