🔥 Les essentiels de cette actualité
- Entre 11 et 15 millions de Français concernés : traumatismes, troubles psychiatriques, orientations sexuelles… leurs données médicales les plus intimes circulent librement sur le dark web, accessibles à n’importe quel cybercriminel.
- La cause du désastre est glaçante de banalité : l’absence d’une simple double authentification chez Cegedim, pourtant géant professionnel chargé de protéger nos dossiers médicaux les plus sensibles.
- Ce n’est pas un accident isolé. La même négligence avait déjà permis le piratage du ministère de l’Intérieur, révélant un symptôme systémique bien plus profond qu’une simple erreur technique.
- Face au scandale, l’État avoue implicitement son impuissance : on découvre la catastrophe après coup, on exige des correctifs une fois le mal fait. Une posture qui ne peut plus tenir lieu de politique.
La nouvelle a de quoi glacer le sang de millions de nos compatriotes : entre 11 et 15 millions de Français voient leurs données médicales les plus intimes exposées sur le dark web et livrées en pâture aux cybercriminels du monde entier. Traumatismes, violences sexuelles, troubles psychiatriques, orientations sexuelles : tout y est, accompagné des coordonnées permettant d’identifier chaque patient. La cause de ce désastre ? Une négligence d’une banalité confondante : l’absence de double authentification chez Cegedim, l’éditeur du logiciel médical en question.
Il faut mesurer l’ampleur du scandale. Nous ne parlons pas ici d’une start-up improvisée ni d’un cabinet médical isolé gérant artisanalement ses fichiers. Cegedim est un acteur majeur du secteur, un professionnel dont le métier consiste précisément à héberger et protéger ce que la vie privée compte de plus sacré : notre santé, nos failles, nos secrets les plus enfouis. Cet éditeur, gardien de millions de dossiers sensibles, n’avait pourtant pas jugé utile de mettre en place un dispositif de sécurité que le moindre particulier utilise désormais pour protéger son compte de réseau social.
Ces mots de la ministre de la Santé Stéphanie Rist témoignent de l’embarras gouvernemental. On convoque, on demande des « clarifications », on invite l’entreprise à « accélérer sa mise en conformité ». Le vocabulaire est policé, presque courtois. Mais derrière cette communication maîtrisée se dessine une réalité autrement plus préoccupante : celle d’un État qui découvre, médusé, que les données médicales de ses citoyens étaient protégées avec moins de rigueur qu’un simple compte Netflix.
L’authentification multifactorielle : un standard devenu universel, sauf là où il compte
L’authentification à double facteur n’est plus une innovation technologique réservée aux experts. Selon une étude de Cisco, 80 % des utilisateurs d’Internet l’ont adoptée pour leurs comptes personnels. Chaque Français qui consulte ses e-mails, accède à sa banque en ligne ou se connecte à un service administratif est désormais familiarisé avec ce mécanisme élémentaire : un mot de passe, puis un code reçu par SMS ou généré par une application. Ce système est simple, efficace et capable de bloquer l’immense majorité des tentatives d’intrusion.
Or, pour accéder aux systèmes de Cegedim et aux commentaires intimes de millions de patients, les pirates n’ont eu besoin que d’identifiants volés à quelques médecins. Pas de seconde barrière, pas de vérification supplémentaire, pas d’alerte en cas de connexion suspecte. La porte était entrouverte, ils n’ont eu qu’à la pousser.
Le plus troublant réside dans le caractère répétitif de ce type de défaillance. L’article le rappelle sans détour : c’est exactement la même négligence qui a permis le piratage du ministère de l’Intérieur à la fin de l’année dernière. On pourrait croire à une coïncidence malheureuse. Il s’agit en réalité d’un symptôme systémique : en France, les gardiens de nos données les plus sensibles, qu’ils soient publics ou privés, n’ont pas intégré les standards de sécurité que le reste du monde numérique considère comme acquis.
Comment expliquer un tel décalage ? La négligence pure ne suffit pas à tout justifier. Il faut y voir aussi une forme d’impunité structurelle. Jusqu’à présent, les sanctions pour manquement à la protection des données personnelles sont restées symboliques au regard des enjeux. Le RGPD existe, la CNIL veille et des directives européennes comme NIS 2 ou le Cyber Resilience Act fixent des exigences. Mais, dans les faits, la mise en conformité reste souvent perçue comme un coût à différer plutôt qu’une priorité absolue.
La souveraineté numérique : un impératif national encore ignoré
Cette affaire dépasse la simple question technique. Elle interroge notre capacité collective à protéger ce qui relève de l’intimité de la nation. Les données de santé ne sont pas des informations anodines. Elles constituent un gisement stratégique que des puissances étrangères, des groupes criminels ou des entreprises peu scrupuleuses peuvent exploiter à des fins de chantage, de manipulation ou de profit.
Que vaut la souveraineté d’un pays dont les dossiers médicaux de millions de citoyens circulent librement sur les marchés noirs du cyberespace ? Que reste-t-il de la vie privée quand les notes « glaçantes », selon le terme employé par la presse, rédigées par des médecins sur leurs patients deviennent accessibles au premier acheteur venu ?
Les ministres concernées ont demandé à Cegedim de « renforcer immédiatement sa cybersécurité ». L’expression sonne comme un aveu d’impuissance. On découvre le problème après la catastrophe et l’on exige des correctifs une fois le mal fait. Cette posture réactive, qui caractérise trop souvent l’action publique en matière numérique, ne peut plus tenir lieu de politique.
La France dispose pourtant des compétences techniques, des ingénieurs et des chercheurs capables de bâtir une infrastructure numérique robuste et souveraine. Mais encore faudrait-il que la protection des données sensibles soit érigée au rang de priorité nationale, avec des obligations contraignantes, des contrôles effectifs et des sanctions dissuasives pour les acteurs défaillants.
L’affaire Cegedim révèle une vérité que beaucoup préfèrent ignorer : notre dépendance numérique s’accompagne d’une vulnérabilité massive. Les citoyens confient leurs informations les plus personnelles à des systèmes dont ils ignorent tout, persuadés que des professionnels veillent sur leur protection. Ils découvrent aujourd’hui que cette confiance était parfois accordée à des structures incapables de garantir le minimum requis.
Il ne s’agit pas de céder à la panique ni de condamner en bloc un secteur entier. Mais il est temps d’exiger des comptes, au sens propre du terme. Les éditeurs de logiciels médicaux, les hébergeurs de données de santé et les administrations qui sous-traitent la gestion de nos informations doivent être soumis à des audits rigoureux et à des obligations de résultat, pas seulement de moyens.
Les 169 000 données comportant des informations médicales sensibles aujourd’hui exposées représentent autant de vies privées violées, de secrets trahis et de confiances brisées. Derrière les chiffres, il y a des hommes et des femmes dont les souffrances intimes, confiées à leur médecin dans le cadre protégé du secret médical, se retrouvent désormais à la merci de n’importe qui. Cette réalité devrait suffire à faire de la cybersécurité des données de santé une cause nationale, bien au-delà des communiqués ministériels et des réunions à Bercy.
IMPORTANT - À lire
L'affaire Cegedim n'est qu'un symptôme parmi d'autres de notre vulnérabilité numérique et géopolitique. Chaque mois, notre revue papier décrypte ces menaces invisibles qui pèsent sur la France et ses citoyens.
Ne vous contentez pas des analyses gratuites : abonnez-vous à la revue pour accéder chaque mois à des enquêtes approfondies sur la souveraineté, la sécurité et les rapports de force qui façonnent notre monde.
