L’éditeur Cegedim, à l’origine de la fuite des données médicales de 15 millions de Français, a tenu à répondre aux critiques. Accusée de négligence, l’entreprise pointe du doigt un mauvais timing dans la généralisation de l’authentification à deux facteurs sur ses systèmes.
À la fin du mois de février 2026, une base de données regroupant des informations médicales concernant 11 à 15 millions de Français a été repérée sur le dark web. Elle contient notamment des commentaires très personnels rédigés par des médecins sur leurs patients, révélant des traumatismes, des violences sexuelles, des troubles psychiques, des orientations sexuelles, ainsi que diverses données d’identité et de contact. Il s’est vite avéré que les données ont été volées à l’éditeur de logiciels médicaux Cegedim.
Fondée en 1969, l’entreprise propose des logiciels de gestion du dossier patient, d’aide à la prescription et de facturation, aux professionnels de santé. Parmi les logiciels phares de la société, on trouve MonLogicielMedical.com, un service en ligne utilisé par 3800 médecins en France. C’est ce logiciel qui est à l’origine de la fuite de données. Sans surprise, la fuite a fait un véritable tollé dans l’Hexagone. La ministre déléguée chargée de l’Intelligence artificielle et du Numérique Anne Le Hénanff et la ministre de la Santé Stéphanie Rist ont même convoqué Cegedim à Bercy pour lui demander des comptes.
À lire aussi : Microsoft vient de détruire l’arme secrète des pirates pour contourner la double authentification
Cegedim fait le point sur ses mesures de sécurité
Dans un communiqué adressé à 01net, Cegedim indique que la cyberattaque résulte d’un « usage frauduleux de comptes utilisateurs légitimes compromis ». En d’autres termes, les pirates sont parvenus à s’emparer des identifiants et des mots de passe d’un médecin, ce qui leur a ouvert la porte à la plateforme.
L’éditeur reconnait que l’authentification à deux facteurs n’était pas implémentée sur tous les comptes au moment des faits, fin 2025. C’est pourquoi les cybercriminels sont parvenus à leurs fins sans rencontrer d’obstacle. Néanmoins, plus de 70% des comptes avaient déjà configuré l’authentification multifactorielle au moment de l’intrusion.
Comme l’explique Cegedim, la double authentification repose sur « l’usage de la carte CPS, qui constitue un mécanisme d’authentification forte largement déployé dans l’environnement numérique de santé ». Les médecins doivent désormais se munir de leur carte CPS (Carte de Professionnel de Santé), une carte à puce physique, pour pouvoir se connecter. Sans cette carte, il n’est pas possible de se connecter, même avec les identifiants et les mots de passe.
« Celle-ci s’inscrivait déjà dans la trajectoire de renforcement de la sécurité des accès à nos logiciels. Nous avions commencé à déployer cette double authentification en mai 2025 avec une généralisation progressive afin d’accompagner au mieux nos utilisateurs dans leur exercice quotidien », souligne l’éditeur français.
Un mauvais timing
Peu après les faits, la double authentification a été déployée sur tous les comptes et protège « tous les logiciels à destination des professionnels de santé depuis début décembre 2025 ». Il s’avère que l’intrusion est survenue juste avant que Cegedim ne généralise l’authentification multifactorielle à l’ensemble de ses logiciels brassant des données médicales.
L’éditeur avait d’ailleurs l’obligation de déployer la double authentification sur ses services avant la date butoir du 1er janvier 2026. C’est en effet l’une des obligations du PGSSI-S (Politique Générale de Sécurité des Systèmes d’Information de Santé), le cadre réglementaire de référence publié par l’Agence du Numérique en Santé (ANS).
Dès que l’incident a été détecté, Cegedim a pris « un ensemble de mesures correctives et de sécurisation ». L’éditeur a évidemment révoqué tous les comptes compromis, renforcé la surveillance et la détection d’activités anormales sur ses systèmes, et accéléré la génération de l’authentification à deux facteurs.
15,8 millions de dossiers piratés
Depuis que ces mesures ont été prises, plus aucune intrusion n’a été enregistrée. Malheureusement, le mal était déjà fait. Cegedim a pu confirmer, après enquête, que 15,8 millions de dossiers administratifs, comprenant le nom, le prénom, la date de naissance, le numéro de téléphone et l’adresse mail des victimes, ont été piratés et diffusés sur le dark web. Dans 165 000 cas, le dossier comprenait « une annotation personnelle du médecin relative à une information sensible ».
« Aucun document médical, compte rendu, ordonnance, résultat d’imagerie ou dossier clinique structuré n’a été compromis. Les analyses se poursuivent afin de consolider l’ensemble des constats techniques selon les standards attendus pour ce type d’incident », déclare Cegedim.
L’éditeur ajoute que les investigations, menées avec les autorités compétentes, sont toujours en cours. L’entreprise n’a pas précisé pourquoi l’attaque n’a été divulguée au public qu’à la fin février 2026, à l’issue de la publication des données sur le dark web et la diffusion d’un reportage sur France 2, soit des mois aprés les faits.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.