Une fuite massive frappe un éditeur clé des cabinets médicaux. Des millions de données patients auraient été volés. Au moins 300 000 ont été diffusés en ligne, relançant les doutes sur la gouvernance cyber du secteur santé français.
Révélée le 26 février par France 2, l’intrusion visant Cegedim concerne le logiciel « Mon logiciel médical », utilisé par 3 800 clients. Des informations administratives de patients ont été consultées ou extraites illégalement. Un échantillon vérifié comprend près de 300 000 profils. Le pirate évoque 19 millions d’entrées, dont 150 000 adresses électroniques uniques, tandis que France 2 avance 11 à 15 millions de personnes potentiellement touchées. Des annotations sensibles figurent aussi dans la fuite. L’affaire survient alors que Cegedim Santé a été sanctionnée de 800 000 euros par la CNIL pour traitement non autorisé de données pseudonymes. ZATAZ vous raconte l’histoire rocambolesque d’une fuite datant déjà de plusieurs semaines !
Une intrusion aux contours encore flous
L’alerte émane d’une enquête diffusée par France 2. Le 26 février 2026, la chaîne publique révèle qu’un acteur malveillant a compromis des données issues de Cegedim, fournisseur majeur de solutions numériques pour médecins libéraux. Le logiciel concerné, baptisé Mon logiciel médical, équipe 3 800 clients selon l’éditeur. Fin 2025, l’entreprise détecte un « comportement anormal », puis constate que des informations patients ont été consultées ou exfiltrées sans droit. Elle affirme avoir verrouillé les accès, saisi la justice et notifié la CNIL.
Les éléments subtilisés sont principalement administratifs. Ils permettent d’identifier quel patient consulte quel praticien. Téléphones et courriels apparaissent en nombre. Les dossiers médicaux, prescriptions ou résultats d’examens ne seraient pas inclus. Toutefois, un échantillon mis en ligne par l’attaquant, que ZATAZ a pu examiner (France 2 et Le Monde confirme cet échantillon) dès janvier 2026, rassemble des données administratives concernant près de 300 000 personnes. Une fraction marginale contient des mentions d’ordre médical ou intime.
C’est là que l’affaire prend une dimension sensible. Des commentaires saisis par des médecins dans les fiches patients figurent dans la base diffusée. On y lit des indications sur un diagnostic, l’orientation sexuelle supposée ou la religion d’un proche. Cegedim évoque des cas « très limités » et parle d’annotations personnelles (1% du contenu). Reste que ces notes, intégrées dans un champ administratif, ne sont pas dans le document diffusés par plusieurs pirates.
Le nombre total de victimes demeure incertain. Sur l’espace de discussion où la base est proposée à la vente, le pirate revendique 19 millions d’enregistrements mais seulement 150 000 adresses mail distinctes. France 2 avance une fourchette comprise entre 11 et 15 millions d’individus. L’entreprise, elle, indique que 1 500 médecins utilisant le logiciel sont concernés. L’écart entre ces chiffres impose prudence. Il faudra une expertise technique pour distinguer entrées dupliquées, patients actifs et simples contacts.
Une fragilité structurelle du numérique médical
Cette compromission intervient dans un contexte déjà tendu pour Cegedim Santé. En 2021, des contrôles de la CNIL ont mis au jour un traitement de données de santé transmises à des clients pour produire études et statistiques. L’autorité a estimé que les informations n’étaient pas anonymes mais pseudonymes, car une réidentification restait techniquement envisageable. En conséquence, la formation restreinte a infligé une amende de 800 000 euros, au regard des capacités financières du groupe, du volume traité et de la sensibilité des données.
Pour apprécier le caractère anonyme, la CNIL s’est fondée sur la possibilité d’identifier une personne par des moyens raisonnables, conformément à la jurisprudence européenne et aux travaux des autorités de protection. Les enquêteurs ont relevé que l’éditeur collectait année de naissance, sexe, catégorie socioprofessionnelle, allergies, antécédents, taille, poids, diagnostics, prescriptions, arrêts de travail et résultats d’analyse. Chaque patient disposait d’un identifiant unique, permettant de reconstituer son parcours de soins au fil des transmissions. En combinant ces éléments avec des jeux détenus par des tiers, le risque de retrouver une identité était jugé trop élevé pour parler d’anonymat.
Ce rappel réglementaire éclaire l’attaque actuelle. Les logiciels de gestion médicale structurent l’ensemble de la chaîne de données, de la prise de rendez-vous à la prescription. Cegedim équipe environ 25 000 cabinets et 500 centres de santé. Une brèche dans un tel écosystème offre une surface d’exploitation considérable, même si toutes les instances ne sont pas nécessairement compromises.
Les données de santé bénéficient en principe d’une protection renforcée. Elles sont aussi moins recherchées que les simples coordonnées, plus facilement monétisables via hameçonnage ou usurpation d’identité. Pourtant, la présence d’annotations sensibles modifie l’équation. Elle expose les patients à des risques réputationnels et à des tentatives de chantage ciblé, même si ce modèle reste marginal aujourd’hui. Cegedim indique que ces anontations sont le faits de soignants.
Au-delà de l’incident, la question de la formation des professionnels et de la conception logicielle se pose. Pourquoi des commentaires intimes figuraient-ils dans des champs accessibles lors d’une extraction massive ? La sécurisation doit couvrir l’architecture technique mais aussi les usages quotidiens. Le programme CaRE a renforcé les hôpitaux. La médecine de ville, elle, demeure un maillon fragile.
Si des personnalités publiques figurent parmi les victimes, comme l’évoquent plusieurs sources, la pression politique pourrait s’intensifier. Dans un pays régulièrement frappé par des fuites de grande ampleur, l’affaire Cegedim agit comme un révélateur des tensions entre innovation numérique et souveraineté des données de santé.
La bataille se joue désormais sur le terrain du renseignement cyber, entre traque des auteurs et cartographie précise des données exposées.
L’histoire rocambolesque d’une fuite de données parmi tant d’autres !
Le Service de Veille ZATAZ suit cette fuite depuis plusieurs mois. En voici son histoire.
Le 10 janvier 2026, un pirate affirme avoir « téléchargé des données du site cegedim-sante.com ». Pour appuyer ses déclarations, il publie un échantillon portant sur une vingtaine de patients.
Deux jours plus tard, le 12 janvier, un message signé d’un pseudonyme inédit, CZX, qui correspond en réalité au pirate à l’origine de la revendication du 10 janvier, apparaît sur un forum spécialisé. L’auteur sera ultérieurement banni de cette plateforme. De source locale, CZX serait un escroc (scammeur). Il y annonce que« vers 2025, les données de patients issues de Mon Logiciel Médical, un logiciel médical en mode SaaS lié à Ameli (plateforme de l’Assurance Maladie), ont été aspirées ».
Selon cette publication, plus de 19 millions d’enregistrements patients auraient été collectés, comprenant plus de 150 000 adresses mail uniques, ainsi que des dates de naissance, genres, noms, numéros de téléphone et adresses physiques. Les catégories de données présentées comme compromises correspondent précisément à ces éléments d’identification. L’auteur est alors présenté comme un membre présumé du groupe DumpSec.
Le 13 janvier, un nouveau rebondissement intervient : les données associées au site monlogicielmedical.com sont mises en vente par un pirate utilisant le pseudonyme Sandreamos. Plusieurs éléments techniques, ainsi que les similitudes avec les échantillons diffusés le 10 janvier, laissent supposer qu’il pourrait s’agir du même acteur que CZX. Dans une démarche de promotion, ce dernier aurait transmis des extraits des données à un internaute français connu pour relayer sur X et LinkedIn.
En février 2026, le groupe DumpSec confirme l’existence d’une fuite. Dans le fil de discussion où les données sont proposées à la vente, un échantillon de 300 000 lignes est publié. DumpSec reconnaît également une « double fuite » : les données seraient issues d’un vol initial opéré par le groupe, mais aussi par un ancien membre aurait décidé de revendre une partie des informations qu’il détenait. Cet ancien membre : CZX. Le collectif diffuse par ailleurs plusieurs éléments présentés comme des preuves d’intrusion, évoquant notamment des accès VPN, Webmail et CRM.
Enfin, il convient de rappeler qu’en novembre 2025, Batista, un pirate informatique interrogé par ZATAZ, revendiquait déjà la compromission du portail Hospit@lis, outil du groupe CEGEDIM. Il avait alors diffusé plus de 13 000 lignes de données attribuées à des professionnels de santé, dont des pharmaciens.
Autres sources :
Le Monde, Des données de santé dérobées à la suite du piratage d’un logiciel pour médecins, 27 février 2026 : https://www.lemonde.fr/pixels/article/2026/02/27/des-donnees-de-sante-derobees-a-la-suite-du-piratage-d-un-logiciel-pour-medecins_6668562_4408996.html
CNIL, Données de santé : sanction de 800 000 euros à l’encontre de la société Cegedim Santé, 2026 : https://www.cnil.fr/fr/donnees-de-sante-sanction-de-800-000-euros-societe-cegedim-sante
