Un numéro de carte bancaire volé se négocie entre 5 et 30 dollars sur les marchés noirs d’Internet. Un dossier médical complet, lui, peut atteindre 1 000 dollars. Cette différence de prix, longtemps ignorée du grand public, explique pourquoi les hôpitaux et les logiciels de gestion médicale sont devenus les cibles favorites des cybercriminels.

Une carte bancaire se bloque, un diagnostic reste à vie

La raison pour laquelle vos données de santé valent si cher tient en une phrase : elles ne changent pas. Si votre carte bancaire est piratée, votre banque en émet une nouvelle sous 48 heures. Le numéro compromis devient inutilisable. Problème réglé.

Vos antécédents médicaux, vos prescriptions, vos diagnostics, votre numéro de sécurité sociale, votre groupe sanguin : rien de tout cela ne se réinitialise. Un pirate qui détient ces informations peut les exploiter pendant des années, voire des décennies. Selon le rapport annuel d’IBM et du Ponemon Institute sur le coût des violations de données, le secteur de la santé reste le plus touché financièrement depuis quatorze années consécutives. En 2024, le coût moyen d’une fuite de données dans le secteur médical atteignait 9,77 millions de dollars, soit plus du double de la moyenne tous secteurs confondus (4,88 millions).

Ce que contient vraiment votre dossier médical numérique

En France, les informations de santé circulent à travers un réseau dense d’acteurs. Votre médecin traitant utilise un logiciel de gestion de cabinet. La pharmacie vérifie vos droits au tiers payant via un organisme de transmission. L’hôpital stocke vos comptes rendus dans son système d’information. L’Assurance maladie centralise vos remboursements.

À chaque étape, votre dossier s’enrichit : nom, prénom, date de naissance, numéro de Sécurité sociale, médecin traitant, traitements en cours, allergies, pathologies chroniques, résultats de laboratoire. Certains logiciels stockent jusqu’aux motifs de consultation. La fuite de Cegedim, révélée en février 2026, a exposé les données de 15 millions de patients français, dont les prescriptions médicales détaillées de 1 500 médecins généralistes.

Un an plus tôt, en février 2024, le piratage des opérateurs du tiers payant Viamedis et Almerys avait touché 33 millions d’assurés, selon la CNIL. Les informations dérobées comprenaient l’état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l’assureur et les garanties du contrat.

Le supermarché des données volées

Sur les forums du dark web, les données de santé se vendent sous plusieurs formats. Le plus basique : une ligne de fichier CSV contenant nom, numéro de Sécurité sociale et date de naissance, facturée entre 10 et 50 dollars pièce. Le plus lucratif : un dossier médical complet avec historique de prescriptions, qui peut dépasser les 1 000 dollars selon les analyses du cabinet de cybersécurité Trustwave.

Pourquoi un tel prix ? Les usages sont multiples. Le dossier médical permet de fabriquer de fausses ordonnances pour obtenir des médicaments contrôlés. Il sert à monter des arnaques à l’assurance maladie, en déclarant des soins fictifs remboursés par la Sécurité sociale. Il facilite l’usurpation d’identité, puisqu’il regroupe toutes les informations nécessaires (état civil, adresse, numéro de SS) pour ouvrir un crédit ou créer de faux papiers.

Le chantage constitue un autre débouché. Certaines pathologies (maladies psychiatriques, VIH, addictions, avortements) relèvent de l’intime. Menacer de les révéler publiquement suffit parfois à obtenir le paiement d’une rançon. En 2021, le piratage de la clinique Vastaamo en Finlande avait abouti à du chantage individuel : plus de 25 000 patients avaient reçu un mail exigeant une rançon en bitcoins pour ne pas publier leurs notes de thérapie, rapporte le quotidien finlandais Helsingin Sanomat.

Les remparts existent, mais ils fuient

La France dispose d’un arsenal juridique parmi les plus stricts au monde pour protéger les données de santé. Le RGPD, en vigueur depuis 2018, classe les données médicales dans la catégorie des « données sensibles » (article 9), dont le traitement est interdit sauf exceptions encadrées. La CNIL peut infliger des amendes allant jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise contrevenante.

Côté technique, tout hébergeur de données de santé doit obtenir la certification HDS (Hébergeur de Données de Santé), délivrée par un organisme accrédité par le COFRAC. Cette certification impose des audits réguliers, un chiffrement des données au repos et en transit, et une traçabilité complète des accès. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) publie régulièrement des recommandations ciblées pour le secteur hospitalier.

Le problème se situe rarement dans les textes. Il réside dans la chaîne d’intermédiaires. Entre le cabinet médical et le serveur qui stocke les données, le nombre de sous-traitants peut atteindre trois ou quatre. Chaque maillon ajoute une surface d’attaque. Viamedis et Almerys n’étaient pas des hôpitaux mais des prestataires de tiers payant, un rouage invisible pour la plupart des patients. Cegedim n’est pas une clinique mais un éditeur de logiciels utilisé par des milliers de médecins.

Les hôpitaux, des proies faciles

L’ANSSI a comptabilisé 10 incidents majeurs affectant des établissements de santé français rien qu’au premier semestre 2024. Les centres hospitaliers de Rennes, Brest, Armentières et Cannes ont subi des attaques par rançongiciel qui ont paralysé leurs systèmes pendant des semaines. À Armentières, en février 2024, les urgences avaient été fermées pendant plusieurs heures.

Les raisons de cette vulnérabilité sont connues. Les budgets informatiques des hôpitaux publics français restent très en dessous de ceux du privé. Un rapport de la Cour des comptes publié en 2023 estimait que les établissements de santé consacraient en moyenne 1,7 % de leur budget de fonctionnement à l’informatique, contre 5 à 9 % dans les entreprises privées de taille comparable. Le parc matériel vieillit : certains hôpitaux fonctionnent encore avec des versions de Windows qui ne reçoivent plus de mises à jour de sécurité.

Le personnel soignant, formé pour sauver des vies, ne l’est pas toujours pour repérer un mail de phishing. Selon une étude du cabinet Proofpoint, 58 % des attaques réussies contre des établissements de santé commencent par un simple clic sur un lien frauduleux dans un courriel.

Aux États-Unis, un précédent qui donne le vertige

La France n’est pas un cas isolé. Aux États-Unis, le piratage de Change Healthcare en février 2024 a exposé les données de plus de 100 millions de personnes, selon le département américain de la Santé (HHS). C’est la plus grande fuite de données médicales de l’histoire du pays. UnitedHealth, la maison mère, a admis avoir payé 22 millions de dollars de rançon au groupe de pirates BlackCat/ALPHV, rapporte le Wall Street Journal.

Le système américain, régi par la loi HIPAA (Health Insurance Portability and Accountability Act) depuis 1996, impose pourtant des standards de sécurité stricts. Les amendes pour non-conformité peuvent atteindre 1,5 million de dollars par catégorie de violation. Cela n’a pas empêché 725 violations de données de santé majeures d’être signalées au HHS en 2023, affectant 133 millions de dossiers.

En Europe, l’Agence européenne de cybersécurité (ENISA) a constaté que le secteur de la santé représentait 8 % de l’ensemble des incidents cyber signalés en 2023, devant les transports et l’énergie. L’agence recommande une approche sectorielle avec des exercices de simulation réguliers et un partage d’informations entre établissements.

Ce que vous pouvez faire (et ce qui ne dépend pas de vous)

À l’échelle individuelle, les leviers restent limités. Activer Mon Espace Santé, le carnet de santé numérique lancé par l’Assurance maladie en 2022, permet de garder un oeil sur les documents versés à votre dossier. Vous pouvez aussi exercer votre droit d’accès auprès de chaque professionnel de santé pour savoir quelles données il détient, et demander leur suppression si elles ne sont plus nécessaires.

Les vrais changements se joueront ailleurs. Le programme CaRE (Cybersécurité accélération et Résilience des Établissements), lancé par le ministère de la Santé fin 2023, prévoit 250 millions d’euros sur cinq ans pour renforcer la sécurité informatique des hôpitaux. La directive européenne NIS 2, transposée en droit français, élargit les obligations de cybersécurité à un plus grand nombre d’acteurs de la chaîne de santé, y compris les éditeurs de logiciels.

Le prochain test grandeur nature arrivera vite. L’ANSSI a prévenu que les Jeux olympiques de 2024 avaient fait monter en compétence les équipes de défense françaises, mais que les attaquants progressaient au même rythme. La prochaine grande fuite de données de santé en France n’est pas une question de « si », mais de « quand ».