Une cyberattaque a ciblé trois agences régionales de santé. Des identités de patients ont été dérobées, exposant les failles des systèmes régionaux de e-santé et les risques de hameçonnage.
Au moins trois agences régionales de santé (ARS) — Hauts-de-France, Normandie et Pays de la Loire — ont confirmé avoir été victimes d’une cyberattaque avec exfiltration de données d’identité de patients. Le ministère de la Santé et la délégation du numérique en santé (DNS) insistent : aucun dossier médical n’a été compromis, aucun système national n’a été infiltré, et la continuité des soins n’a pas été affectée. Pourtant, l’affaire met en lumière un talon d’Achille du numérique en santé : la dépendance aux accès des professionnels, devenus vecteurs d’intrusion. Le risque principal identifié concerne désormais l’usage frauduleux des données pour des campagnes de hameçonnage sophistiquées.
L’intrusion discrète dans les systèmes régionaux
Lorsque les premières alertes ont émergé, les équipes des ARS concernées ont dû faire face à un scénario désormais bien connu des experts : un accès légitime détourné par usurpation d’identité. Une dizaine de comptes de professionnels de santé ont servi de portes d’entrée. Une fois ces comptes compromis, les assaillants ont pu naviguer dans les systèmes gérés par les groupements régionaux d’appui au développement de la e-santé (GRADeS).
Ces GRADeS fournissent aux établissements et praticiens des services numériques mutualisés. Parmi eux, Viatrajectoire, une plateforme permettant d’orienter un patient vers une place en Ehpad. Ce type de service, pensé pour fluidifier les parcours, constitue une mine d’informations. Un attaquant qui prend le contrôle d’un compte utilisateur peut accéder à des bases de données, mais aussi pratiquer du scraping massif, c’est-à-dire l’aspiration automatisée des informations disponibles.
Les pirates ne se sont pas attaqués aux infrastructures centrales du ministère, mais aux maillons régionaux, plus vulnérables. L’incident illustre la logique des cybercriminels : viser les points d’accès périphériques, moins protégés, pour collecter des données exploitables. Leur mission est dès plus simple, malheureusement : trouver un maillon faible, un utilisateur qui répondre à un faux courriel, qui cliquera sur un stealer, Etc.Les alertes des ARS sont différentes : « Une cyberattaque avait été menée contre les serveurs sur lesquels sont hébergées les données d’identité de patients. Plusieurs régions de France sont concernées à des degrés différents par cette attaque. » explique la Normandie. « des tentatives de cyberattaques, échelonnées dans le temps, contre les systèmes d’information, et ont permis de mettre en évidence des accès illégitimes réalisés grâce à l’usurpation d’identité de professionnels de santé. » Les Hauts-de-France parlent d' »une cyberattaque avait été menée contre les serveurs sur lesquels sont hébergées des données d’identité de patients d’hôpitaux publics de la région« .
Données d’identité volées, menace de hameçonnage
Le vol constaté ne porte pas sur des dossiers médicaux, mais sur des données d’identité. Les noms, prénoms et âges des patients apparaissent systématiquement. Dans certains cas s’ajoutent des coordonnées personnelles, comme des numéros de téléphone ou des adresses électroniques, et parfois même des numéros de Sécurité sociale.
Le ministère se veut rassurant : les systèmes nationaux ne sont pas touchés et la confidentialité des données médicales reste intacte. Mais cette distinction ne doit pas masquer la gravité de l’incident. Car ces informations, combinées entre elles, peuvent alimenter des campagnes de fraude ciblée.
L’ARS des Hauts-de-France a été claire : le risque majeur est celui du hameçonnage. En se faisant passer pour un professionnel de santé ou pour l’administration, les cybercriminels peuvent exploiter la confiance des patients pour extorquer des données sensibles. Un courriel semblant provenir de l’Assurance maladie, un appel imitant une ARS, un SMS invitant à cliquer sur un lien : autant de scénarios qui deviennent crédibles une fois les données personnelles en main. Des informations qui peuvent nourrir des LockUp, comme ZATAZ a pu vous en révéler les cas, l’année dernière.
Les cyberattaques médicales évoluent vers une logique de monétisation indirecte. Plutôt que de revendre immédiatement les fichiers, certains attaquants privilégient leur exploitation dans des campagnes de phishing, beaucoup plus lucratives.
La chaîne de confiance fragiliséeCet incident illustre une faiblesse structurelle : la sécurité du numérique en santé repose sur des identifiants et des mots de passe détenus par des milliers de professionnels. Or, la compromission d’une poignée de comptes suffit à ouvrir l’accès à des systèmes sensibles.
La DNS a confirmé que les comptes usurpés ont été rapidement désactivés. Mais la réactivité ne supprime pas la vulnérabilité. Chaque utilisateur devient une cible potentielle, et chaque erreur individuelle peut avoir des conséquences collectives.
Les cyberattaques exploitent de plus en plus cette faille humaine. Un courriel piégé, une campagne de phishing, ou une usurpation d’identité suffisent à contourner les défenses techniques. Pour les GRADeS, qui gèrent des services régionaux interconnectés, la sécurité ne peut pas reposer uniquement sur la vigilance des professionnels. D’autant que cette méthode d’infiltration n’est pas nouvelle, voir ci-dessous.
La centralisation progressive des services numériques de santé, si elle améliore la fluidité des parcours, augmente aussi le risque systémique. Une fois l’accès obtenu, un attaquant n’a plus qu’à extraire les bases complètes ou à vendre l’accès sur des forums spécialisés.
Une vigilance accrue mais des moyens dispersés
Les autorités insistent sur l’absence d’impact direct pour les patients : les soins continuent normalement, les dossiers médicaux ne sont pas exposés. Pourtant, l’affaire rappelle que la cybersécurité de la santé reste morcelée.
Chaque ARS dépend de son GRADeS, chaque GRADeS gère ses services et ses protocoles. Ce modèle décentralisé, pensé pour répondre aux besoins locaux, crée une diversité de pratiques et donc des disparités de protection. Une attaque réussie dans une région ne se réplique pas automatiquement ailleurs, mais révèle un niveau de maturité inégal.
Dans ce contexte, la question centrale n’est pas seulement de sécuriser les infrastructures, mais de renforcer l’authentification, la surveillance et la réponse rapide aux intrusions. Le numérique en santé, en pleine expansion, attire logiquement les convoitises. Chaque faille régionale devient une opportunité pour les cybercriminels.
Trois ARS touchées [peut-être plus], des données d’identité compromises, et un risque de phishing massif : l’affaire souligne les vulnérabilités persistantes du numérique en santé. La sécurité des soins n’a pas été affectée, mais la confiance dans la gestion des données personnelles s’en trouve ébranlée.
À mesure que les systèmes régionaux et nationaux s’interconnectent, la question devient pressante : comment garantir que chaque maillon de cette chaîne, du compte utilisateur au service central, résiste aux attaques ?
Une affaire qui ressemble à celle des données « Ameli » de 2022Nous sommes en 2022. ZATAZ découvre la vente de milliers de données qui sont annoncées appartenant à l’Assurance Maladie. Quelques jours plus tard, l’Assurance Maladie détecte des connexions non autorisées à des comptes AmeliPro, l’espace réservé aux professionnels de santé. Les premières analyses attribuent l’intrusion à la compromission d’adresses électronique professionnelles : 19 comptes ont été identifiés comme point d’entrée. Les attaquants ont ensuite instrumenté ces accès pour lancer des interrogations « en chaîne », via un robot, sur le service « Infopatient », lequel permet, à partir d’un numéro de sécurité sociale, de consulter certaines informations strictement administratives d’assurés.
Les données potentiellement consultées portent sur l’identité (nom, prénom, date de naissance, sexe), le numéro de sécurité sociale et des éléments relatifs aux droits : présence d’un médecin traitant déclaré, bénéfice de la Complémentaire santé solidaire ou de l’Aide médicale d’État, éventuelle prise en charge à 100 %. Les coordonnées de contact (mail, adresse, téléphone) et les coordonnées bancaires ne sont pas concernées. Aucune information médicale sensible ni donnée de consommation de soins n’a été exposée selon l’état actuel des investigations.
Dès la détection des sollicitations anormales, les adresses IP pirates avaient été bannies et les comptes AmeliPro compromis réinitialisés. A l’époque, le bilan faisait état de 510 000 assurés concernés par cette fuite de données administratives. Sur le plan réglementaire et judiciaire, l’Assurance Maladie avait notifié la CNIL le 16 mars 2022 et déposé une plainte pénale.
merci à ZATAZ
