- Cybersecurite
Dedalus : deux fuites de données biologiques sensibles mises en vente sur le dark web
Deux jeux de données de biologie médicale dérobés au logiciel Bioserveur de Dedalus ont été mis en vente sur le dark web, exposant des milliers de comptes rendus d'analyses — dont des diagnostics de VIH et de cancers — issus d'un hôpital francilien et de laboratoires réunionnais.
Équipe ASN
Application Santé Numérique
Deux incidents distincts de vol de données médicales impliquant le logiciel Bioserveur de l’éditeur Dedalus ont été révélés le 12 mars 2026. Les données — comprenant des résultats d’analyses biologiques hautement sensibles — ont été mises en vente sur le dark web, soulevant de nouvelles inquiétudes sur la sécurité des systèmes d’information de santé en France.
Deux fuites, deux établissements, un même logiciel
Le Grand Hôpital de l’Est Francilien (GHEF)
La première fuite concerne environ 1 500 comptes rendus de biologie dérobés mi-février au Grand hôpital de l’Est francilien. L’établissement a confirmé l’incident et indiqué avoir entrepris d’évaluer l’étendue des données compromises afin de prévenir les patients concernés.
Deux laboratoires de La Réunion
Le second incident touche environ 2 200 comptes rendus d’analyse médicale provenant de deux laboratoires réunionnais. Les données exposées incluent des résultats d’hématologie et de cytologie, ainsi que des diagnostics particulièrement sensibles : statuts VIH, diagnostics de cancers, noms des prescripteurs et identités des patients.
La position de Dedalus
Le directeur de la cybersécurité de Dedalus France a affirmé que ces deux incidents « ne sont absolument pas liés ». L’éditeur reconnaît néanmoins que le vecteur commun est son logiciel Bioserveur, utilisé pour la transmission des résultats biologiques entre laboratoires et établissements de santé.
Un contexte de vigilance accrue
Ces révélations interviennent le jour même où l’Agence du Numérique en Santé (ANS) publiait les résultats d’une enquête nationale auprès de 719 directeurs d’établissements de santé sur la perception du risque cyber. Les chiffres sont édifiants :
- 86 % des directions générales participent aux exercices de crise cyber
- 72 % des directeurs interviennent personnellement dans l’élaboration du plan de prévention
- 42 % estiment néanmoins que leurs ressources budgétaires sont insuffisantes pour un plan de prévention adéquat
- 9 directeurs sur 10 soutiennent la mutualisation des expertises entre établissements d’un même territoire
La continuité des soins reste la priorité absolue en cas d’incident (score de 4,1/5), devant l’impact financier (3,9/5) et la qualité de vie du personnel (3,8/5).
Des enjeux réglementaires et éthiques majeurs
Les fuites Dedalus illustrent les risques concrets liés à la fragilité des chaînes de transmission des données de biologie médicale. La nature des informations exposées — diagnostics de pathologies stigmatisantes, résultats oncologiques — place ces incidents dans la catégorie des violations de données à caractère personnel particulièrement graves au sens du RGPD, avec obligation de notification à la CNIL et aux personnes concernées.
Le programme CaRE (Cybersécurité Accélérée pour les Ressources et les Établissements de santé) constitue l’un des dispositifs d’appui financier mobilisables par les établissements pour renforcer leur posture de sécurité. Ces deux affaires devraient alimenter les discussions lors de la montée en charge du programme.
Sources
Contactez un expert en santé numérique
Vous avez un projet d'application santé ? Notre équipe d'experts vous accompagne dans la conception et le développement de solutions numériques innovantes.