La fuite de données de médicales qui a touché des millions de Français découle d’une négligence inouïe. Quelques semaines après la mise en ligne des données sur le dark web, on apprend que l’éditeur Cegedim n’avait pas pris toutes les mesures adéquates pour protéger les informations en sa possession.
Fin février 2026, une base de données contenant des informations médicales sur 11 à 15 millions de Français a été découverte sur le dark web. Le répertoire comprend notamment des commentaires extrêmement intimes rédigés par des médecins sur leurs patients. La fuite dévoile des traumatismes, des violences sexuelles, des troubles psy, des orientations sexuelles, mais aussi des données d’identité et de contact. Les données ont été volées à l’éditeur de logiciels médicaux Cegedim. L’entreprise confirme avoir « identifié, fin 2025, un comportement anormal de requêtes applicatives sur des comptes médecins utilisateurs du logiciel MLM (MonLogicielMedical.com) ». Une enquête judiciaire est en cours.
Avec @ALehenanff , ministre déléguée chargée de l’Intelligence artificielle et du Numérique, nous avons réuni hier à Bercy la société Cegedim afin d’obtenir des clarifications complètes sur l’incident de cybersécurité et sur les mesures mises en œuvre pour informer les… pic.twitter.com/7JEPrtOiv8
— Stéphanie RIST (@stephanie_rist) March 5, 2026
Quelques semaines après l’annonce du piratage, Cegedim a été convoqué à Bercy par la ministre déléguée chargée de l’Intelligence artificielle et du Numérique Anne Le Hénanff et la ministre de la Santé Stéphanie RIST. Comme l’explique cette dernière sur X, la réunion visait à « obtenir des clarifications complètes sur l’incident de cybersécurité ».
A lire aussi : Microsoft vient de détruire l’arme secrète des pirates pour contourner la double authentification
169 000 données médicales sensibles
L’éditeur a notamment été convié à préciser les contours de la cyberattaque. L’entreprise a expliqué que la déclaration initiale de cyberattaque, déposée en octobre auprès de la CNIL conformément au RGPD, ne concernait que deux professionnels de santé. La déclaration a été mise à jour en janvier pour indiquer que l’attaque avait finalement compromis environ 1 500 professionnels sur les 3 800 utilisateurs du logiciel.
Du côté des informations piratées, l’éditeur a précisé que les données exposées sont surtout administratives. On parle surtout d’informations de contact et de coordonnées, ce qui reste préoccupant. Selon les investigations, 169 000 données comportent des informations sensibles, comme des commentaires médicaux.
Pas de double authentification pour protéger vos données médicales
Dans sa publication, la ministre de la Santé explique qu’il a été demandé à Cegedim de renforcer sa sécurité informatique. L’éditeur est invité à « accélérer sa mise en conformité » avec la directive NIS 2 et le Cyber Resilience Act, deux directives européennes qui imposent des règles de cybersécurité et qui fixent des exigences précises pour les logiciels.
Surtout, les ministères ont demandé à Cegedim de « renforcer immédiatement sa cybersécurité ». La ministre de la Santé met en avant une mesure de protection phare : la double authentification. À la surprise générale, il s’avère que l’éditeur n’a pas encore mis en place de système d’authentification multifactorielle pour protéger les innombrables données médicales en sa possession. Pour pénétrer dans les systèmes de Cegedim, les attaquants n’ont eu qu’à se servir d’identifiants volés à des médecins.
Ce dispositif de sécurité ajoute une étape d’authentification supplémentaire pour accéder à vos comptes. Au-delà du simple mot de passe, vous devez saisir un code reçu par SMS, par e‑mail ou via une application dédiée comme Google Authenticator. Ainsi, vos comptes restent protégés même si votre mot de passe a été volé. Le système s’est progressivement généralisé sur Internet, à tel point que 80 % des utilisateurs se servent de l’authentification double facteurs, selon une étude de Cisco. À contre-courant, de nombreux éditeurs, gardiens de données sensibles, ont négligé de mettre en place le dispositif, pourtant capable de bloquer une grande partie des intrusions.
C’est d’ailleurs la même négligence inouïe qui est à l’origine du piratage du ministère de l’Intérieur, survenu à la fin de l’année dernière. Alors que les cyberattaques se multiplient en France, l’absence d’authentification multifactorielle, généralisée sur tous les comptes, peut être considérée comme un sérieux manque de vigilance. Nous avons contacté Cegedim pour en savoir plus sur ses mesures de sécurité, mais nous n’avons pas encore eu de réponse à ce stade.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.