A doctor in a white coat and blue gloves showing a patient something on a desktop computer screen in a clinical setting, representing a medical data breach
News

Cegedim Santé : les données administratives de 15 millions de patients français ont fuité

Une cyberattaque visant Cegedim Santé a exposé les données de 15 millions de patients français, dont 164 000 avec des données sensibles.
Sara Amin
Marketing Student • Content & Writing Enthusiast

Le 26 février 2026, le journal télévisé de 20h de France 2 révélait que les données administratives de 15 millions de patients français avaient fuité à la suite d'une cyberattaque visant le logiciel médical MLM de Cegedim Santé. Le ministère de la Santé a confirmé la fuite le lendemain, précisant qu'une enquête avait été ouverte. Parmi les 15 millions de dossiers touchés, environ 164 000 personnes sont concernées par l'exposition potentielle de données sensibles présentes dans les commentaires administratifs en texte libre. Les dossiers médicaux structurés, qui contiennent les diagnostics, prescriptions et antécédents cliniques, sont quant à eux restés intacts. Cegedim avait détecté un comportement anormal dans ses systèmes fin 2025 et affirme avoir contacté l'ensemble des médecins concernés début janvier 2026, soit près de deux mois avant que l'incident soit rendu public.

Le logiciel MLM de Cegedim Santé : ce qu'il fait et qui l'utilise

Cegedim Santé est une filiale du groupe Cegedim, spécialisé dans les solutions numériques pour la santé et les services aux médecins en France. Le logiciel MLM est un logiciel de gestion de cabinet médical utilisé par des médecins généralistes et spécialistes pour gérer les dossiers patients, les agendas, la facturation et les échanges avec les organismes de santé. Au moment de l'incident, le logiciel MLM était utilisé par environ 3 800 médecins en France, dont 1 500 ont été directement concernés par la cyberattaque.

Un logiciel de gestion de cabinet médical centralise une quantité substantielle d'informations sur les patients suivis par le médecin : les données d'identité et de contact, les informations administratives liées aux consultations, les notes et commentaires saisis par le médecin, et selon les configurations, les données de facturation liées à l'assurance maladie et aux mutuelles. La nature exacte des données stockées varie selon la façon dont chaque médecin a configuré et utilisé le logiciel au fil du temps, ce qui explique en partie la variabilité de l'exposition entre les différents cabinets concernés.

La spécificité de MLM par rapport à d'autres logiciels médicaux est son déploiement en mode SaaS ou semi-connecté, avec des données qui transitent et sont partiellement hébergées par l'infrastructure de Cegedim Santé. Ce modèle offre des avantages opérationnels, notamment la maintenance et les mises à jour centralisées, mais il implique que la sécurité de l'ensemble des données patients dépend en partie de la sécurité de l'infrastructure centrale de l'éditeur, pas seulement de celle du cabinet médical individuel.

La chronologie : un comportement anormal détecté fin 2025

Cegedim a indiqué avoir détecté un comportement anormal de requêtes applicatives fin 2025. Ce type de détection, fondée sur des anomalies dans le comportement des requêtes plutôt que sur la signature d'un malware connu, suggère que l'activité malveillante a été identifiée par ses effets sur le système plutôt que par la détection de son vecteur initial. La date exacte de la compromission initiale, c'est-à-dire le moment où l'attaquant a obtenu un premier accès aux systèmes de Cegedim Santé, n'a pas été précisée publiquement.

Entre la détection fin 2025 et la révélation publique le 26 février 2026, deux étapes distinctes se sont succédé. D'abord, Cegedim a affirmé avoir contacté l'ensemble des médecins concernés début janvier 2026. Cette communication aux professionnels de santé directement touchés était une obligation légale au titre du RGPD, qui impose la notification des personnes concernées par une violation de données dans un délai maximal de 72 heures pour les organismes responsables du traitement. La question de savoir si Cegedim a respecté ce délai entre sa détection de l'incident et ses premières notifications reste à éclaircir dans le cadre de l'enquête.

Ensuite, ce sont les révélations de France 2 qui ont rendu l'incident public, et non une communication proactive de Cegedim ou du ministère de la Santé. Cette séquence a suscité des questions légitimes de la part des professionnels de santé et des associations de patients sur la transparence de la gestion de crise, plusieurs médecins témoignant publiquement d'avoir reçu l'alerte de Cegedim tardivement ou dans des conditions qui ne leur permettaient pas de prendre immédiatement les mesures nécessaires pour informer leurs patients.

Quelles données ont été exposées : le dossier administratif, pas le dossier médical

La distinction entre dossier administratif et dossier médical est centrale pour comprendre ce que la fuite Cegedim représente concrètement pour les patients. Les données qui ont été exposées proviennent exclusivement du dossier administratif : identité du patient (nom, prénom, date de naissance), coordonnées (adresse, numéro de téléphone), et le commentaire administratif en texte libre, un champ que les secrétaires médicales et les médecins utilisent pour noter des informations pratiques non médicales.

Les dossiers médicaux structurés, qui constituent le cœur de l'information médicale : les diagnostics posés, les traitements prescrits, les antécédents médicaux, les résultats d'examens biologiques ou d'imagerie, sont restés intègres et n'ont pas été compromis selon les déclarations de Cegedim et du ministère de la Santé. Cette distinction réduit la nature du risque immédiat pour les patients : une fuite de données administratives, aussi problématique soit-elle, n'équivaut pas à une divulgation du dossier médical complet.

Le risque résiduel des données administratives ne doit cependant pas être minimisé. La combinaison nom, prénom, date de naissance, adresse et numéro de téléphone constitue un profil d'identité exploitable pour des tentatives de phishing ciblé, de fraude à l'identité, ou de campagnes d'escroquerie prétendant provenir du médecin traitant ou de l'assurance maladie. Les patients dont les données ont été exposées constituent une cible particulièrement vulnérable pour ce type d'escroquerie parce que leur relation avec leur médecin est une information vérifiable que les attaquants peuvent utiliser pour rendre une approche frauduleuse crédible.

Les 164 000 personnes avec données sensibles dans les commentaires libres

L'État a précisé qu'environ 164 000 personnes sont concernées par un risque plus élevé lié à la présence de données sensibles dans le commentaire administratif en texte libre de leur dossier. Ce champ, conçu à l'origine pour des notes pratiques sans caractère médical, a dans certains cabinets été utilisé pour noter des informations qui débordent dans la catégorie des données sensibles au sens du RGPD : mention d'une orientation sexuelle, référence à une pathologie ou à un traitement, indication d'une situation familiale ou sociale particulière.

L'utilisation du commentaire administratif libre pour ce type d'informations n'est pas une pratique recommandée, mais elle est fréquente dans la réalité des cabinets médicaux où le temps disponible pour la saisie est limité et où la distinction entre champ administratif et champ médical n'est pas toujours intuitive pour les personnels de secrétariat. Ce cas illustre comment la nature réelle des données stockées dans un système peut dériver significativement par rapport à ce que les spécifications techniques du système avaient prévu, avec des implications importantes pour l'évaluation des risques en cas d'incident.

Pour ces 164 000 personnes, le risque est qualitativement différent de celui des 14,8 millions d'autres patients dont seules les données administratives standard ont été exposées. La présence d'informations sensibles dans des données qui ont fuité crée un risque de discrimination, de stigmatisation ou d'exploitation par des acteurs malveillants qui disposent maintenant d'informations que les personnes concernées considéraient comme confidentielles et réservées à la relation médicale.

Pourquoi 15 millions de dossiers pour 1 500 médecins concernés

La disproportion apparente entre 1 500 médecins concernés et 15 millions de dossiers patients mérite une explication. Un médecin généraliste ou spécialiste peut suivre plusieurs milliers de patients au cours d'une carrière. Un cabinet de médecine générale actif depuis plusieurs années peut avoir dans sa base de données des dossiers de 5 000 à 10 000 patients ou plus, dont beaucoup ne sont plus des patients actifs mais dont le dossier est conservé pour des raisons légales et médicales. Agrégé sur 1 500 cabinets, ce volume atteint rapidement les dizaines de millions de dossiers.

La durée de conservation des données médicales est réglementée en France : les dossiers médicaux doivent être conservés pendant au moins 20 ans à compter de la dernière consultation. Un médecin qui utilise le logiciel MLM depuis plusieurs années aura donc dans sa base des dossiers de patients qu'il a vus une seule fois il y a dix ans, qui ont peut-être changé de médecin traitant depuis, et qui n'ont aucune conscience que leurs données sont encore stockées chez leur ancien médecin dans un système informatique potentiellement vulnérable.

Cette réalité de la conservation longue des données médicales est une caractéristique structurelle du secteur de la santé qui amplifie l'impact de toute cyberattaque réussie. Une faille dans un logiciel médical n'expose pas seulement les patients actuellement suivis par les médecins concernés, mais potentiellement l'ensemble des personnes qui ont consulté ces médecins au cours des vingt dernières années.

La révélation du 26 février et la réaction de l'État

La révélation par France 2 le 26 février 2026 a précédé toute communication publique officielle de Cegedim Santé ou du ministère de la Santé. Le lendemain, le ministère de la Santé a confirmé la fuite et annoncé l'ouverture d'une enquête. La Commission nationale de l'informatique et des libertés (CNIL) a également été notifiée, conformément aux obligations du RGPD qui imposent à tout responsable de traitement de notifier l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance d'une violation de données à caractère personnel.

Le délai entre la détection par Cegedim fin 2025 et la notification publique en février 2026 soulève des questions sur le respect des obligations de notification. Le RGPD prévoit des exceptions et des délais spécifiques selon les circonstances, notamment lorsque les investigations sont encore en cours et que la notification prématurée pourrait compromettre des mesures de sécurité ou des poursuites. Le déroulement précis des notifications et leur conformité avec les exigences légales sera vraisemblablement examiné dans le cadre de l'enquête de la CNIL.

Ce que cette fuite signifie pour les patients : risques concrets

Pour les patients dont les données ont été exposées, les risques concrets se déclinent sur plusieurs niveaux. Le plus immédiat est le risque d'escroqueries téléphoniques ou de phishing utilisant les informations personnelles exposées pour se faire passer pour le médecin traitant, l'assurance maladie ou un laboratoire d'analyses. La connaissance du nom du médecin traitant d'une personne, combinée à ses coordonnées, permet à un attaquant de construire un prétexte crédible pour obtenir des informations supplémentaires ou pour inciter à un paiement frauduleux.

À moyen terme, les données exposées peuvent alimenter des bases de données utilisées pour du ciblage publicitaire non consenti, notamment dans le secteur de la santé où le ciblage sur la base de données médicales ou paramédicales est interdit par le RGPD. Pour les 164 000 personnes dont les commentaires administratifs contiennent des informations sensibles, le risque est plus grave et peut inclure des conséquences sur l'emploi, l'accès à certains services ou l'assurabilité si ces informations circulent dans des contextes où elles ne devraient pas être connues.

Les patients qui pensent avoir été concernés devraient être particulièrement vigilants à tout contact non sollicité prétendant provenir d'un professionnel de santé ou d'un organisme de sécurité sociale, notamment si ce contact leur demande de confirmer des informations personnelles, de cliquer sur un lien ou d'effectuer un paiement. Les nouvelles formes de phishing exploitent précisément ce type de données contextuelles pour rendre les tentatives de fraude plus convaincantes.

La sécurité des logiciels médicaux en 2026 : un secteur sous pression

L'incident Cegedim Santé s'inscrit dans un contexte de pression croissante sur la cybersécurité du secteur de la santé en France et en Europe. Les établissements de santé et les éditeurs de logiciels médicaux sont des cibles privilégiées parce que les données de santé ont une valeur élevée sur les marchés clandestins, parce que la continuité de service est critique (un hôpital ne peut pas simplement éteindre ses systèmes pour se protéger), et parce que les budgets alloués à la cybersécurité dans le secteur de la santé sont historiquement inférieurs à ceux d'autres secteurs traitant des volumes comparables de données sensibles.

L'ANSSI et le gouvernement français ont significativement renforcé leurs programmes d'accompagnement à la cybersécurité des établissements de santé depuis 2021, notamment après les cyberattaques contre les hôpitaux de Dax, de Villefranche-sur-Saône et du Centre Hospitalier de Versailles. La question soulevée par l'incident Cegedim est complémentaire : au-delà des établissements de santé eux-mêmes, la sécurité des éditeurs de logiciels médicaux qui servent ces établissements est un maillon de la chaîne dont la robustesse conditionne la sécurité de l'ensemble du secteur.

Un éditeur de logiciel médical qui dessert 3 800 médecins est, du point de vue de la cybersécurité, un concentrateur de risque : compromettre ses systèmes centraux revient à obtenir un accès potentiel à une fraction significative de la base de données médicale nationale. La réglementation française et européenne sur la sécurité des systèmes d'information de santé (référentiels HDS, directive NIS2) impose des obligations croissantes à ces acteurs, mais l'incident Cegedim montre que des lacunes restent à combler dans la pratique. La surveillance des données exposées sur les marchés clandestins est un indicateur précoce des risques qui pèsent sur ces systèmes.

Foire aux questions

Comment savoir si j'ai été concerné par la fuite Cegedim Santé ?

Les médecins concernés par la cyberattaque ont théoriquement été contactés par Cegedim début janvier 2026. Si votre médecin utilise ou a utilisé le logiciel MLM de Cegedim Santé, il est en mesure de vous indiquer si votre dossier fait partie de ceux qui ont été exposés. En cas de doute, vous pouvez exercer votre droit d'accès auprès de votre médecin traitant pour connaître les informations vous concernant dans son système. La CNIL a également mis en place des informations pour les personnes qui souhaitent connaître leurs droits dans ce contexte.

Mes données de santé médicales (diagnostics, prescriptions) ont-elles été exposées ?

Non, selon les déclarations de Cegedim Santé et du ministère de la Santé. Les dossiers médicaux structurés, qui contiennent les informations médicales proprement dites (diagnostics, prescriptions, antécédents cliniques), sont restés intègres. Ce qui a été exposé se limite aux données du dossier administratif : identité, coordonnées et commentaire administratif en texte libre. Pour 164 000 personnes dont le commentaire administratif contenait des informations sensibles, le risque est plus important, mais il concerne des informations présentes dans un champ administratif et non dans le dossier médical structuré.

Quel est le risque concret lié à l'exposition de mes données administratives ?

Le risque principal est l'exploitation des données exposées pour des tentatives de phishing, d'escroquerie ou de fraude à l'identité. La connaissance de votre identité, de vos coordonnées et de votre relation avec votre médecin traitant permet à des acteurs malveillants de construire des approches crédibles : un faux appel de votre médecin, un e-mail imitant l'assurance maladie qui connaît vos coordonnées exactes, ou un message faisant référence à votre suivi médical. Soyez vigilant à tout contact non sollicité demandant des informations personnelles ou un paiement, même si ce contact semble venir d'une source médicale légitime.

Cegedim Santé a-t-il respecté ses obligations légales de notification ?

Cette question est précisément l'objet de l'enquête en cours. Le RGPD impose la notification de l'autorité de contrôle (en France, la CNIL) dans les 72 heures suivant la prise de connaissance d'une violation, et la notification des personnes concernées sans délai injustifié lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Le délai entre la détection fin 2025 et la révélation publique fin février 2026 soulève des questions légitimes sur le respect de ces obligations, dont les réponses seront établies dans le cadre de la procédure ouverte par la CNIL.

Pourquoi les logiciels médicaux sont-ils des cibles pour les cybercriminels ?

Les données de santé ont une valeur particulièrement élevée sur les marchés clandestins, supérieure à celle des données bancaires ou des identifiants de messagerie. Elles permettent de cibler des personnes vulnérables avec des escroqueries médicales ou d'assurance, peuvent contenir des informations sensibles utiles au chantage ou à la discrimination, et sont difficiles à invalider (contrairement à un mot de passe, vous ne pouvez pas changer vos antécédents médicaux). Les éditeurs de logiciels médicaux desservant de nombreux médecins sont des concentrateurs de ces données précieuses, ce qui en fait des cibles à fort rendement pour les attaquants.

Que doit faire mon cabinet médical pour prévenir ce type d'incident ?

Les cabinets médicaux devraient vérifier que leur logiciel de gestion est à jour avec les derniers correctifs de sécurité, que les accès au logiciel sont protégés par des mots de passe robustes et, si possible, par une authentification à double facteur. La politique de conservation des données devrait être revue pour s'assurer que les dossiers de patients qui n'ont pas été vus depuis de nombreuses années sont archivés ou supprimés conformément aux obligations légales et aux recommandations de la CNIL. Les personnels de secrétariat devraient être sensibilisés à ne pas saisir d'informations médicales ou sensibles dans les champs administratifs libres du logiciel, réservés aux notes pratiques sans caractère médical ou sensible.

Le chiffrement des données médicales aurait-il pu empêcher cette fuite ?

Le chiffrement au repos des données stockées dans la base de données du logiciel médical est une mesure de sécurité qui rend les données illisibles pour un attaquant qui accède directement aux fichiers de la base de données sans passer par l'application. Cependant, si la cyberattaque a exploité l'application elle-même, c'est-à-dire si l'attaquant a obtenu un accès fonctionnel au logiciel qui lui permettait d'interroger la base de données de la même manière qu'un utilisateur légitime, le chiffrement au repos ne protégerait pas les données visibles par l'application. La protection la plus efficace contre ce type d'attaque combinée est la réduction de la surface d'attaque de l'application elle-même, la détection précoce des accès et des comportements anormaux, et la segmentation des données pour limiter ce qu'une compromission de l'application peut exposer.

Comment Defendis peut vous aider

Ce type d'incident illustre un problème structurel : les informations critiques sur une compromission active circulent d'abord dans des canaux fermés, forums clandestins et communautés privées, avant d'atteindre les équipes de sécurité par les canaux officiels. Le temps perdu dans cet écart est souvent celui où l'exploitation est la plus active et les dommages les plus importants.

Defendis surveille ces sources en continu. Votre équipe reçoit des signaux d'alerte pertinents avant que l'incident ne devienne public, avec le contexte nécessaire pour agir rapidement, sans que vos analystes aient à patrouiller eux-mêmes dans des espaces qu'ils ne devraient pas avoir à fréquenter.

Réserver une démo

About the author
Sara is a marketing student and tech writing enthusiast with an interest in digital culture, startups, and emerging technologies.

Related Articles

Discover simplified
Cyber Risk Management
Request access and learn how we can help you prevent cyberattacks proactively.