Brèche de données de santé : Cegedim communique tardivement au public

Ce jeudi 26 février au soir, France 2, dans le JT de 20h, dévoilait l’information : un cyberdélinquant a réussi à extraire des données de l’application SaaS de Cegedim MonLogicielMedical (MLM).

Selon nos confrères, la base de données en question expose les données d’entre « 11 et 15 millions de personnes ». Selon eux, « on y retrouve des informations sensibles remplies par des professionnels de santé : “porteuse sida !!! !!!!", "serait homosexuelle d’après sa mère”, “mère musulmane voilée”, ou encore “catholique non pratiquante car ses 2 frères sont suicidés” ».

Le pirate ayant procédé au vol de ces données dit avoir contacté Cegedim. Nos confrères disent avoir sollicité l’ESN en vain. C’est dans un communiqué de presse qu’elle a réagi.

Dans ce communiqué, Cegedim indique que sa filiale Santé « a identifié, fin 2025, un comportement anormal de requêtes applicatives sur des comptes de médecins utilisateurs » de l’application SaaS concernée, MLM. Celle-ci « est utilisée par 3 800 médecins en France, dont 1 500 sont concernés par cette attaque ».

Selon l’ESN, « tous les médecins concernés ont été contactés début janvier et accompagnés s’ils le souhaitaient, par des équipes dédiées, dans leurs démarches de notification à la CNIL et d’information de leurs patients conformément à leurs obligations de responsable de traitement au sens du RGPD ». En outre, « toutes les mesures nécessaires ont été prises pour le traitement de cet incident qui a été circonscrit ». Cegedim réfute en outre avoir été contactée par le pirate.

Selon Benjamin Hue, de RTL, la découverte de l’incident remonte en fait à l’automne dernier : « le parquet a saisi la BL2C en novembre 2025 à la suite d’une plainte de Cegedim déposée le 27 octobre, après que des salariés ont signalé avoir reçu des courriels d’extorsion revendiquant le piratage de plusieurs milliers de données personnelles ».

En septembre 2024, la CNIL avait épinglé Cegedim Santé, prononçant une amende de 800 000 euros, déplorant notamment, sur la base de contrôles réalisés en 2021, que les données collectées pour son observatoire « n’étaient pas anonymes, mais uniquement pseudonymes, la réidentification des personnes concernées étant techniquement possible ».

En 2023, Cegedim avait été pris dans la campagne dite MOVEit menée par Cl0p. Le 23 juin 2023, l’enseigne cybercriminelle assurait avoir divulgué plus de 1,5 To de données compressées volées à l’ESN. C’était une semaine après nos premières sollicitations, qui sont restées lettre morte.