Données de santé : pourquoi c'est la cible n°1 des hackers en France
Un dossier médical vaut jusqu'à 1 000 $ sur le dark web, contre 5 $ pour une carte bancaire. Analyse complète des cyberattaques contre le secteur santé en France : Viamedis, AP-HP, CHSF Corbeil-Essonnes, réglementation HDS, programme CaRE et mesures concrètes de protection.
Le 1er février 2024, un opérateur de tiers payant que la plupart des Français ne connaissaient pas - Viamedis - subit une intrusion. Cinq jours plus tard, c'est au tour d'Almerys, un concurrent direct. Bilan : les données de santé de 33 millions d'assurés sociaux sont compromises. Numéros de Sécurité sociale, noms, dates de naissance, identifiants des assureurs, détail des garanties de complémentaire santé. Tout y passe.
Cet incident n'est pas un cas isolé. C'est la norme.
En 2023, l'ANSSI a traité 10 % d'incidents cyber en plus dans le secteur santé par rapport à 2022. Le Panorama de la cybermenace 2023 de l'ANSSI place la santé parmi les secteurs les plus ciblés sur le territoire français. L'année 2024 a confirmé cette tendance, avec le double piratage Viamedis-Almerys et une série d'attaques contre des centres hospitaliers à travers tout le pays.
Mais pourquoi ? Pourquoi un dossier médical attire-t-il davantage les cybercriminels qu'un numéro de carte Visa ? Pourquoi les hôpitaux français tombent-ils les uns après les autres ? Et surtout, comment en est-on arrivé là dans un pays qui dispose pourtant d'un cadre réglementaire parmi les plus stricts au monde en matière de données de santé ?
Cet article pose la question de front. On va parler de la valeur marchande de vos données médicales, des failles structurelles du système de santé français, des attaques les plus marquantes de ces cinq dernières années, du cadre juridique, de la réponse de l'État, et de ce que les organisations du secteur santé (et leurs sous-traitants) doivent faire concrètement pour réduire le risque.
Un dossier médical vaut 20 à 200 fois plus qu'une carte bancaire
Commençons par ce qui motive les attaquants : l'argent.
Selon les analyses de Trustwave SpiderLabs et du Ponemon Institute, un dossier médical complet se négocie entre 250 et 1 000 dollars sur les marchés du dark web. À titre de comparaison, un numéro de carte bancaire américaine avec CVV se vend entre 5 et 10 dollars. Un identifiant de compte bancaire en ligne : entre 50 et 200 dollars. Un dossier médical complet - avec historique de consultations, traitements en cours, résultats d'analyses, numéro de Sécurité sociale et informations d'identification - c'est le jackpot.
Le rapport IBM Cost of a Data Breach 2025 confirme cette hiérarchie : le secteur santé conserve le coût moyen par brèche le plus élevé tous secteurs confondus, à 10,93 millions de dollars - et ce depuis 13 années consécutives. C'est plus du double du coût moyen tout secteur (4,44 M$).
Pourquoi cette différence de prix ?
Trois facteurs structurels expliquent l'écart.
La permanence des données. Une carte bancaire compromise se bloque en 48 heures. La banque en émet une nouvelle, l'ancienne devient inutilisable. Mais votre groupe sanguin, vos antécédents médicaux, vos diagnostics, vos prescriptions : ces données ne changent pas. Elles vous accompagnent toute votre vie. Un attaquant qui met la main sur un dossier médical complet dispose d'une mine d'informations exploitables pendant des années, voire des décennies.
La multiplicité des usages frauduleux. Une carte bancaire volée ne sert qu'à une chose : des achats frauduleux. Un dossier médical ouvre la porte à une dizaine de types de fraudes différents (on y revient en détail plus bas). C'est cette polyvalence qui fait monter les prix.
Le faible taux de détection. Les banques françaises disposent de systèmes de détection de fraude en temps réel. Une transaction suspecte est bloquée en quelques secondes. La fraude à l'assurance maladie, l'usurpation d'identité médicale ou le chantage basé sur un diagnostic : ces usages frauduleux de données de santé peuvent passer inaperçus pendant des mois, parfois des années. Quand la victime découvre le problème, le mal est fait depuis longtemps.
Les 8 usages criminels des données de santé volées
La valeur d'un dossier médical sur le marché noir s'explique par la diversité de ce qu'un attaquant peut en faire. Voici les huit principaux usages documentés par les chercheurs en cybersécurité et les forces de l'ordre.
1. Usurpation d'identité médicale
L'attaquant utilise vos informations (nom, date de naissance, numéro de Sécurité sociale) pour recevoir des soins médicaux à votre nom. Consultations, hospitalisations, prescriptions de médicaments : tout est facturé à votre compte Ameli. Selon le cabinet Experian, cette forme de fraude touche environ 2,3 millions d'Américains par an - le phénomène est moins documenté en France, mais la mécanique est identique.
La conséquence pour la victime va au-delà du financier : des informations médicales erronées (groupe sanguin, allergies, traitements) sont ajoutées à son dossier. Lors d'une urgence médicale, ces fausses données peuvent avoir des conséquences vitales.
2. Fraude à l'assurance
Avec les détails de votre couverture complémentaire (exactement les données dérobées dans l'affaire Viamedis-Almerys), un attaquant peut monter des dossiers de remboursement fictifs. Fausses consultations, faux appareillages, fausses prescriptions. La Caisse nationale d'Assurance maladie a chiffré la fraude détectée à 316 millions d'euros en 2022. Le montant réel est probablement bien supérieur.
3. Chantage et extorsion
C'est l'usage le plus directement violent. Un attaquant qui détient le diagnostic de séropositivité, de cancer, de trouble psychiatrique ou de toxicomanie d'une personne peut la faire chanter. Le groupe LockBit 3.0, qui a publié les données de patients du CHSF de Corbeil-Essonnes en septembre 2022, misait précisément sur cette pression pour contraindre l'hôpital à payer la rançon de 10 millions de dollars.
En Finlande, l'affaire Vastaamo (2020) reste le cas d'école : un attaquant a directement contacté les patients d'un centre de psychothérapie pour leur extorquer individuellement de l'argent, sous peine de publier leurs notes de séances. Des dizaines de milliers de personnes ont été ciblées.
4. Fraude aux prestations sociales
Avec un numéro de Sécurité sociale et un état civil complet, un attaquant peut ouvrir des droits à des prestations (arrêts maladie, allocations d'invalidité, CMU-C) au nom de la victime. Ce type de fraude est long à détecter car les organismes sociaux fonctionnent en silos : l'Assurance maladie, la CAF et les caisses de retraite ne croisent pas systématiquement leurs données en temps réel.
5. Ciblage pharmaceutique
Des données médicales agrégées (pathologies, prescriptions) ont une valeur commerciale pour certains acteurs peu scrupuleux du secteur pharmaceutique. Savoir qu'une personne souffre d'une maladie chronique spécifique permet un démarchage commercial ciblé. La CNIL a sanctionné à plusieurs reprises des entreprises pour exploitation illicite de données de santé à des fins de prospection.
6. Spear phishing de précision
C'est l'usage qui nous concerne le plus directement chez nophi.sh. Des données de santé volées permettent de construire des emails de phishing d'un réalisme redoutable. « Bonjour M. Dupont, suite à votre consultation du 15 mars avec le Dr Martin, veuillez trouver ci-joint vos résultats d'analyse. » Quand l'email contient des détails que seul votre médecin devrait connaître, le réflexe de méfiance s'effondre. On y revient dans la section dédiée à l'exploitation secondaire des données de santé volées.
7. Revente en masse à d'autres groupes criminels
Un premier attaquant qui exfiltre une base de données de santé ne l'exploite pas toujours lui-même. Il la met en vente, en totalité ou par lots, sur des forums spécialisés. La base est ensuite rachetée par des spécialistes de chaque type de fraude : un groupe pour l'usurpation d'identité, un autre pour le phishing ciblé, un troisième pour le chantage. Un même lot de données peut ainsi être revendu cinq ou six fois à des acheteurs différents.
8. Constitution de profils complets pour l'ingénierie sociale avancée
En croisant les données de santé avec d'autres bases compromises (France Travail, Free, Fnac-Darty), un attaquant construit un profil complet de sa cible : état civil, adresse, téléphone, email, employeur, situation familiale, et maintenant historique médical. Ce profil permet des attaques d'ingénierie sociale d'un niveau de sophistication très élevé, y compris contre les entreprises où travaillent ces personnes. Pour comprendre les ressorts psychologiques de ces attaques : psychologie du phishing et biais cognitifs.
La France, terre de fuites de données de santé
Le secteur de la santé en France accumule les incidents depuis 2019. Voici les attaques les plus marquantes, par ordre chronologique inversé.
Viamedis et Almerys : 33 millions d'assurés (février 2024)
C'est la plus grande fuite de données de santé de l'histoire de France, et la deuxième plus grande fuite de données tous secteurs confondus derrière France Travail (43 millions). Deux opérateurs de tiers payant - Viamedis (filiale du groupe Malakoff Humanis) et Almerys - ont été piratés à cinq jours d'intervalle, entre le 1er et le 5 février 2024.
Données compromises : état civil (nom, prénom, date de naissance), numéro de Sécurité sociale, identifiant de l'assureur, numéro de contrat, détail des garanties du contrat de complémentaire santé.
Vecteur d'attaque : des identifiants de professionnels de santé, probablement obtenus par phishing, ont été utilisés pour accéder aux portails de gestion du tiers payant. Un seul couple identifiant/mot de passe a suffi. Pas de double authentification.
Conséquences : la CNIL a ouvert une instruction et ordonné à Viamedis et Almerys de notifier individuellement les 33 millions de personnes concernées. Les complémentaires santé utilisant ces prestataires (la quasi-totalité du marché français) ont dû informer leurs adhérents. La fuite a alimenté des vagues de phishing ciblé dans les semaines et mois suivants. Pour l'analyse détaillée de cet incident : les 50 plus grandes fuites de données en France.
Ce cas illustre parfaitement le risque de la sous-traitance en chaîne. Les assurés n'ont jamais entendu parler de Viamedis ou Almerys. Ce sont des prestataires de prestataires, invisibles pour l'utilisateur final. Et pourtant, ils détenaient les données de santé de la moitié de la population française.
AP-HP : 1,4 million de personnes testées COVID (septembre 2021)
En septembre 2021, l'Assistance Publique – Hôpitaux de Paris (AP-HP) révèle le vol des données de 1,4 million de personnes ayant effectué un test COVID en Île-de-France mi-2020. Noms, prénoms, dates de naissance, sexe, numéro de Sécurité sociale, coordonnées, résultat du test.
Vecteur d'attaque : l'intrusion a exploité une faille dans un service sécurisé de partage de fichiers utilisé pour transmettre les résultats de tests entre l'AP-HP et l'Assurance maladie. La vulnérabilité se trouvait dans l'outil de transfert, pas dans les systèmes hospitaliers eux-mêmes.
Le parquet de Paris a ouvert une enquête. La CNIL a instruit le dossier. L'incident a mis en lumière la fragilité des échanges de données inter-organismes dans le contexte de la crise sanitaire, où la vitesse avait pris le pas sur la sécurité.
Dedalus Biologie : 500 000 dossiers médicaux en ligne (février 2021)
En février 2021, un fichier contenant les données médicales de près de 500 000 patients français est publié en accès libre sur internet. Pas sur le dark web - sur un site accessible à tous. Noms, prénoms, numéros de Sécurité sociale, adresses, numéros de téléphone, et surtout : commentaires médicaux détaillés (résultats d'analyses sanguines, diagnostics de séropositivité VIH, cancers, grossesses, traitements médicamenteux).
Origine : les données provenaient de laboratoires d'analyses médicales utilisant le logiciel de gestion Dedalus Biologie (anciennement Medasys). La fuite a été causée par une chaîne de défaillances : extraction de données depuis le logiciel, stockage non sécurisé chez un prestataire, et publication accidentelle ou malveillante.
Sanctions : la CNIL a infligé à Dedalus une amende de 1,5 million d'euros en avril 2022, pour plusieurs manquements au RGPD : défaut de sécurité, conservation excessive des données, et absence de contrat encadrant les sous-traitants.
C'est probablement l'incident le plus grave en termes de sensibilité des données exposées. Des diagnostics de VIH, des traitements psychiatriques, des grossesses - publiés en clair, accessibles via un moteur de recherche. Pour les 500 000 patients concernés, le préjudice est irréparable.
CHSF Corbeil-Essonnes : données patients sur le dark web (août 2022)
Le 20 août 2022, le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes est frappé par le rançongiciel LockBit 3.0. L'hôpital est paralysé : les systèmes informatiques sont chiffrés, les urgences sont redirigées vers d'autres établissements, le personnel revient au papier et au stylo.
Rançon demandée : 10 millions de dollars, réduite ensuite à 1 million.
Refus de payer : l'hôpital, conformément à la position de l'ANSSI et du gouvernement, refuse de payer. En représailles, le groupe LockBit publie 11 Go de données sur son site de fuites : dossiers de patients, comptes rendus d'hospitalisation, résultats d'analyses. L'impact humain est direct et durable.
L'attaque a forcé le CHSF à fonctionner en mode dégradé pendant plusieurs mois. Le ministre de la Santé de l'époque, François Braun, s'est rendu sur place et a annoncé un plan d'urgence pour la cybersécurité hospitalière.
CHU de Rennes : exfiltration de données (juin 2023)
Le 21 juin 2023, le CHU de Rennes détecte une cyberattaque. L'intrusion est contenue rapidement grâce à la déconnexion des systèmes d'internet, mais une partie des données a déjà été exfiltrée. Le CHU a communiqué de manière transparente sur l'incident, confirmant que des données de patients étaient concernées sans préciser le volume exact.
Point notable : le CHU de Rennes avait déjà engagé un programme de renforcement de sa cybersécurité avant l'attaque. La détection rapide et la réaction efficace montrent que les investissements en cybersécurité, même s'ils n'empêchent pas toute intrusion, réduisent considérablement l'ampleur des dégâts.
Hôpital de Dax : trois semaines de paralysie (février 2021)
Le 8 février 2021, le centre hospitalier de Dax est frappé par un rançongiciel. Les systèmes sont chiffrés. L'hôpital fonctionne sans informatique pendant trois semaines complètes : admissions au papier, résultats d'analyses transmis par fax, dossiers patients inaccessibles.
L'ANSSI a dépêché une équipe sur place dans les heures qui ont suivi. Le retour à la normale a pris plusieurs mois. Le coût total de l'incident n'a jamais été publié, mais des sources hospitalières évoquent plusieurs millions d'euros en reconstitution de systèmes, heures supplémentaires du personnel et perte d'activité.
Centre hospitalier de Villefranche-sur-Saône (février 2021)
Quelques jours après Dax, le 15 février 2021, c'est le centre hospitalier de Villefranche-sur-Saône qui tombe. Même scénario : rançongiciel, systèmes chiffrés, retour au papier. L'hôpital a dû reporter des interventions chirurgicales non urgentes et rediriger certains patients vers d'autres établissements.
La coïncidence temporelle avec Dax n'est pas un hasard. Les deux attaques ont été attribuées au même groupe (Ryuk puis Conti). Les attaquants ciblaient méthodiquement le secteur hospitalier français, sachant que la pression opérationnelle d'un hôpital augmente la probabilité de paiement de la rançon.
Ramsay Santé : 120 hôpitaux touchés (août 2019)
En août 2019, le groupe Ramsay Santé - deuxième groupe hospitalier privé en France avec 120 établissements - est frappé par le rançongiciel GandCrab. L'attaque touche l'ensemble du réseau : les systèmes de messagerie, les applications métier et les outils administratifs sont paralysés.
L'incident a contraint les équipes à revenir aux procédures manuelles pendant plusieurs jours. La remédiation a duré des semaines. Ramsay Santé n'a jamais communiqué publiquement sur la rançon demandée ni sur l'éventuel paiement. L'ampleur de l'attaque - 120 établissements simultanément - illustre le risque de concentration : quand un groupe hospitalier centralise son infrastructure IT, une seule intrusion met à terre l'ensemble du réseau.
Croix-Rouge / CICR : 515 000 personnes vulnérables (janvier 2022)
En janvier 2022, le Comité international de la Croix-Rouge (CICR) découvre que les données de 515 000 personnes en situation de très grande vulnérabilité (prisonniers de guerre, réfugiés séparés de leur famille, personnes disparues) ont été dérobées. L'attaque ciblait un prestataire hébergeant les données du programme de rétablissement des liens familiaux.
Bien que le CICR soit une organisation internationale et non un acteur français, l'incident a directement touché des citoyens français et a mis en lumière la valeur des données humanitaires et médicales pour les attaquants étatiques. Les techniques utilisées - exploitation d'une vulnérabilité non patchée chez un sous-traitant - sont exactement les mêmes que celles observées dans les attaques contre les hôpitaux français.
Pourquoi l'informatique hospitalière est un fromage suisse
L'accumulation d'incidents dans le secteur santé n'est pas le fruit du hasard. Cinq vulnérabilités structurelles expliquent pourquoi les hôpitaux et les acteurs de santé français sont des cibles si faciles.
Des systèmes d'exploitation fossiles
Dans de nombreux hôpitaux français, des équipements médicaux (IRM, scanners, automates de laboratoire, moniteurs de surveillance) fonctionnent encore sous Windows XP ou Windows 7 - des systèmes qui ne reçoivent plus de mises à jour de sécurité depuis respectivement 2014 et 2020.
Pourquoi ? Parce que le logiciel embarqué dans un appareil d'IRM à 1,5 million d'euros est certifié pour une version précise du système d'exploitation. Le mettre à jour nécessite une recertification par le fabricant - un processus long, coûteux, et parfois tout simplement impossible si le fabricant a cessé le support du modèle. Résultat : des machines critiques tournent sur des systèmes percés de failles connues et référencées publiquement.
L'ANSSI a documenté ce problème à plusieurs reprises. Dans son rapport sur la menace cyber contre les établissements de santé (2023), l'agence note que la dette technique des hôpitaux français constitue le premier facteur de vulnérabilité du secteur.
Un budget IT ridiculement bas
Le numérique représente en moyenne 1,7 % du budget de fonctionnement d'un hôpital public français, selon la DGOS (Direction générale de l'offre de soins). Dans l'industrie, ce ratio se situe entre 5 et 7 %. Chez les acteurs de la tech, entre 15 et 20 %.
Pour la cybersécurité spécifiquement, c'est encore pire. Avant le programme CaRE, la plupart des établissements hospitaliers publics n'avaient tout simplement pas de ligne budgétaire dédiée à la cybersécurité. Le RSSI (quand il existe) est souvent le DSI qui cumule les deux casquettes, sans budget ni équipe dédiée.
La comparaison avec d'autres pays est instructive. Le NHS britannique, après l'attaque WannaCry de 2017 qui avait paralysé des dizaines d'hôpitaux, a investi 338 millions de livres dans un programme de cybersécurité dédié. La France a attendu l'accumulation d'incidents en 2021-2022 pour réagir avec le programme CaRE.
Une chaîne de sous-traitance labyrinthique
Un hôpital français de taille moyenne fait appel à plusieurs centaines d'éditeurs de logiciels différents : dossier patient informatisé (DPI), gestion des médicaments, gestion des laboratoires, imagerie médicale, gestion des blocs opératoires, facturation, ressources humaines, téléphonie, messagerie, et des dizaines d'applications métier spécifiques.
Chacun de ces éditeurs a ses propres pratiques de sécurité - ou absence de pratiques. Chacun a des accès au réseau de l'hôpital, parfois via des VPN permanents ou des comptes de service à privilèges élevés. L'affaire Dedalus Biologie a montré ce qui se passe quand un maillon de cette chaîne cède.
L'audit de cette supply chain logicielle est un casse-tête. Combien d'hôpitaux ont vérifié que chacun de leurs éditeurs respectait les bonnes pratiques de sécurité ? Combien ont imposé des clauses contractuelles de sécurité avec des audits réguliers ? Très peu. La fuite Viamedis-Almerys a rappelé que les données de santé circulent entre des dizaines d'acteurs, et que la sécurité de l'ensemble est celle du maillon le plus faible.
Un fonctionnement 24h/24 incompatible avec la maintenance
Un hôpital ne ferme jamais. Les urgences tournent en continu. Un scanner peut être utilisé à 3 heures du matin pour une urgence traumatologique. Cette réalité opérationnelle rend les fenêtres de maintenance extrêmement étroites.
Appliquer un correctif de sécurité sur un serveur qui gère les prescriptions médicamenteuses, ça veut dire potentiellement couper l'accès pendant 30 minutes. 30 minutes pendant lesquelles un médecin de garde ne pourra pas vérifier les interactions médicamenteuses d'un patient qui arrive aux urgences. Le risque humain immédiat (ne pas pouvoir prescrire) l'emporte sur le risque cyber hypothétique (une faille pourrait être exploitée). C'est un calcul rationnel, mais il crée une dette de sécurité qui s'accumule au fil des mois.
Les attaquants le savent. Ils savent aussi qu'un hôpital paralysé par un rançongiciel subira une pression immense pour payer - parce que des vies sont en jeu. C'est un moyen de pression que les attaquants n'ont pas quand ils ciblent un site de e-commerce.
Un personnel soignant non formé à la cybersécurité
Un infirmier, un aide-soignant, un médecin : leur formation porte sur le soin, pas sur la détection d'un email de phishing. Et c'est normal. Le problème, c'est que ces mêmes professionnels utilisent quotidiennement des outils informatiques (messagerie, DPI, applications métier) qui sont autant de portes d'entrée pour un attaquant.
Selon le baromètre CESIN 2025, le phishing reste le premier vecteur d'attaque avec 55 % des cas. Dans le secteur hospitalier, où le personnel est sous pression permanente, le taux de clic sur des emails de phishing est parmi les plus élevés tous secteurs confondus. Selon les benchmarks du rapport Proofpoint State of the Phish 2025, le secteur santé affiche un taux de clic moyen de 18 à 22 % en l'absence de programme de sensibilisation. Pour les benchmarks détaillés par secteur : taux de clic phishing par secteur d'activité.
Le personnel soignant n'est pas « négligent ». Il est surchargé, sous-effectif, et personne ne l'a formé à distinguer un email légitime de l'Assurance maladie d'une imitation. C'est un problème organisationnel, pas individuel.
Le cadre réglementaire français des données de santé
La France dispose d'un arsenal juridique et réglementaire dense autour de la protection des données de santé. Le problème n'est pas l'absence de règles : c'est leur application effective.
La certification HDS (Hébergement de Données de Santé)
Depuis 2018, tout hébergeur de données de santé à caractère personnel doit obtenir la certification HDS, délivrée par un organisme accrédité par le COFRAC (Comité français d'accréditation). Cette obligation s'applique à toute entité qui héberge des données de santé pour le compte d'un tiers - hébergeurs cloud, éditeurs de logiciels en SaaS, prestataires d'infogérance.
La certification couvre deux périmètres :
- Hébergeur d'infrastructure physique : centres de données, serveurs, stockage, réseau
- Hébergeur infogéreur : exploitation, administration et sécurisation de l'infrastructure applicative
Le référentiel HDS a été mis à jour en 2024 pour intégrer de nouvelles exigences, notamment la localisation des données dans l'Espace économique européen et le renforcement des contrôles d'accès. La certification est valide 3 ans, avec un audit de surveillance obligatoire à 18 mois.
En théorie, la certification HDS garantit un niveau de sécurité minimal chez les hébergeurs de données de santé. En pratique, le périmètre audité est limité : la certification porte sur les processus de l'hébergeur, pas sur la sécurité applicative des logiciels qui tournent sur l'infrastructure. L'affaire Dedalus Biologie l'a montré : les données ont fuité non pas à cause de l'hébergeur, mais à cause de pratiques de gestion des données laxistes au niveau de l'éditeur du logiciel.
Le RGPD et les règles CNIL spécifiques à la santé
Les données de santé bénéficient d'une protection renforcée sous le RGPD. L'article 9 classe les données de santé dans la catégorie des données sensibles, dont le traitement est interdit par principe, sauf exceptions limitatives (consentement explicite, nécessité pour les soins, intérêt public dans le domaine de la santé publique, etc.).
La CNIL a publié des référentiels spécifiques pour encadrer les traitements de données de santé dans différents contextes :
- Recherche médicale (méthodologies de référence MR-001 à MR-006)
- Gestion des cabinets médicaux et paramédicaux
- Pharmacies d'officine
- Laboratoires d'analyses médicales
En cas de violation de données de santé, l'obligation de notification à la CNIL sous 72 heures (article 33 du RGPD) s'applique, assortie de l'obligation d'informer les personnes concernées si le risque est élevé (article 34). La CNIL peut imposer des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Les sanctions prononcées dans le secteur santé restent modérées par rapport à ces plafonds : 1,5 million d'euros pour Dedalus, 800 000 euros pour Doctissimo (traitement de données de santé sans consentement, 2023). Mais la tendance est à la hausse, et la CNIL a annoncé que les données de santé figuraient parmi ses priorités de contrôle pour 2025-2026.
Mon Espace Santé (Espace Numérique de Santé)
Lancé en 2022, Mon Espace Santé est le service public numérique qui permet à chaque assuré social de stocker et partager ses données de santé : ordonnances, résultats d'analyses, comptes rendus d'hospitalisation, carnet de vaccination. L'objectif est de remplacer le Dossier Médical Partagé (DMP) et de donner au patient le contrôle de ses données.
Du point de vue cybersécurité, Mon Espace Santé concentre les données de santé de dizaines de millions de Français sur une infrastructure unique. C'est un gain en termes de standardisation et de contrôle de sécurité (un seul système à sécuriser, plutôt que des milliers de serveurs de cabinets médicaux), mais c'est aussi une cible de très haute valeur. La compromission de Mon Espace Santé serait un incident d'une ampleur sans précédent.
L'hébergement est assuré par un consortium certifié HDS. L'authentification des professionnels de santé passe par la carte CPS (Carte de Professionnel de Santé) ou e-CPS. Pour les patients, l'accès se fait via France Connect ou un identifiant dédié. La sécurité du système repose sur la solidité de ces mécanismes d'authentification - exactement le type de mécanisme qui a fait défaut chez Viamedis et Almerys.
La PGSSI-S : le référentiel de sécurité du ministère
La Politique Générale de Sécurité des Systèmes d'Information de Santé (PGSSI-S) est le cadre de référence publié par la Délégation au Numérique en Santé (DNS) du ministère de la Santé. Elle définit les exigences de sécurité applicables aux systèmes d'information de santé : authentification, habilitation, traçabilité, imputabilité des accès.
La PGSSI-S est opposable depuis son intégration dans les conditions de certification des logiciels de santé. Concrètement, un éditeur de logiciel de gestion de cabinet médical ou de DPI hospitalier doit respecter les référentiels PGSSI-S pour obtenir la certification Ségur du numérique en santé et être éligible au financement par l'Assurance maladie.
Le référentiel impose notamment :
- L'authentification forte des professionnels de santé (via carte CPS ou e-CPS)
- Le chiffrement des échanges de données entre professionnels
- La traçabilité des accès aux données de santé
- La gestion des identités et des habilitations
C'est un cadre ambitieux. Mais entre le référentiel et la réalité du terrain, l'écart est considérable. Combien de cabinets médicaux utilisent réellement la carte CPS pour accéder à leur logiciel, plutôt qu'un simple mot de passe partagé entre tous les praticiens du cabinet ? La question est rhétorique.
La réponse de l'État : le programme CaRE et l'ANSSI en première ligne
Face à l'accumulation d'incidents, l'État français a fini par réagir. Deux axes structurent cette réponse : le programme CaRE porté par le ministère de la Santé et l'accompagnement opérationnel de l'ANSSI.
Le programme CaRE : 750 millions d'euros pour la cybersécurité hospitalière
Annoncé fin 2023, le programme CaRE (Cybersécurité accélération et Résilience des Établissements) est le premier plan d'investissement massif dédié à la cybersécurité du secteur santé en France. Enveloppe annoncée : 750 millions d'euros sur la période 2023-2027.
Le programme est structuré autour de quatre domaines :
Domaine 1 - Gouvernance et résilience. Chaque établissement de santé doit réaliser un audit de maturité cybersécurité, nommer un référent cybersécurité et élaborer un plan de continuité et de reprise d'activité (PCA/PRA) intégrant le scénario cyber.
Domaine 2 - Ressources et mutualisation. Financement de GHT (Groupements Hospitaliers de Territoire) pour mutualiser les compétences cyber entre établissements, création de centres opérationnels de sécurité (SOC) mutualisés.
Domaine 3 - Sensibilisation. Formation du personnel hospitalier aux bonnes pratiques de cybersécurité. C'est ici que les exercices de simulation de phishing entrent en jeu. Le programme impose aux établissements de réaliser au moins un exercice de crise cyber par an, incluant la simulation d'une attaque par phishing. Pour les PME du secteur santé (laboratoires, cliniques, prestataires), la simulation de phishing en entreprise est un point de départ accessible et mesurable.
Domaine 4 - Sécurité opérationnelle. Déploiement de l'authentification multifacteur, segmentation réseau, sauvegardes hors ligne testées régulièrement, durcissement des annuaires Active Directory.
Le financement passe par les Agences Régionales de Santé (ARS) : les établissements qui atteignent les objectifs fixés reçoivent un financement complémentaire. C'est un mécanisme incitatif plutôt que coercitif. Les premiers résultats sont encourageants : selon le ministère, 70 % des établissements de santé avaient réalisé au moins un exercice de crise cyber fin 2025, contre moins de 30 % fin 2022.
Reste le problème du rythme. 750 millions d'euros sur cinq ans pour tout le secteur hospitalier français, ça peut sembler ambitieux. Mais rapporté aux 3 000 établissements de santé publics et privés du territoire, ça représente 250 000 euros par établissement et par an. Pour un CHU de plusieurs milliers de postes informatiques, c'est un début, pas une solution complète.
L'ANSSI : task force santé et accompagnement opérationnel
L'ANSSI a créé une équipe dédiée au secteur santé, chargée d'accompagner les établissements les plus exposés et d'intervenir en cas d'incident. Concrètement, cela passe par :
- Des audits de sécurité gratuits pour les établissements de santé prioritaires (CHU, CHR, établissements de référence)
- Une assistance en cas d'incident : quand un hôpital est frappé par un rançongiciel, l'ANSSI dépêche une équipe de réponse dans les heures qui suivent (comme à Dax et Corbeil-Essonnes)
- La diffusion d'alertes : quand une vulnérabilité critique touche un logiciel utilisé dans le secteur santé, l'ANSSI diffuse une alerte ciblée aux établissements
- Le CERT Santé : le centre de réponse aux incidents de cybersécurité dédié au secteur santé, opéré par l'Agence du Numérique en Santé (ANS), traite les signalements d'incidents et coordonne les réponses
En 2023, le CERT Santé a traité 581 signalements d'incidents affectant des structures de santé, dont 50 % classés comme « majeurs ou graves ». C'est plus d'un incident par jour. Et ce chiffre ne compte que les incidents signalés - beaucoup d'acteurs de santé, notamment les petites structures (cabinets, laboratoires, pharmacies), ne signalent pas les incidents qu'ils subissent.
L'exploitation secondaire : quand vos données de santé servent à vous hameçonner
C'est l'angle mort du débat. On parle beaucoup du vol de données et de ses conséquences directes (usurpation, fraude). On parle moins de la deuxième vague : celle où les données volées sont utilisées comme matière première pour des campagnes de phishing ciblé.
Le scénario type post-Viamedis
Imaginons. Vous faites partie des 33 millions de personnes dont les données ont été compromises chez Viamedis. Un attaquant achète un lot de ces données sur le dark web. Il sait que vous êtes assuré chez [nom de votre mutuelle], que votre numéro de Sécurité sociale est le [X], que votre contrat couvre le dentaire et l'optique.
Trois semaines après la fuite, vous recevez un email :
Objet : [Nom de votre mutuelle] - Mise à jour obligatoire suite à l'incident Viamedis
Madame/Monsieur [votre nom],
Suite à la compromission des données de notre prestataire Viamedis, nous vous invitons à vérifier et mettre à jour vos coordonnées bancaires pour assurer la continuité de vos remboursements.
Votre contrat n° [numéro réel] - Sécurité sociale : [3 premiers chiffres de votre NIR]***
Cliquez ici pour accéder à votre espace sécurisé.
Cet email est faux. Mais il contient suffisamment de données réelles (nom de la mutuelle, contexte de l'incident, début du NIR) pour paraître parfaitement légitime. Le destinataire, qui sait pertinemment que ses données ont été volées chez Viamedis, s'attend à recevoir ce type de communication. Il clique.
C'est exactement ce qui s'est passé dans les semaines suivant la fuite Viamedis-Almerys. Cybermalveillance.gouv.fr a émis une alerte spécifique sur les campagnes de phishing exploitant les données de la fuite. La CNIL a rappelé les bonnes pratiques. Mais le mal était fait : les données étaient dans la nature, et les campagnes de phishing ont commencé.
Pourquoi le phishing post-fuite est si efficace
La psychologie du phishing repose sur des biais cognitifs : urgence, autorité, cohérence. Un email de phishing générique exploite ces biais de manière grossière. Un email de phishing construit à partir de données réelles les exploite avec une précision chirurgicale.
Quand l'email mentionne votre mutuelle réelle, cite l'incident Viamedis que vous avez vu aux infos, et contient un bout de votre numéro de Sécurité sociale, votre cerveau fait un raccourci : « Cet email connaît mes données. Donc il est légitime. » C'est le biais de familiarité en action. Les informations familières désarment le système de détection d'anomalies de votre cerveau.
Résultat : le taux de clic sur ces campagnes de phishing ciblé post-fuite est 3 à 5 fois supérieur au taux de clic sur du phishing générique. Selon les données internes de notre plateforme chez nophi.sh, les simulations de phishing qui intègrent des éléments contextuels spécifiques (nom de l'entreprise, contexte sectoriel) génèrent un taux de clic 2,8 fois plus élevé que les scénarios génériques.
La boucle infernale données → phishing → nouvelles données
Voilà le mécanisme qui rend les fuites de données de santé si dangereuses sur le long terme. Phase 1 : un attaquant vole des données de santé (ex : Viamedis). Phase 2 : il utilise ces données pour construire des campagnes de phishing ciblé contre les victimes. Phase 3 : ces campagnes permettent de voler de nouvelles données (identifiants bancaires, mots de passe professionnels). Phase 4 : ces nouvelles données sont utilisées pour des attaques supplémentaires.
C'est une boucle d'amplification. Chaque fuite de données alimente les fuites suivantes. Et les données de santé, parce qu'elles sont permanentes et très personnelles, constituent un accélérateur particulièrement puissant de cette boucle.
Le secteur santé français en chiffres : une cible massive
Pour mesurer l'ampleur de la surface d'attaque, quelques chiffres sur le secteur de la santé en France.
| Indicateur | Chiffre | Source |
|---|---|---|
| Établissements de santé (publics et privés) | 3 000+ | DGOS 2024 |
| Médecins libéraux | 127 000 | DREES 2024 |
| Pharmacies d'officine | 20 500 | Ordre des pharmaciens 2024 |
| Laboratoires d'analyses médicales | 4 000 | Syndicat des biologistes 2024 |
| Salariés du secteur santé | 1,4 million | INSEE 2024 |
| Dossiers dans Mon Espace Santé | 70 millions | DNS/ANS 2025 |
| Notifications d'incidents CERT Santé en 2023 | 581 | CERT Santé bilan 2023 |
Chacun de ces acteurs manipule des données de santé. Chacun a des systèmes informatiques. Chacun est une porte d'entrée potentielle. Et la majorité d'entre eux - les cabinets de ville, les pharmacies, les petits laboratoires - n'ont ni RSSI, ni budget cybersécurité, ni programme de sensibilisation.
Comparaison internationale : la France n'est pas seule, mais elle accuse du retard
Le problème des cyberattaques contre le secteur santé n'est pas spécifiquement français. Mais la réponse de la France accuse un retard par rapport à d'autres pays comparables.
Royaume-Uni : le traumatisme WannaCry
En mai 2017, le rançongiciel WannaCry a paralysé des dizaines d'hôpitaux du NHS (National Health Service) britannique. Des milliers d'opérations annulées, des ambulances redirigées, des dossiers patients inaccessibles. Le coût estimé : 92 millions de livres (NAO, 2018).
La réponse a été rapide et massive : création du NHS Digital Security Operations Centre, investissement de 338 millions de livres dans un programme de cybersécurité dédié, obligation pour chaque trust hospitalier de nommer un responsable cybersécurité et de passer des audits réguliers (Data Security and Protection Toolkit).
La France a subi ses propres « WannaCry » (Dax, Villefranche, Corbeil-Essonnes), mais la réponse budgétaire est arrivée avec 4 à 5 ans de retard.
États-Unis : HIPAA et amendes dissuasives
Aux États-Unis, la loi HIPAA (Health Insurance Portability and Accountability Act) impose des exigences de sécurité spécifiques pour les données de santé depuis 1996. Les amendes pour non-conformité sont dissuasives : jusqu'à 1,9 million de dollars par catégorie de violation et par an. Le département de la Santé (HHS) publie un « mur de la honte » (Wall of Shame) listant toutes les violations affectant plus de 500 personnes.
Cette transparence forcée - chaque incident est public, avec le nom de l'organisation et le nombre de personnes touchées - crée une pression réputationnelle forte. En France, la publicité des sanctions CNIL et des notifications de violation est plus limitée.
Allemagne : BSI et certification sectorielle
L'Allemagne, via le BSI (Bundesamt für Sicherheit in der Informationstechnik), impose aux hôpitaux classés comme « infrastructures critiques » (plus de 30 000 cas hospitalisés par an) de démontrer leur conformité à des standards de sécurité spécifiques (B3S Krankenhaus). Cette obligation existe depuis 2019 et touche environ 120 hôpitaux allemands.
Ce que les organisations de santé doivent faire concrètement
Les constats sont posés. Passons aux recommandations. Voici ce que les établissements de santé, éditeurs de logiciels, prestataires et sous-traitants du secteur doivent mettre en place. Je les classe par ordre de priorité et de rapport effort/impact.
Priorité 1 : L'authentification multifacteur partout
C'est la mesure qui aurait pu empêcher au moins trois des incidents majeurs décrits dans cet article (Viamedis, France Travail via Cap Emploi, AP-HP). Le MFA n'est pas optionnel. Chaque accès à des données de santé - portail web, VPN, DPI, messagerie - doit être protégé par une authentification à deux facteurs minimum.
La carte CPS est un mécanisme de MFA pour les professionnels de santé. Mais elle n'est pas utilisée pour tous les accès. Les comptes de service, les accès VPN des prestataires, les portails web de gestion : c'est là que le MFA manque le plus souvent.
Coût : quasi nul avec des solutions comme Duo, Microsoft Authenticator, ou les clés FIDO2. C'est le rapport coût/efficacité le plus élevé de toutes les mesures de sécurité.
Priorité 2 : Former le personnel au phishing
Le personnel de santé est la première ligne de défense contre le phishing. C'est aussi la moins préparée. Un programme de simulation de phishing régulier - mensuel - permet de passer d'un taux de clic de 18-22 % à moins de 5 % en 12 mois.
Le programme CaRE impose déjà un exercice de crise cyber annuel. Mais un exercice par an, ce n'est pas un programme de sensibilisation. C'est un événement ponctuel. La réduction durable du risque passe par des simulations régulières, des micro-formations déclenchées par les échecs, et un suivi des indicateurs dans le temps. Pour structurer un programme complet : formation cybersécurité des employés, guide PME.
Dans le contexte post-Viamedis, les scénarios de simulation doivent inclure des emails imitant l'Assurance maladie, les mutuelles, et les services de Mon Espace Santé. Ce sont les scénarios auxquels le personnel de santé sera effectivement confronté.
Priorité 3 : Segmenter le réseau
Un scanner d'imagerie médicale sous Windows XP n'a aucune raison de pouvoir communiquer avec le serveur de messagerie. Un automate de laboratoire n'a pas besoin d'accéder à internet. La segmentation réseau - isoler les équipements médicaux dans des VLAN dédiés, restreindre les flux entre segments - réduit drastiquement la capacité d'un attaquant à se déplacer latéralement dans le réseau après une intrusion initiale.
C'est l'un des quatre piliers du programme CaRE. Et c'est l'un des plus difficiles à mettre en œuvre dans un hôpital existant, parce que les applications métier ont été conçues en supposant un réseau plat. Mais c'est nécessaire.
Priorité 4 : Auditer la supply chain
Chaque prestataire qui accède à des données de santé doit faire l'objet d'une évaluation de sécurité. Pas un questionnaire de 50 pages rempli une fois et rangé dans un tiroir : un audit réel des pratiques de sécurité, avec vérification de la certification HDS, du MFA, du chiffrement, de la gestion des incidents.
Commencez par l'essentiel : vos prestataires protègent-ils correctement leurs emails ? Un email usurpé au nom d'un éditeur de logiciel médical peut tromper n'importe quel soignant. Testez la sécurité email de votre domaine et de vos prestataires - c'est gratuit et ça prend 30 secondes.
L'affaire Viamedis a montré que 33 millions de personnes peuvent être exposées par un seul prestataire mal sécurisé. La cartographie et l'audit des tiers n'est pas un luxe, c'est une obligation de fait.
Priorité 5 : Sauvegardes hors ligne, testées
Le rançongiciel chiffre tout ce qu'il peut atteindre. Si vos sauvegardes sont sur le même réseau que vos serveurs de production, elles seront chiffrées en même temps. L'hôpital de Dax a mis trois semaines à revenir à la normale, notamment parce que les sauvegardes étaient partiellement compromises.
La règle : sauvegardes quotidiennes, stockées hors ligne (air gap) ou sur un réseau totalement isolé, et testées régulièrement par des exercices de restauration. Trop d'organisations découvrent que leurs sauvegardes ne fonctionnent pas au moment où elles en ont besoin.
Priorité 6 : Planifier la réponse à incident
Quand le rançongiciel frappe, il est trop tard pour se demander qui on appelle. Un plan de réponse à incident documenté, testé par des exercices réguliers, doit couvrir :
- Détection et qualification : comment identifier qu'un incident est en cours, qui qualifie la gravité
- Confinement : qui décide de déconnecter les systèmes, comment on bascule sur les procédures manuelles
- Notification : CNIL (72h), ARS, CERT Santé, forces de l'ordre, patients concernés
- Forensics : préservation des preuves, investigation technique (interne ou prestataire)
- Communication de crise : interne (personnel), externe (patients, médias, tutelles)
- Reconstruction : restauration des systèmes, priorités de remise en service
Le CERT Santé met à disposition un kit de réponse à incident adapté au secteur hospitalier. L'ANSSI propose des exercices de crise cyber standardisés. Les outils existent. Il faut les utiliser.
Pour les PME du secteur santé (cabinets, laboratoires, pharmacies) qui n'ont pas les moyens d'un plan de réponse complet, le minimum vital : savoir qui appeler (numéro du CERT Santé : 09 72 43 91 25) et avoir des sauvegardes hors ligne. C'est un filet de sécurité basique, mais c'est déjà mieux que rien.
Les sous-traitants du secteur santé : les oubliés de la cybersécurité
On a beaucoup parlé des hôpitaux. Mais la chaîne de valeur des données de santé ne s'arrête pas aux murs de l'hôpital. Éditeurs de logiciels, hébergeurs, opérateurs de tiers payant, cabinets de radiologie, laboratoires de biologie médicale, sociétés de maintenance des équipements médicaux : chacun de ces acteurs manipule des données de santé et constitue un maillon de la chaîne.
C'est souvent le maillon le plus faible qui cède.
Viamedis était un opérateur de tiers payant. Dedalus Biologie était un éditeur de logiciel. L'attaque contre l'AP-HP a exploité un outil de transfert de fichiers. À chaque fois, l'entrée s'est faite par un sous-traitant, pas par l'établissement de santé lui-même.
Pour les PME qui fournissent des services au secteur santé - éditeurs de logiciels, prestataires IT, cabinets de conseil - cela signifie que la cybersécurité n'est plus un différenciateur commercial. C'est une condition de survie. Un éditeur qui subit une fuite de données de santé s'expose à une amende CNIL, à la perte de sa certification HDS, et à la fin de ses relations commerciales avec le secteur hospitalier.
La première étape, accessible à toute PME, est de sécuriser le vecteur d'attaque n°1 : l'email. Vérifiez que votre domaine dispose d'une configuration SPF, DKIM et DMARC correcte. Ensuite, testez la résistance de vos équipes au phishing avec des simulations régulières. Enfin, documentez vos pratiques de sécurité pour être en mesure de répondre aux audits de vos clients hospitaliers.
Le cas particulier de la médecine de ville
On oublie trop souvent la médecine de ville. Les 127 000 médecins libéraux, les 20 500 pharmacies, les milliers de cabinets d'infirmiers, de kinésithérapeutes, de dentistes : tous manipulent des données de santé, tous utilisent des systèmes informatiques, et la plupart n'ont aucune mesure de cybersécurité digne de ce nom.
Un cabinet médical typique en France en 2026 : un logiciel de gestion de cabinet (souvent ancien), un ordinateur sous Windows 10 ou 11 (parfois encore Windows 7), un accès internet sans pare-feu professionnel, des mots de passe simples partagés entre les praticiens du cabinet, et aucune sauvegarde hors site.
Le médecin n'est pas responsable de cette situation. Il n'a pas été formé à l'informatique, encore moins à la cybersécurité. Son éditeur de logiciel gère (ou ne gère pas) les mises à jour. Son « informaticien » est souvent un ami ou un prestataire local qui passe une fois par an.
Et pourtant, ce cabinet détient des données de santé d'une sensibilité extrême : diagnostics, prescriptions, résultats d'analyses, notes cliniques. Si un attaquant compromet le cabinet, il accède à des informations que même une fuite comme Viamedis ne contenait pas (Viamedis ne détenait « que » des données administratives, pas des données médicales proprement dites).
La CNIL a rappelé à plusieurs reprises les obligations des professionnels de santé en matière de sécurité informatique. Le référentiel de la PGSSI-S s'applique à eux. Mais l'accompagnement concret fait défaut. Le programme CaRE cible en priorité les établissements de santé, pas la médecine de ville.
Les leçons pour les entreprises hors secteur santé
Si vous dirigez une entreprise qui n'est pas dans le secteur de la santé, vous pourriez penser que cet article ne vous concerne pas. Ce serait une erreur.
Vos salariés sont des patients. Leurs données de santé ont probablement été compromises dans l'une des fuites décrites ici. 33 millions de personnes touchées par Viamedis, 1,4 million par l'AP-HP, 500 000 par Dedalus. Statistiquement, une part significative de vos collaborateurs est concernée. Cela signifie qu'ils recevront des emails de phishing crédibles exploitant leurs données de santé. Et ces emails arriveront sur leur messagerie professionnelle autant que personnelle.
Votre mutuelle d'entreprise génère des données de santé. Si vous proposez une complémentaire santé à vos salariés (obligatoire pour les entreprises depuis 2016), vous contribuez à alimenter le flux de données de santé qui circule entre assureurs, opérateurs de tiers payant et professionnels de santé. La sécurité de ces données dépend de vos prestataires, que vous n'avez probablement jamais audités.
Les techniques d'attaque sont transférables. Les failles exploitées dans le secteur santé (absence de MFA, phishing, supply chain compromise, systèmes obsolètes) sont exactement les mêmes que celles qui touchent les PME de tous les secteurs. L'article sur le coût d'une cyberattaque pour une PME de 50 personnes détaille les conséquences concrètes, secteur par secteur.
Préparer votre organisation : par où commencer
La liste des recommandations peut sembler longue. Pour les organisations qui partent de zéro (ou presque), voici un plan d'action en cinq étapes, par ordre de priorité.
Étape 1 : Activez le MFA sur tous les accès critiques. Messagerie, VPN, applications métier, comptes administrateurs. Temps de déploiement : 1 à 5 jours. Coût : quasi nul.
Étape 2 : Lancez une première simulation de phishing. Vous avez besoin d'une mesure de base : quel est le taux de clic actuel de vos équipes ? Sans cette mesure, vous ne savez pas où vous en êtes. Créez un compte sur nophi.sh et lancez votre première simulation en 15 minutes.
Étape 3 : Vérifiez votre configuration email. SPF, DKIM, DMARC : ces trois protocoles empêchent les attaquants d'envoyer des emails en usurpant votre domaine. Testez votre domaine gratuitement. Si le résultat n'est pas au vert, corrigez-le cette semaine - c'est une configuration DNS qui prend une heure. Pour le guide complet : sécurité email pour PME : SPF, DKIM, DMARC.
Étape 4 : Mettez en place des sauvegardes hors ligne. Si vous n'avez pas de sauvegarde air gap testée, vous jouez à la roulette avec un rançongiciel. Investissement : un NAS ou un service cloud dédié (pas sur le même réseau que votre production), et un test de restauration trimestriel.
Étape 5 : Auditez vos prestataires critiques. Commencez par ceux qui accèdent à vos données les plus sensibles. Posez les questions de base : utilisent-ils le MFA ? Comment gèrent-ils les sauvegardes ? Sont-ils certifiés (HDS si données de santé, ISO 27001 sinon) ? Ont-ils un plan de réponse à incident ?
L'avenir : des attaques plus ciblées, plus sophistiquées, plus automatisées
Le phishing basé sur des données de santé volées va s'intensifier. Trois tendances convergent pour aggraver la situation.
L'IA générative au service du phishing. Les modèles de langage permettent déjà de générer des emails de phishing personnalisés à grande échelle, dans un français parfait, en adaptant le ton et le vocabulaire au contexte médical. Combinez cette capacité avec une base de données de 33 millions de dossiers Viamedis, et vous obtenez des campagnes de phishing d'une échelle et d'une précision jamais vues. Pour en savoir plus sur l'évolution des techniques d'attaque : nouvelles formes de phishing : quishing, vishing, smishing.
La convergence des bases de données volées. France Travail (43M), Viamedis (33M), Free (19M), Fnac-Darty (15M), SFR (3,6M)... En croisant ces bases, un attaquant construit des profils complets de dizaines de millions de Français. Le dossier de santé est la pièce manquante qui rend le profil exploitable pour du chantage ou de l'ingénierie sociale avancée.
L'extension de la surface d'attaque avec l'IoT médical. Pompes à insuline connectées, moniteurs de glycémie, implants cardiaques communicants, télésuivi des patients chroniques : l'Internet des objets médicaux multiplie les points d'entrée. Chaque dispositif médical connecté est un nœud réseau supplémentaire, souvent avec un firmware non mis à jour et des protocoles de communication non chiffrés.
Face à ces tendances, la posture de sécurité du secteur santé doit évoluer d'un modèle réactif (on répare après l'incident) vers un modèle proactif (on prévient avant l'incident). Le programme CaRE est un premier pas. Les simulations de phishing régulières, le MFA, la segmentation réseau : ce sont les fondations. Mais il faudra aller plus loin, plus vite.
Conclusion factuelle
Les données de santé sont la cible la plus lucrative pour les cybercriminels. Pas parce que les hôpitaux français sont particulièrement mal protégés - bien que ce soit le cas - mais parce que la nature même de ces données (permanentes, sensibles, exploitables de multiples manières) en fait un actif de très haute valeur sur les marchés criminels.
La France a accumulé une dette de cybersécurité dans le secteur santé pendant des années. Les attaques de 2019-2024 - Ramsay Santé, Dax, Villefranche, Corbeil-Essonnes, Dedalus, AP-HP, Viamedis - en sont le résultat direct. Le programme CaRE et l'investissement de 750 millions d'euros marquent un tournant, mais les effets ne se feront sentir qu'à moyen terme.
En attendant, chaque organisation - hôpital, clinique, laboratoire, cabinet médical, éditeur de logiciel, prestataire IT, et toute entreprise dont les salariés sont des patients - a intérêt à agir dès maintenant sur les fondamentaux : MFA, simulations de phishing, sauvegardes, audit des prestataires.
Les données de santé de millions de Français circulent déjà sur le dark web. La question n'est plus de savoir si elles seront exploitées, mais quand et comment. Et la meilleure préparation, c'est d'avoir des équipes qui savent reconnaître un email de phishing quand il arrive - parce qu'il arrivera.
Consultez notre base de données d'incidents cyber français pour retrouver tous les incidents mentionnés dans cet article, avec les détails techniques et les sources.
Première action concrète : testez la résistance de votre équipe au phishing - première simulation en 15 minutes, sans carte bancaire.