Selon nos confrères de BFM Bourse, le spécialiste des logiciels médicaux Cegedim a confirmé ce vendredi 27 février que sa filiale Cegedim Santé a été victime d'une cyberattaque fin 2025, accompagnée d'une fuite massive de données personnelles de patients. Cette attaque a touché environ 15 millions de patients en France, selon le reportage diffusé lors du journal de 20h de France 2, la veille.

Le groupe Cegedim a affirmé dans un communiqué que les « dossiers médicaux structurés des patients sont restés intègres ». Cependant, les « données administratives » de patients, telles que le nom, prénom, numéro de téléphone, adresse postale et e-mail, ainsi que des commentaires administratifs en texte libre à la discrétion des médecins, ont fait l'objet d'une fuite massive.

Ce qu'il faut retenir

  • Cegedim a confirmé une cyberattaque fin 2025 qui a touché environ 15 millions de patients en France.
  • Les données administratives des patients, telles que le nom, prénom, numéro de téléphone, adresse postale et e-mail, ont été compromises.
  • Les dossiers médicaux structurés des patients sont restés intègres, selon Cegedim.
  • Cegedim a informé les autorités compétentes et a déposé plainte auprès du procureur de la République.

Les détails de l'attaque

Le logiciel MLM (MonLogicielMedical.com) de la filiale Cegedim Santé a subi une cyberattaque fin 2025. Le groupe est parvenu à cette conclusion après avoir identifié « un comportement anormal de requêtes applicatives ». Cette attaque a concerné environ 1 500 médecins en France qui utilisent ce logiciel.

Cegedim a précisé que les médecins concernés par cette cyberattaque ont été contactés début janvier. Le groupe a affirmé avoir pris toutes les mesures nécessaires pour le traitement de cet incident, qui a été circonscrit dès la détection de l’incident fin 2025.

Les conséquences de l'attaque

L'action Cegedim a chuté de plus de 9% en Bourse après la confirmation de cet incident. Le ministère de la Santé a confirmé que les « données administratives » de 15 millions de Français ont fuité et a enjoint à la société Cegedim Santé de mettre « immédiatement en œuvre » des mesures correctives après cette cyberattaque.

Le parquet de Paris a saisi la Brigade de lutte contre la cybercriminalité d'une enquête « pour atteintes à un système automatisé de données » après la plainte déposée par Cegedim. Les sociétés cotées sont de plus en plus concernées par ce type d'attaques, et la Securities and Exchange Commission (SEC) aux États-Unis a introduit de nouvelles règles obligeant les sociétés cotées à déclarer avec précision et dans un court délai les incidents de sécurité informatique dont elles ont été victimes.

Et maintenant ?

La situation devrait continuer à évoluer dans les prochaines semaines, avec notamment la poursuite de l'enquête menée par la Brigade de lutte contre la cybercriminalité. Il est également probable que des mesures correctives soient mises en place pour prévenir de nouvelles fuites de données. La question de la responsabilité de Cegedim dans cette affaire devrait également être examinée de près.

En conclusion, l'attaque contre Cegedim et la fuite massive de données personnelles de patients soulèvent des questions importantes sur la sécurité des données et la protection des informations personnelles. Il est essentiel que les entreprises et les autorités prennent des mesures pour prévenir de telles attaques et protéger les données sensibles.