Cyberattaque Cegedim février 2026 : 15 millions de personnes, 164 000 données sensibles

Le 26 février 2026, France 2 révèle une fuite massive de données suite à une cyberattaque visant le logiciel MLM de Cegedim, utilisé par des milliers de médecins libéraux. La ministre déléguée à la Santé, Stéphanie Rist, confirme publiquement l'ampleur de l'incident le 28 février.

Environ 15 millions de personnes pourraient être concernées. Parmi elles, 164 000 incluraient des données sensibles (sans qu'il s'agisse nécessairement de données de santé). Les dossiers médicaux structurés seraient restés intègres, mais le champ « texte libre » administratif, susceptible de contenir des annotations médicales ou intimes, est au cœur du risque.

Sources : Caducee.net, Stéphanie Rist (X), Cegedim

Représentation symbolique de données de santé et cybersécurité

1. MLM et Cegedim : un logiciel au cœur des cabinets médicaux

Cegedim est un acteur majeur de l'informatique médicale en France. Son logiciel MLM (Médecin Libéral et Multimédia) est utilisé par environ 3 800 médecins pour la gestion de leur cabinet : dossiers patients, rendez-vous, facturation. L'éditeur indique que 1 500 médecins sont concernés par l'attaque, soit près de 40 % de sa base utilisateurs.

Cette cyberattaque illustre une réalité préoccupante : les prestataires privés qui traitent des données de santé sont des cibles critiques. Après Weda (23 000 soignants en novembre 2025), MédecinDirect (323 000 patients en décembre 2025), et HubEE (70 000 dossiers en janvier 2026), c'est désormais un logiciel de gestion de cabinet médical qui est touché.

L'incident a été identifié par Cegedim fin 2025, avec la détection d'un « comportement anormal de requêtes applicatives » sur des comptes de médecins. Tous les médecins concernés ont été contactés début janvier 2026. La médiatisation intervient le 26 février via le 20h de France 2, puis la ministre Stéphanie Rist confirme l'ampleur le 28 février.

2. L'attaque et ses conséquences : 15 millions de personnes, 164 000 données sensibles

Dans sa publication sur X du 28 février 2026, la ministre Stéphanie Rist précise qu'« environ 15 millions de personnes pourraient être concernées » et qu'« environ 164 000 incluraient des données sensibles, sans qu'il s'agisse nécessairement de données de santé ». Elle ajoute que « les dossiers médicaux structurés seraient restés intègres ».

Données compromises

  • Données administratives : identité, coordonnées des patients
  • Commentaire administratif en texte libre : champ pouvant contenir des annotations médicales ou intimes
  • ~15 millions de personnes potentiellement concernées
  • ~164 000 personnes avec données sensibles (définition ministérielle)
  • 1 500 médecins utilisateurs MLM impactés
  • Dossiers médicaux structurés : intègres selon Cegedim

Chronologie de l'incident

  • Fin 2025 : Cegedim identifie un comportement anormal sur des comptes MLM
  • Début janvier 2026 : Contact de tous les médecins concernés
  • 26 février 2026 : Révélation médiatique au 20h de France 2
  • 26 février : Communiqué de presse Cegedim
  • 27 février : Saisine ANSSI, CNIL, parquet de Paris
  • 28 février : Confirmation politique par Stéphanie Rist sur X

Point critique : le « texte libre ». Au-delà du choc du chiffre, l'enjeu se cristallise sur une zone grise : le champ « commentaire administratif en texte libre », susceptible de contenir — même à la marge — des informations médicales ou intimes, donc à fort potentiel de stigmatisation. Le Monde a pu vérifier un échantillon mis en ligne par un pirate : il y aurait « avant tout » des données administratives, et seulement « une toute petite partie » comportant des informations médicales ou privées.

Divergence des chiffres : TF1Info (AFP) évoque environ 17 000 patients pour des informations sensibles « dans la nature ». L'écart entre 17 000 et 164 000 peut correspondre à des définitions différentes : présence d'un champ libre rempli, présence d'éléments sensibles, diffusion effective sur un forum, ou mise à disposition en accès libre. La ministre indique que « les chiffres ont pu varier » et que « la déclaration effectuée auprès de la CNIL est mise à jour » au fil des investigations.

Sources : Caducee.net, Stéphanie Rist

3. La réponse de Cegedim : périmètre MLM et « dossiers structurés intègres »

Dans son communiqué du 26 février 2026, Cegedim précise le périmètre technique de l'incident et la nature des données concernées.

Périmètre technique

  • • Logiciel MLM (gestion de cabinet médical)
  • 3 800 médecins utilisateurs en France
  • 1 500 médecins concernés par l'attaque
  • • Données issues du dossier administratif du patient
  • • Champ « commentaire administratif en texte libre » potentiellement sensible

Position de Cegedim

Cegedim soutient que les informations consultées ou extraites proviennent « exclusivement du dossier administratif du patient » (identité, coordonnées, commentaire administratif en texte libre). L'entreprise concède que ce champ a pu contenir, « pour un nombre très limité de patients », des annotations portant sur des informations sensibles.

Cegedim affirme que « les dossiers médicaux structurés des patients sont restés intègres ».

Ligne officielle de l'État : La ministre Stéphanie Rist insiste sur le fait que « cet incident relève d'un prestataire privé, responsable du traitement des données, et n'a pas de lien avec les systèmes de l'État ». Elle a demandé à Cegedim « de rendre compte précisément » des causes techniques, des mesures correctives et des garanties de non-récurrence. Le ministère a exigé des mesures correctrices « de toute urgence ».

4. ANSSI, CNIL, parquet : une séquence de gestion de crise s'enclenche

Comme pour les incidents majeurs touchant des données de santé, les autorités compétentes ont été saisies. Une enquête judiciaire est ouverte.

Actions des autorités

ANSSI :

Saisie pour le volet cyber et l'expertise technique.

CNIL :

Saisie pour les enjeux de protection des données et de santé. La déclaration est mise à jour au fil des investigations.

Parquet de Paris :

Enquête ouverte après plainte déposée par Cegedim Santé.

Cabinet médical, clinique, éditeur de logiciel santé : êtes-vous protégé ?

L'attaque sur Cegedim montre que les prestataires qui traitent des données de santé sont des cibles prioritaires. Votre activité peut être la prochaine.

Une assurance cyber adaptée au secteur santé peut financer la réponse à incident, les frais de notification CNIL, l'assistance juridique et limiter l'impact financier d'une fuite de données.

Évaluer mon exposition et obtenir un devis

Estimation indicative non contractuelle. Courtier d'assurance immatriculé.

5. Enseignements pour les professionnels de santé et les éditeurs

Cette cyberattaque sur Cegedim, qui survient après Weda, MédecinDirect et HubEE, apporte plusieurs enseignements pour les cabinets médicaux, les cliniques et les éditeurs de logiciels de santé.

1. Les champs « texte libre » : une zone de risque sous-estimée

Le risque se cristallise sur le champ « commentaire administratif en texte libre », présenté comme administratif mais susceptible de contenir des informations médicales ou intimes. Les champs non structurés multiplient le risque en cas de fuite.

Action : Limiter l'usage des champs texte libre pour les données sensibles. Documenter les bonnes pratiques (ne pas y mettre d'informations médicales). Chiffrer les champs contenant potentiellement des données sensibles.

2. Les prestataires de santé sont des cibles prioritaires

Cegedim rejoint Weda, MédecinDirect et d'autres acteurs de l'e-santé touchés par des cyberattaques. Les données de santé ont une valeur élevée sur le dark web (usurpation d'identité, fraude, chantage).

Action : Ne pas sous-estimer l'exposition. Exiger des garanties de sécurité de vos prestataires (audits, certifications). Souscrire une assurance cyber adaptée au secteur santé.

3. La détection tardive amplifie l'impact

Cegedim a identifié l'incident « fin 2025 ». Entre la compromission et la médiatisation (26 février), plusieurs semaines se sont écoulées. Plus la détection est tardive, plus l'exfiltration peut être importante.

Action : Mettre en place une surveillance des accès et des requêtes anormales. Définir des alertes sur les comportements suspects. Tester régulièrement les mécanismes de détection.

4. La communication de crise : un enjeu de confiance

La séquence médiatique (France 2) puis politique (Stéphanie Rist) a changé la lecture de l'incident. La transparence et la réactivité sont essentielles pour maintenir la confiance des patients et des professionnels.

Action : Préparer un plan de communication de crise. Identifier les porte-parole. Anticiper les questions des patients et des autorités. Communiquer rapidement et de manière factuelle.

6. Risques pour les patients : vigilance et recours

Les données exfiltrées (identité, coordonnées, et potentiellement des annotations dans le champ texte libre) peuvent être exploitées pour du phishing ciblé, de l'usurpation d'identité ou du chantage, notamment si des informations médicales ou intimes ont fuité.

Risques identifiés

  • Phishing ciblé utilisant l'identité et le contexte médical
  • Usurpation d'identité pour des démarches administratives ou de santé
  • Chantage si des données sensibles (santé mentale, VIH, etc.) ont fuité
  • Stigmatisation en cas de diffusion d'informations médicales ou intimes

Recommandations pour les patients

  • Vigilance accrue face aux emails et SMS suspects
  • Vérification de l'expéditeur avant de cliquer sur un lien
  • Ne jamais communiquer de codes ou mots de passe par email/SMS
  • Contacter son médecin ou Cegedim en cas de doute
  • Exercer ses droits auprès de la CNIL si nécessaire

Pour les médecins concernés : L'enjeu se joue au cabinet : comment répondre aux patients concernés par une fuite d'identités, et comment traiter la crainte, plus rare mais plus destructrice, d'une exposition d'éléments intimes via le champ texte libre. L'épisode résonne avec d'autres incidents récents (Weda, MédecinDirect) touchant des outils de cabinet ou des plateformes numériques de santé.

7. Comment renforcer la résilience des acteurs de santé

Face à ces menaces croissantes sur le secteur santé, les cabinets, cliniques et éditeurs doivent adopter une approche globale.

Prévention technique

  • • Authentification forte (MFA) pour tous les accès
  • • Surveillance des requêtes anormales
  • • Chiffrement des données sensibles
  • • Limitation des champs texte libre
  • • Sauvegardes régulières et testées

Conformité et gouvernance

  • • Conformité RGPD et hébergement données de santé (HDS)
  • • Plan de réponse à incident testé
  • • Procédures de notification CNIL (72h)
  • • Audit de sécurité des prestataires
  • • Documentation des traitements

Protection financière

  • • Assurance cyber secteur santé
  • • Prise en charge des frais de notification
  • • Assistance juridique et forensic
  • • Gestion de crise et communication
  • • Coûts : 400€ à 6 000€/an selon profil

La résilience cyber du secteur santé : un enjeu collectif

L'attaque sur Cegedim en février 2026 montre que les prestataires qui traitent des données de santé sont des cibles prioritaires. Après Weda, MédecinDirect et HubEE, cette nouvelle fuite confirme que les cybermenaces sur le secteur santé sont persistantes et sophistiquées.

Les enseignements sont clairs : les champs texte libre sont une zone de risque, la détection doit être précoce, et la préparation à la gestion de crise est essentielle. La ministre a exigé des mesures correctrices « de toute urgence » et une transparence sur les causes et les garanties de non-récurrence.

Pour les professionnels de santé et les éditeurs : investir dans la prévention, préparer la réponse à incident, et se doter d'une assurance cyber adaptée au secteur santé. C'est cette approche globale qui permet de limiter l'impact des attaques et de maintenir la confiance des patients.

Évaluer ma résilience cyber et obtenir un devis

Estimation indicative non contractuelle. Courtier d'assurance immatriculé.