Synthèse de l'incident
Le 2 mars 2026, Cegedim Santé a confirmé publiquement qu'une cyberattaque survenue fin 2025 avait compromis son logiciel MonLogicielMedical (MLM), utilisé par environ 3 800 médecins libéraux en France. L'attaquant a exploité un comportement anormal de requêtes applicatives pour accéder aux données de 1 500 comptes praticiens, exposant potentiellement les informations de 15 millions de patients.
Ce n'est pas un hôpital qui a été piraté, mais le logiciel que des milliers de médecins de ville utilisent au quotidien. Le vecteur n'est plus l'infrastructure — c'est l'application métier elle-même.
L'incident s'inscrit dans un contexte où la France est devenue le pays le plus touché d'Europe en début 2026, avec plus de 100 cyberattaques et 60 millions de lignes de données exfiltrées en quatre semaines seulement.
Données compromises
Données administratives (majorité des cas)
- Noms et prénoms des patients
- Dates de naissance
- Adresses postales
- Numéros de téléphone et adresses email
Données sensibles (160 000 à 170 000 patients)
- Champs texte libre rédigés par les médecins : notes de consultation pouvant contenir des allusions à l'état de santé, à la sexualité, à la religion ou aux antécédents familiaux
- Ces données sont classées « sensibles » au sens du RGPD (article 9) et bénéficient d'une protection renforcée
Cegedim a précisé que les dossiers médicaux structurés (ordonnances, résultats d'analyses, comptes rendus d'examens) n'avaient pas été compromis. Cependant, les champs texte libre constituent en eux-mêmes une mine d'informations médicales exploitables.
Chronologie
- Fin 2025 : l'attaque survient. Cegedim détecte un « comportement anormal de requêtes applicatives » sur l'infrastructure MLM.
- Décembre 2025 — février 2026 : période d'investigation interne. L'ampleur de la compromission est progressivement évaluée.
- 2 mars 2026 : révélation publique. Siècle Digital et French Homepage publient les détails.
- 4 mars 2026 : le Parquet de Paris ouvre une enquête pour « atteinte à un système de traitement automatisé de données ».
Vecteur d'attaque : l'application métier
Contrairement aux attaques par ransomware qui ciblent l'infrastructure (serveurs, Active Directory), cette compromission a exploité directement la couche applicative du logiciel médical. L'attaquant a généré des requêtes anormales via l'interface applicative, suggérant soit une vulnérabilité d'injection, soit un accès légitime détourné (comptes praticiens compromis).
Ce type d'attaque est particulièrement difficile à détecter car le trafic malveillant se confond avec l'usage normal du logiciel. Seule une analyse comportementale des requêtes (volume, fréquence, périmètre d'accès) permet de distinguer l'exfiltration de l'utilisation légitime.
Un médecin consulte les dossiers de ses propres patients. Quand un compte praticien interroge soudainement 10 000 dossiers en une heure, c'est le signal d'alerte — encore faut-il le surveiller.
Un éditeur déjà épinglé
Cegedim Santé avait déjà été sanctionné par la CNIL en 2024 pour des manquements relatifs au traitement des données de santé. Cette récidive soulève des questions sérieuses sur la maturité sécuritaire de l'éditeur et sur la confiance que les praticiens peuvent lui accorder.
Risques pour les patients
Usurpation d'identité
La combinaison nom + date de naissance + adresse constitue le triptyque nécessaire pour ouvrir des comptes frauduleux, souscrire des crédits ou détourner des prestations sociales. Avec 15 millions de jeux de données, l'impact potentiel est massif.
Chantage et discrimination
Les 160 000 à 170 000 patients dont les notes médicales en texte libre ont été exposées sont particulièrement vulnérables. Ces notes peuvent révéler des pathologies (VIH, cancer, troubles psychiatriques), des informations sur la sexualité ou la religion — autant de leviers pour du chantage ciblé ou de la discrimination à l'embauche ou à l'assurance.
Phishing médical
Un attaquant possédant le nom du médecin traitant et les coordonnées du patient peut envoyer des emails frauduleux imitant un cabinet médical : « Votre ordonnance est disponible », « Confirmez votre rendez-vous », « Régularisez votre situation Ameli ». Le taux de clic sur ce type de phishing contextuel est significativement plus élevé que sur les campagnes génériques.
Recommandations
Pour les patients
- Contactez votre médecin traitant pour savoir s'il utilise MonLogicielMedical et si vos données sont concernées.
- Méfiez-vous des emails et SMS à caractère médical : vérifiez systématiquement l'expéditeur avant de cliquer.
- Surveillez vos comptes Ameli et bancaires pour détecter toute activité suspecte.
- Déposez une pré-plainte en ligne si vous constatez une utilisation frauduleuse de vos données.
Pour les éditeurs de logiciels médicaux
- Cloisonner les accès par praticien : un compte médecin ne doit accéder qu'aux dossiers de ses propres patients. Toute requête hors périmètre doit déclencher une alerte.
- Déployer une détection comportementale (UEBA) : surveiller le volume et la fréquence des requêtes pour détecter les exfiltrations massives.
- Chiffrer les champs texte libre : les notes médicales en clair dans la base de données sont une bombe à retardement. Le chiffrement applicatif empêche l'exploitation même en cas de compromission.
- Limiter la rétention : 15 millions de dossiers accumulés signifie des années de données stockées. Appliquer une politique de purge réduit mécaniquement le rayon d'impact.
Enseignements clés
L'affaire Cegedim Santé révèle un angle mort majeur de la cybersécurité en santé : la sécurité des logiciels métier. Alors que les hôpitaux investissent dans la protection de leurs infrastructures après les vagues de ransomware, les médecins de ville restent dépendants d'éditeurs dont le niveau de sécurité est rarement audité.
Avec 3 800 médecins utilisateurs et jusqu'à 15 millions de patients concernés, un seul éditeur compromis peut générer une fuite à l'échelle nationale. C'est l'équivalent numérique d'un point de défaillance unique (SPOF) dans l'architecture de santé française.
La sécurité des données de santé ne se limite pas aux murs de l'hôpital. Quand un logiciel utilisé par des milliers de cabinets concentre les données de millions de patients, il devient une cible aussi stratégique qu'un CHU.
Sources
- Siècle Digital — 15 millions de patients touchés par une cyberattaque
- French Homepage — Cyberattaque historique : 15 millions de dossiers patients exposés
- Le Journal — Cyberattaques : la France à découvert
Protégez vos applications métier
Votre organisation utilise des logiciels hébergés ou SaaS manipulant des données sensibles ? C-DIM vous accompagne dans l'audit applicatif, le cloisonnement des accès et la détection des comportements anormaux.
Contactez C-DIMOu écrivez-nous directement à contact@c-dim.fr