Une attaque informatique de grande ampleur a visé un éditeur de logiciels médicaux en France à la fin de l’année 2025. L’incident a entraîné l’extraction illégale des informations personnelles d’environ 15 millions de patients, poussant les autorités sanitaires à réagir et à exiger des garanties du prestataire.
Selon les informations rapportées par l’agence Anadolu, la cible de cette cyberattaque est Cegedim Santé, une filiale du groupe français Cegedim. Dans un communiqué, l’entreprise a indiqué avoir détecté « un comportement anormal de requêtes applicatives » sur les comptes de praticiens utilisant son logiciel MLM. Le ministère français de la Santé a confirmé vendredi que des données personnelles avaient été consultées et extraites illégalement.
Si aucun document médical, résultat d’examen ou ordonnance n’a été dérobé, les données extraites concernent les dossiers administratifs : noms, prénoms, sexe, adresses postales et électroniques, ainsi que les numéros de téléphone. L’attaque a également permis d’accéder à des champs de « commentaires administratifs en texte libre » rédigés par les médecins. Près de 169 000 patients, soit environ 1 % des personnes touchées, sont directement concernés par la fuite potentielle d’annotations sensibles figurant dans ces notes, pouvant inclure des informations sur l’orientation sexuelle, la religion ou certaines pathologies.
Face à cette situation, le groupe a assuré avoir pris les mesures nécessaires pour circonscrire la faille dès sa découverte. Les médecins concernés — environ 1 500 sur les 3 800 utilisateurs du logiciel MLM — ont été informés au début du mois de janvier. Conformément à la législation, la Commission nationale de l’informatique et des libertés (CNIL) a été notifiée. Il n’a toutefois pas été précisé si chaque patient impacté avait reçu une information individuelle.
Le ministère de la Santé a tenu à souligner que l’incident ne résultait d’aucune défaillance de ses propres systèmes, précisant qu’il s’agissait d’un « prestataire privé, responsable du traitement des données ». La ministre Stéphanie Rist a formellement demandé à Cegedim Santé de fournir un rapport complet sur les causes de l’intrusion, les mesures correctives déployées et les garanties techniques mises en place pour prévenir toute nouvelle brèche.
