35 millions de Français exposés : la fuite massive de données qui secoue les hôpitaux

35 millions de Français. Ce chiffre, à lui seul, donne le vertige. C’est potentiellement la moitié de la population qui se retrouve exposée : noms, prénoms, dates de naissance, numéros de sécurité sociale, adresses, données hospitalières, parcours de soins. Tout. Le groupe de hackers DumpSec revendique l’attaque des Agences Régionales de Santé, confirmée officiellement dès septembre 2025, et met désormais ces données en vente sur des forums cybercriminels. Plus de 130 hôpitaux seraient compromis, principalement dans les Hauts-de-France, avec des établissements touchés en Normandie et en Auvergne-Rhône-Alpes. Une attaque d’une ampleur inédite dans l’histoire de la santé numérique française.

Ce qui frappe d’abord, c’est la nature même des données volées. Il ne s’agit pas d’adresses électroniques génériques ou de mots de passe récupérables. Le numéro de sécurité sociale, l’identifiant le plus fondamental du citoyen français dans sa relation à l’État, est compromis. Avec lui, c’est la possibilité d’une usurpation d’identité complète, de fraudes administratives et bancaires en cascade, de campagnes de phishing d’une précision chirurgicale. La donnée médicale ne se réinitialise pas comme un mot de passe. Elle ne s’efface pas. Elle circule, elle se revend, elle s’exploite. Le préjudice est potentiellement permanent pour des millions de personnes qui n’ont rien demandé et qui, pour la plupart, ne le savent peut-être pas encore.

🔴🩺 En septembre 2025, les Agences régionales de santé alertaient sur une cyberattaque et sur la fuite de données de plus de 35 millions de patients en France.

Les données semblent désormais proposées à la vente au plus offrant, après avoir très probablement circulé pendant… pic.twitter.com/w8IfiZsfGe

— Christophe Boutry (@Ced_haurus) April 5, 2026

Une défaillance de l’État dans sa mission la plus élémentaire

L’État français a une responsabilité directe dans cette affaire. Les Agences Régionales de Santé ne sont pas des prestataires privés quelconques : ce sont des bras armés de l’administration centrale, financés par l’impôt, chargés de coordonner un système de santé qui est l’une des fiertés nationales les mieux établies. Confier à ces structures la gestion de données aussi sensibles sans leur donner les moyens humains, techniques et budgétaires de les protéger efficacement, c’est une forme de négligence que rien ne justifie.

Ce n’est pas une question de malchance ou de sophistication exceptionnelle des attaquants. La cybermenace sur les hôpitaux français n’est pas une surprise : elle est documentée, répétée et croissante depuis des années. Chaque rapport de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) l’atteste. Les établissements de santé sont des cibles prioritaires, précisément parce que leurs données sont d’une valeur inestimable sur les marchés criminels et parce que leur niveau de protection est structurellement insuffisant. Pourtant, les arbitrages budgétaires continuent de marginaliser la cybersécurité au profit d’autres priorités.

« Ils estiment le nombre total d’établissements concernés entre 100 et 300 hôpitaux, tout en précisant que ces informations restent approximatives. »

Cette déclaration des hackers eux-mêmes, dans leur échange avec les journalistes qui ont révélé l’affaire, dit quelque chose d’éloquent sur l’état du système : même les attaquants ne savent pas exactement ce qu’ils ont volé. L’architecture informatique des ARS et des hôpitaux est visiblement si fragmentée, si peu maîtrisée dans sa cartographie globale, que personne, ni les défenseurs ni les agresseurs, ne dispose d’une vision claire du périmètre compromis. C’est le signe d’une gouvernance numérique défaillante à la racine.

🚨🇫🇷 ALERTE INFO | Jusqu’à 35 millions de patients potentiellement exposés : un groupe de hackers revendique le piratage des ARS et de plus de 130 hôpitaux.

Les données de santé et informations personnelles seraient désormais mises en vente sur un forum cybercriminel. pic.twitter.com/pHhzqHeodd

— Novia News (@NoviaNewsGroup) April 5, 2026

La souveraineté des données, impensé majeur de la politique de santé

Cette attaque soulève une question que les gouvernements successifs ont soigneusement esquivée : celle de la souveraineté numérique dans le domaine de la santé. Des données aussi sensibles que le parcours de soins de 35 millions de Français méritent une protection qui relève de la sécurité nationale, pas seulement de la conformité réglementaire. Or la logique dominante depuis des années a été celle de la mutualisation des données, de leur numérisation accélérée, de leur centralisation dans des systèmes d’information interconnectés, sans que la question de leur protection soit traitée avec la même énergie.

La centralisation numérique n’est pas mauvaise en soi : elle peut améliorer la qualité des soins, fluidifier les parcours patients, réduire les erreurs médicales. Mais elle crée aussi un actif d’une valeur considérable, une cible unique et massive pour quiconque dispose des outils pour l’atteindre. Construire une base de données centralisée sur la santé de la moitié d’une nation sans bâtir simultanément une forteresse pour la défendre, c’est ériger une cathédrale sans mur d’enceinte. C’est là que réside la faute politique fondamentale.

Les victimes de cette fuite, millions de Français ordinaires, patients d’hôpitaux publics, personnes âgées, familles modestes qui n’ont pas d’autre recours que le service public, méritent mieux qu’un communiqué de prise en charge et des promesses de renforcement. Elles méritent des comptes, des responsabilités nommées, des réponses concrètes. À commencer par une information claire sur ce qui a été compromis, par qui et quels recours leur sont ouverts. Ce minimum de transparence, dans un État de droit digne de ce nom, n’est pas une faveur : c’est une obligation.

La France excelle à concevoir des systèmes de solidarité nationale ambitieux. Elle peine depuis trop longtemps à les protéger à la hauteur de leur importance. Cette fuite massive est le symptôme brutal d’un retard accumulé, d’une sous-estimation chronique de la menace et d’une conception de la souveraineté qui s’arrête encore, trop souvent, aux frontières du monde physique.