L’éditeur de logiciels médicaux Cegedim Santé a été victime d’un incident de cybersécurité ayant entraîné l’extraction de données personnelles de patients via son logiciel MLM (MonLogicielMedical.com). Si 1 500 médecins sont concernés, l’affaire soulève des interrogations plus larges après la révélation, par France 2, de l’existence d’une base de données massive accessible sur le dark web.
À la suite d’une enquête de France 2, l’éditeur de logiciels pour les professionnels de santé Cegedim Santé a confirmé, par voie de communiqué, avoir été victime d’un incident de cybersécurité. La filiale du groupe Cegedim dit avoir identifié, « fin 2025, un comportement anormal de requêtes applicatives sur des comptes de médecins utilisateurs du logiciel MLM », un outil web de gestion de cabinet utilisé par 3 800 médecins.
1 500 d’entre eux sont concernés par la cyberattaque. Des données personnelles de patients du parc logiciel MLM ont, semble-t-il, été consultées et extraites par le(s) attaquant(s). Les informations dérobées concernent le nom, le prénom, le sexe, la date de naissance, le téléphone, l’adresse, l’email ainsi que des commentaires administratifs en texte libre à la discrétion des médecins, dont certains, recueillis lors de consultations médicales, peuvent contenir des annotations sensibles, « pour un nombre très limité » de patients, assure Cegedim.
Une gigantesque base de données
« Tous les médecins concernés ont été contactés début janvier et accompagnés, s’ils le souhaitaient, par des équipes dédiées, dans leurs démarches de notification à la CNIL et d’information de leurs patients, conformément à leurs obligations de responsables de traitement au sens du RGPD », précise Cegedim dans son communiqué. L’entreprise assure avoir pris les mesures adéquates et que l’incident est circonscrit. Conformément à ses obligations, une notification a été envoyée à la CNIL et une plainte a été déposée auprès du procureur de la République.
Ces précisions apportées par Cegedim font suite à une enquête de L’Œil du 20 heures sur France 2. Le reportage a révélé qu’une base de données accessible sur le dark web donne accès aux informations de 11 à 15 millions de personnes. Le cybercriminel n’aurait publié qu’une partie de la base de données. Cegedim affirme ne pas avoir été contacté par le cybercriminel, contrairement à ce qui est expliqué dans le reportage.
