• Cybersecurite

Cyberattaque 2025 : les données patients d'espaces numériques régionaux de santé ressurgissent sur le dark web

Des données identitaires volées en septembre 2025 à une dizaine d'espaces numériques régionaux de santé (GRADeS, GCS, GIP) réapparaissent sur le dark web en avril 2026, alimentant une vague de cybermenaces sans précédent contre le secteur de la santé numérique français.

Équipe ASN

Équipe ASN

Application Santé Numérique

Cyberattaque 2025 : les données patients d'espaces numériques régionaux de santé ressurgissent sur le dark web

Une menace différée qui frappe à nouveau

Six mois après les faits, l’écho d’une cyberattaque majeure résonne à nouveau dans le secteur de la santé numérique. Selon TICsanté, des données patients dérobées en septembre 2025 à une dizaine d’espaces numériques régionaux de santé viennent de réapparaître sur le dark web. Une résurgence qui s’inscrit dans un contexte de pression cybercriminelle croissante sur les infrastructures de santé françaises.

Des plateformes régionales dans le viseur

Les espaces numériques régionaux touchés sont des structures clés de la coordination des soins : Groupements Régionaux d’Appui au Développement de l’e-Santé (GRADeS), Groupements de Coopération Sanitaire (GCS) et Groupements d’Intérêt Public (GIP). Plusieurs régions ont été concernées lors de l’attaque initiale :

  • Pays de la Loire (GRADeS Pays de la Loire)
  • Normandie (Normand’e-Santé)
  • Hauts-de-France (GIP Inéa Santé Numérique)
  • Auvergne-Rhône-Alpes (GCS Sara)

L’attaque avait exploité une usurpation d’identité de professionnels de santé, permettant aux cybercriminels d’accéder aux outils internes de ces plateformes de coordination entre établissements.

Des données identitaires, mais pas (uniquement) médicales

Les données compromises sont principalement de nature administrative et identitaire : nom, prénom, date de naissance, sexe, lieu de naissance, Identifiant National de Santé (INS), numéro de téléphone et adresse email. Si aucun dossier médical complet n’a été exfiltré dans la grande majorité des cas, le GCS Sara (Auvergne-Rhône-Alpes) a toutefois signalé l’accès à 18 documents médicaux concernant 11 patients.

Toutes les structures concernées avaient dès septembre 2025 notifié la CNIL et déposé plainte auprès des autorités compétentes. Le CERT Santé de l’Agence du Numérique en Santé (ANS) avait accompagné les établissements touchés dans leur réponse à l’incident.

La résurgence sur le dark web : un risque amplifié

La réapparition de ces données en avril 2026 constitue une menace concrète pour les patients concernés. Si les données de santé stricto sensu semblent limitées, la combinaison d’éléments d’identité et de l’INS représente un risque significatif de phishing ciblé et d’usurpation d’identité médicale — une fraude en forte progression en France.

Cette résurgence illustre un schéma désormais bien documenté : les données de santé volées ne sont pas immédiatement exploitées ou revendues, mais conservées et diffusées des mois plus tard, multipliant l’exposition dans le temps et rendant la réponse des établissements particulièrement complexe.

Un secteur sous pression permanente

Cet incident s’ajoute à une série de violations de données secouant le secteur de la santé depuis le début de l’année 2026 : la mise en vente par DumpSec de 35 millions de dossiers patients, la deuxième fuite chez Cerballiance, ou encore le bilan financier de 2,9 millions d’euros révélé par le CH d’Armentières. La cybersécurité des structures numériques régionales — moins médiatisées que les CHU ou les grands établissements — mérite une attention renforcée. Leur rôle de coordination de soins entre professionnels de santé en fait des cibles à fort impact potentiel sur la continuité et la confidentialité des prises en charge.

Sources

Contact

Contactez un expert en santé numérique

Vous avez un projet d'application santé ? Notre équipe d'experts vous accompagne dans la conception et le développement de solutions numériques innovantes.

Email

contact@dinno.fr