En février 2026, la France a, à travers le ministère de la Santé, confirmé l’une des fuites de données médicales les plus importantes de l’histoire contemporaine. Au final entre 11 et 15 millions de patients sont touchés. Un prestataire est au cœur de la tempête médiatique et informatique. L’éditeur concerné, Cegedim, stipile qu’il y a eu un accès non autorisé a des comptes professionnels de praticiens. Cet incident n’est pas une anomalie — il est le symptôme d’une mutation profonde du cybercrime, industrialisé, mondialisé et dopé à l’intelligence artificielle.

L’entreprise explique avoir détecté l’incident en fin d’année 2025. Elle engage depuis des mesures correctives communique t-elle. Les renseignements exposés incluent notamment l’identité. Cet épisode constitue l’un des événements les plus importants qui ont touché le système de santé français ces dernières années. Il illustre surtout une tendance structurelle : la multiplication des attaques contre des bases de données contenant des informations sensibles.

L’affaire Cegedim : une brèche dans la chaîne de confiance médicale

Le ministère de la Santé français confirme la compromission des données administratives d’environ 15 millions de patients. Le vecteur d’attaque identifié : une intrusion dans les comptes professionnels de praticiens utilisant « Mon Logiciel Médical » de l’éditeur Cegedim, l’un des principaux fournisseurs de solutions numériques pour les cabinets médicaux en France.

Cette attaque n’est pas isolée. Elle s’inscrit dans une dynamique mondiale caractérisée par une augmentation rapide du nombre et de la sophistication des cyberattaques. Selon le média économique espagnol Merca2, on a compté 28 millions de cyberattaques en 2025 avec l’aide de l’intelligence artificielle. D’ailleurs le répit connu en début d’année 2025 a fondu comme neige au soleil. Mais certaines franchises minimisent leurs attaques sur le site de fuite comme Akira.

Selon les déclarations de l’entreprise, l’accès frauduleux n’a pas visé ses infrastructures centrales directement, mais a exploité des comptes utilisateurs de médecins. Cegedim affirme avoir détecté l’incident fin 2025 et avoir engagé des mesures correctives. Les données exposées comprennent des éléments d’identité et de contact — noms, dates de naissance, coordonnées. Puis pour certaines des brides d’indications, relevant du secret médical, sont diffusées sur l’Internet. (Crédits : Alexa/Pixabay)

L’incident illustre un vecteur de plus en plus prisé : la compromission par rebond via les prestataires (supply chain attack). Lorsqu’un fournisseur informatique desservant des milliers de cabinets subit une attaque, l’impact se propage en cascade à l’ensemble de ses clients. Elle est particulièrement difficile à anticiper pour des établissements de santé aux ressources en cybersécurité souvent limitées.

Concernant la fuite elle-même, différentes informations circulent. Le fichier contenant les civilités pèse 411,2 Mo compressé, puis 4,7 Go décompressé. Il affiche au total 19 109 299 lignes au sein d’un document au format “.json”.
Les informations ainsi distillées sont pour chacun et chacune : prénom, nom, civilité, genre, date de naissance, adresse, code postal, ville, département, courriel, numéros de téléphone (fixe et portable), statut du patient (assuré ou non), régime (général, agricole ou spéciaux), nom de l’assuré principal en cas d’enfant à charge, date de création du dossier médical, la dernière visite au cabinet…

Sur l’ensemble des lignes, seules 19 109 298 sont uniques et représentent des informations sensibles et personnelles des patients. Il existe en outre 150 529 e-mails unique dans ce fichier. (Crédits : Todoran Bogdan/Pexels)

Le logiciel MLM est utilisé par 3 800 médecins en France dont 1 500 concernés par cette attaque explique Cegedim dans son communiqué. Aujourd’hui, « on est pris entre le marteau et l’enclume », déplore la présidente de MG France. « On a un État qui veut absolument qu’on mette le plus de choses possibles en ligne sur des logiciels, sur des serveurs externes partagés avec d’autres professionnels, souligne Agnès Giannotti. Donc, c’est un vrai souci de confiance, de sécurité pour les patients et de pénalisation de notre exercice. »

Une industrialisation rapide du cybercrime

La cybercriminalité n’est plus une délinquance artisanale. Elle meut en une économie structurée, mondialisée et segmentée. La criminalité organisée révèle une mutation profonde, elle s’est industrialisée. Si le modèle dominant demeure le ransomware, ce dernier évolue vers de la « pure extorsion » où le chiffrement n’est plus indispensable — seule l’exfiltration de données suffit.

Ils opèrent en franchises, via des programmes de Ransomware-as-a-Service (RaaS). Les groupes recrutent sur des forums clandestins, partageant les bénéfices selon des pourcentages contractuels. Cette métamorphose émerge de nouveaux acteurs : initial access brokers, négociateurs professionnels, blanchisseurs de crypto.

Parallèlement, le vecteur d’intrusion se déplace vers les maillons faibles de la chaîne. Les compromissions de fournisseurs de services informatiques ou d’éditeurs de logiciels permettent d’infecter des centaines d’entreprises. Dans un contexte d’externalisation massive vers le cloud et les environnements SaaS, la cible privilégiée n’est plus le serveur local, mais l’identité numérique : jetons d’authentification, clés API, comptes administrateurs mal protégés… Pour rentrer via la grande porte.

Vecteur d’intrusion en mouvement

Les infostealers — conçus pour aspirer mots de passe, cookies de session… — alimentent un marché secondaire. Dans un lieu où les accès volés sont revendus quasiment en temps réel. L’irruption de l’IA accentue le mouvement : phishing hyperpersonnalisé, deepfakes vocaux pour fraudes au président, automatisation de malwares polymorphes.

Certaines interventions brouillent la frontière entre criminalité, géopolitique et stratégie d’influence, comme lors des élections. Des groupes opérant bénéficient parfois d’une tolérance implicite tant que leurs cibles restent étrangères. Les infrastructures critiques — énergie, santé, systèmes industriels — deviennent des objectifs, soit pour la rançon, l’influence ou pour la démonstration de puissance. (Crédits : Kehn Hermano/Pexels)

L’attribution de la paternité des cyberattaques demeure complexe. Cela est du à la pluralité de juridictions, l’usage de cryptoactifs, des serveurs répartis sur plusieurs continents. La coopération internationale progressent, mais l’adaptation criminelle semble supérieure, jusqu’à preuve du contraire. Les groupes accroissent leur résilience face aux démantèlements. La cybercriminalité contemporaine n’est plus une succession d’attaques isolées. Car, elle évolue au sein d’un marché structuré, agile, dont la logique est celle du rendement, et dont la régulation peine encore à suivre le rythme, malgré les efforts et outils déployés.

Une pluralité d’offre criminelle

Des groupes développent et commercialisent des programmes à buts malveillants. Ce modèle réduit drastiquement les barrières techniques. Les opérateurs mènent désormais des attaques sophistiquées en louant l’infrastructure d’autrui. Le cybercrime se scinde et se spécialise. L’organisation Cl0p en illustre l’évolution. Apparue vers 2019 et associée par plusieurs chercheurs en cybersécurité au groupe criminel FIN11, cette organisation russophone s’est consacrée au vol de bases de données à grande échelle.

Contrairement à d’autres collectifs reposant uniquement sur le chiffrement des systèmes, Cl0p privilégie une stratégie dite de data extorsion. L’objectif principal est d’exfiltrer des quantités colossales de renseignements confidentiels afin de maximiser le levier de pression.

Ce collectif a exploité à grande échelle la vulnérabilité critique du logiciel MOVEit Transfer (CVE-2023-34362), compromettant des centaines d’organisations dans plus de 25 pays (administrations, universités, entreprises…). Ainsi, en 2023, LeMagIT explique que : « le groupe Cl0p vient d’ajouter plus de 290 segments d’archives compressées de données présentées comme dérobées à Cegedim lors de sa campagne de cyberattaques contre les instances MOVEit Transfer. Au total, ce sont donc plus de 1,5 To de données compressées qui sont mises à disposition. » La compagnie Cegedim se trouvait dans la même situation que d’autres organismes déjà épinglés au tableau de chasse.

L’IA, accélérateur du cybercrime

Le modèle économique repose sur une segmentation des rôles. Cela permet de mener simultanément plusieurs campagnes, tout en répartissant les risques et les profits.

Les revenus proviennent en grande partie de rançons. Les montants exigés peuvent atteindre plusieurs millions de dollars dans les cas les plus médiatisés. Les données volées constituent également une ressource économique en elles-mêmes. Lorsqu’une victime refuse de payer, Cl0p — et d’autres — publie progressivement les archives exfiltrées sur son site de fuite. La pression s’exerce, et peut permettre leur réutilisation par d’autres acteurs.

La génération de messages de phishing de plus en plus personnalisés, la reconnaissance robotisée des systèmes cibles, identification de vulnérabilités, sont le résultat de l’utilisation de l’IA et son automatisation. (Crédits : Pixabay/Pexels)

Elle augmente considérablement le volume, la précision et la chute dans le piège tendu par les attaques. Concomitante à l’alerte de la société Cegedim, la CNIL rappelle régulièrement que les données de santé figurent parmi les informations les plus sensibles, car elles peuvent servir à des fins d’usurpation d’identité, de fraude ou de chantage. Elle martèle aussi de recourir à l’utilisation de la MFA.

Les systèmes de santé sont des cibles prioritaires

Pour les patients, comme tout un chacun, ces fuites restent abstraites jusqu’au moment où elles deviennent concrètes. Des appels frauduleux, tentatives d’escroquerie, ou l’utilisation de l’ingénierie sociale. Contrairement aux informations bancaires, qui peuvent être annulées ou remplacées, les données médicales accompagnent une personne tout au long de sa vie. Une fois exposées, elles ne peuvent plus être changées, au grand dam des personnes concernées.

Les établissements comme les prestataires de santé concentrent des caractéristiques qui en font des cibles particulièrement attractives. En premier lieu, la valeur des données. Elles permettent des usurpations d’identité, des fraudes à l’assurance et bien d’autres encore. Sur les marchés clandestins, un dossier médical se négocie à un prix bien supérieur à celui d’une simple carte bleue. « Les détails d’une carte de crédit se monnaient entre 10 et 120 dollars. Une American Express clonée avec code PIN : 25 $, une Visa ou une Mastercard 20 $ », explique Privacy Affairs.

Réaction en chaîne

Ensuite, la vulnérabilité structurelle des infrastructures. Les systèmes d’information hospitaliers et médicaux reposent souvent sur des architectures hétérogènes, parfois vieillissantes, dont la mise à jour s’avère complexifiée par des contraintes opérationnelles considérables. Un hôpital ne peut pas interrompre ses systèmes aussi facilement qu’une entreprise industrielle, ce qui crée des fenêtres de vulnérabilité persistantes.

Enfin, la généralisation des prestataires informatiques mutualisés — comme Cegedim — crée des points de défaillance unique à fort impact. Comme ce fut le cas pour Partitio (ESN française — 2025), Majorel (prestataire informatique de France Travail — 2023), WEDA (éditeur de logiciel médical — 2025), Airbus (attaque via fournisseurs — 2019), Fondouest (PME française — 2024). Un seul incident chez un fournisseur peut exposer les données de dizaines de milliers de clients simultanément.

Le Maroc a récemment mis en avant son approche lors d’un sommet organisé à Madrid. Cette approche est présentée comme un élément de crédibilité mondiale et de positionnement stratégique, commente NextDefense. (Crédits : Mart Production/Pexels)

Les États cherchent à renforcer leurs capacités de détection, de prévention et de réponse aux incidents. Cette évolution reflète une transformation plus large des enjeux de sécurité. Le cyber est un domaine tactique, au même titre que les espaces terrestre, maritime, aérien et spatial.

Un cadre juridique confronté à des défis structurels

Le RGPD impose des obligations strictes. Mais cette conformité ne constitue pas un bouclier, juste une norme. La directive européenne NIS 2 (Network and Information Security) est entrée en vigueur en janvier 2023 et en cours de transposition dans les États membres, donc en France. « Alors que la menace cyber augmente et que les systèmes d’information restent pour partie vulnérables, la directive NIS 2 représente une opportunité unique : sa mise en application va permettre à des milliers d’entités de mieux se protéger. Elle va être l’occasion de mobiliser largement le tissu économique national et le secteur public. »

Les cyberattaques soulèvent des défis juridiques importants. Car, l’identification des auteurs est souvent difficile — pas impossible au vue des nombreux succès d’Europol : Eastwood, Endgame, No More Ransom project et la chute de Kidflix (opération Stream)— en raison de l’utilisation d’infrastructures réparties sur plusieurs continents. La cybersécurité repose sur une logique de réduction des risques, étant donné que l’élimination absolue n’existe pas. Le tout numérique augmente la surface d’attaque, car les entreprises, administrations et infrastructures critiques dépendent totalement des systèmes d’information.

Une cyberguerre mondiale

La cybersécurité est un élément central des politiques de sécurité nationale. Elle influence les relations internationales, l’économie et la stabilité des institutions — ou est-ce le contraire. La capacité d’un État à protéger ses systèmes informatiques constitue désormais un facteur de souveraineté. Les cyberattaques continueront de représenter un défi dans les années à venir. Face à une hydre, ou une vendetta, que peut-on faire ?

L’affaire Cegedim n’est pas un accident de parcours. Elle n’est pas symptomatique de la structure française, mais de celui du paysage mondial. Elle est la manifestation d’un risque systémique inhérent à la numérisation du secteur de la santé, comme l’ensemble des autres. La fréquence et la sophistication des attaques continueront d’augmenter, portées par l’automatisation et l’intelligence artificielle. Quand une contre-mesure est mise en place, les criminels semblent avoir déjà plusieurs coups d’avance.

Comment comprendre que le courriel est le principal vecteur, alors qu’il constitue également le moyen par lequel nous recevons la confirmation de notre identification vérifiée ? (Crédits : Taha Samet Arslan/Pexels)

La numérisation de la médecine devait simplifier la vie des patients et des soignants. Elle ampute le temps consacré aux soins des professionnels de la santé, envers les patients. Elle ouvre un nouveau front invisible. Dans cet univers, les dossiers médicaux circulent entre cabinets, hôpitaux, laboratoires et prestataires. Chaque maillon de cette chaîne peut muer en un point d’entrée potentiel. L’affaire Cegedim n’est donc pas uniquement un incident informatique. Elle révèle une mutation plus profonde : la santé est devenue une cible stratégique dans l’économie mondiale du cybercrime, avec une dimension géopolitique. Et derrière les bases de données, les serveurs compromis et les lignes de code, ce ne sont jamais seulement des systèmes qui sont attaqués.

Ce sont des patients.