ARS & AP-HP : 35 millions de dossiers patients revendiqués par DumpSec

Synthèse de l'incident

Début avril 2026, le groupe DumpSec a revendiqué la détention de 35 millions de dossiers patients issus des systèmes de l'ARS (Agences Régionales de Santé) et de l'AP-HP (Assistance Publique – Hôpitaux de Paris). Plus de 130 hôpitaux seraient concernés, couvrant les régions Hauts-de-France, Normandie et Pays de la Loire. Il s'agit potentiellement de la plus grande fuite de données de santé de l'histoire française.

35 millions de dossiers patients. Identités, numéros de sécurité sociale, parcours de soins. Les données de santé sont les plus sensibles qui existent — et les plus difficiles à protéger une fois exposées.

Qui est DumpSec ?

DumpSec est un groupe cybercriminel francophone spécialisé dans l'exfiltration massive de bases de données. Le groupe s'est fait connaître par plusieurs fuites majeures touchant des institutions françaises :

• CROUS : fuite de données étudiantes (2025)
• Mondial Tissus : exfiltration de données clients (2025)
• Cegedim : données de santé (début 2026)

Le mode opératoire est récurrent : consolidation de données issues de multiples attaques précédentes, enrichies par de nouvelles compromissions. La question clé est de savoir si les 35 millions de dossiers proviennent d'une attaque unique ou d'une agrégation de fuites antérieures.

Données compromises

Les données revendiquées par DumpSec sont d'une sensibilité extrême :

• Identité complète : nom, prénom, date de naissance, adresse postale
• NIR / numéro de sécurité sociale : identifiant unique et permanent, utilisé pour toutes les démarches administratives et médicales
• Adresses email et numéros de téléphone
• Parcours de soins : historique des consultations, hospitalisations, traitements
• Informations médicales : diagnostics, pathologies, prescriptions

Périmètre géographique

Les ARS touchées couvrent trois régions :

• Hauts-de-France : 6 millions d'habitants
• Normandie : 3,3 millions d'habitants
• Pays de la Loire : 3,8 millions d'habitants

L'AP-HP, plus grand centre hospitalier universitaire d'Europe avec 39 hôpitaux en Île-de-France, constitue une cible distincte dont les données viendraient s'ajouter au périmètre régional.

Hypothèse de consolidation

Plusieurs éléments suggèrent que cette fuite pourrait être une consolidation de données issues d'attaques précédentes plutôt qu'une intrusion unique :

• Volume très élevé : 35 millions de dossiers représenterait plus de la moitié de la population française — un chiffre qui suggère l'agrégation de multiples sources
• Précédent Cegedim : la fuite Cegedim de début 2026 avait déjà exposé des données de santé via les logiciels métiers utilisés par les médecins
• Même acteur : DumpSec étant derrière les fuites CROUS et Mondial Tissus, le groupe dispose d'une capacité éprouvée de consolidation et de revente

Quelle que soit l'origine, les données sont désormais disponibles et exploitables.

Risques pour les patients

Usurpation d'identité

Le NIR (numéro de sécurité sociale) est un identifiant permanent et non révocable. Contrairement à un mot de passe ou un numéro de carte bancaire, il ne peut pas être changé. Un NIR compromis expose le patient à des risques d'usurpation d'identité pour des années, voire des décennies.

Fraude Ameli et sécurité sociale

Avec un NIR et une identité complète, un attaquant peut :

• Créer de faux comptes Ameli pour obtenir des remboursements frauduleux
• Commander des médicaments ou dispositifs médicaux au nom de la victime
• Accéder aux téléservices de l'Assurance Maladie

Social engineering ciblé

Les informations médicales permettent des attaques de phishing extrêmement ciblées : un email mentionnant un diagnostic réel ou un traitement en cours a un taux de réussite bien supérieur à un phishing générique.

Recommandations

Pour les établissements de santé

• Segmenter les bases de données patients : les données médicales, administratives et d'identification doivent être stockées séparément avec des contrôles d'accès distincts
• Chiffrer les données au repos : même en cas d'exfiltration, des données chiffrées avec des clés correctement gérées restent inexploitables
• Auditer les accès aux SI de santé : journaliser et surveiller tous les accès aux dossiers patients, avec alertes sur les volumes de consultation inhabituels
• Mettre à jour les logiciels métiers : les passerelles vers les éditeurs (Cegedim, CompuGroup, etc.) sont des points d'entrée critiques

Pour les patients concernés

• Surveiller son compte Ameli : vérifier régulièrement les remboursements et les connexions suspectes
• Activer la double authentification sur tous les services de santé en ligne
• Se méfier des communications mentionnant des informations médicales : aucun organisme de santé ne demandera de confirmer un diagnostic par email ou téléphone
• Déposer une pré-plainte en ligne auprès de la CNIL si vous êtes patient dans l'un des établissements concernés

Enseignements clés

Le secteur de la santé français cumule les handicaps face aux cybermenaces : systèmes vieillissants, budgets IT contraints, interconnexion croissante entre établissements, ARS et éditeurs de logiciels métiers. La surface d'attaque est immense et les données manipulées sont parmi les plus sensibles qui existent.

La stratégie de DumpSec — consolider des données issues de multiples fuites pour créer des bases de données massives — illustre une tendance inquiétante : même des fuites « mineures » alimentent un écosystème criminel qui les enrichit et les revend à grande échelle.

Chaque fuite de données de santé, même partielle, alimente une base de données criminelle qui grandit à chaque incident. La question n'est plus de savoir si vos données seront exposées, mais combien de fois elles le seront.

Sources

• DumpSec — Revendication sur forum de leak (avril 2026)
• AP-HP — Communication sur la surveillance des systèmes d'information
• CNIL — Recommandations en cas de violation de données de santé
• CERT Santé — Bulletin d'alerte sur les menaces ciblant les établissements de santé
• ANSSI — Panorama de la menace informatique dans le secteur santé