Une cyberattaque ayant visé fin 2025 une filiale de l’éditeur français de logiciels médicaux Cegedim a entraîné une fuite de données touchant environ 15 millions de patients en France, a confirmé vendredi le ministère de la Santé.
Dans un communiqué, le groupe a précisé que sa filiale Cegedim Santé avait détecté « un comportement anormal de requêtes applicatives » sur des comptes de médecins utilisant le logiciel MLM. Des données personnelles de patients ont ainsi été « consultées ou extraites illégalement ».
Selon les autorités sanitaires, les informations compromises proviennent exclusivement des dossiers administratifs des patients. Elles incluent notamment les noms, prénoms, sexe, numéros de téléphone, adresses électroniques et postales. Aucun document médical, ordonnance ou résultat d’examen n’a été dérobé, a assuré le ministère.
Toutefois, l’attaque a également permis l’accès à des champs de « commentaires administratifs en texte libre » rédigés par des médecins.
D’après le ministère de la Santé, environ 169 000 patients, soit près de 1 % des personnes concernées, sont touchés par la divulgation potentielle d’informations sensibles figurant dans ces annotations, telles que l’orientation sexuelle, la religion ou certaines pathologies.
Le groupe a indiqué avoir pris « toutes les mesures nécessaires » pour circonscrire l’incident dès sa détection et avoir informé, début janvier, les médecins concernés. Sur les 3 800 praticiens utilisant le logiciel MLM, environ 1 500 seraient affectés par la fuite.
Conformément à la réglementation en vigueur, l’incident a été notifié à la Commission nationale de l'informatique et des libertés (CNIL). L’entreprise n’a pas précisé si l’ensemble des patients concernés avaient été individuellement informés.
Le ministère de la Santé a souligné qu’il s’agissait d’un « prestataire privé, responsable du traitement des données », précisant que l’incident ne résultait « ni d’une défaillance des systèmes du ministère, ni d’une infrastructure relevant directement de l’État ».
La ministre de la Santé, Stéphanie Rist, a demandé à Cegedim Santé de rendre compte des causes de l’incident, des mesures correctives mises en œuvre ainsi que des garanties apportées afin de prévenir toute nouvelle fuite de données, selon la même source. [AA]
FRANCE
