DMP : l'Assurance maladie dément un piratage de 34 millions de dossiers, ce que les DPO doivent en retenir

5/6/26
👈 les autres actualités

Un pirate affirme détenir 34,2 millions de fiches issues du Dossier médical partagé. L'Assurance maladie dément toute compromission massive — et pour une fois, le démenti pourrait être fondé. Mais l'épisode rappelle une vérité inconfortable pour les DPO : la frontière entre vraie fuite et fichier recomposé est devenue le nouveau champ de bataille.

Ce qui s'est passé

Le 2 juin 2026, un cybercriminel se présentant sous le pseudonyme « Lagui » a mis en vente une base de données qu'il attribue au Dossier médical partagé (DMP), le carnet de santé numérique géré par l'Assurance maladie. Le volume revendiqué donne le vertige : plus de 34 millions de comptes, soit près de la moitié de la population française. Les échantillons diffusés contiennent des noms, prénoms, dates de naissance, adresses postales, courriels et numéros de téléphone. Environ 80 % des enregistrements afficheraient un numéro de sécurité sociale (NIR) et 30 à 40 % un IBAN.

L'Assurance maladie a réagi rapidement et fermement : elle indique n'avoir détecté aucune extraction massive de données ni connexion non autorisée sur le DMP, et estime que les éléments avancés ne démontrent pas l'existence d'une compromission. Plusieurs indices techniques nourrissent le doute des analystes : des NIR mal formés, une structure de fichier hétérogène, et surtout l'absence totale de données médicales — pas une ordonnance, pas un compte rendu d'analyse, pas une note de praticien. L'hypothèse dominante est celle d'un fichier recomposé à partir de fuites antérieures déjà connues (Free, Bouygues Telecom, ou encore Almerys) puis « rhabillé » aux couleurs du DMP pour maximiser l'effet d'annonce.

Pourquoi c'est important

Cet épisode illustre une tactique en pleine expansion : le chantage par revendication. Le cybercriminel n'a pas nécessairement besoin de prouver une intrusion réelle ; il lui suffit de générer une panique suffisante pour faire pression sur l'organisation ciblée ou pour vendre un fichier au plus offrant. Pour un responsable de traitement, cela déplace le problème : il ne s'agit plus seulement de prévenir l'intrusion, mais de savoir qualifier avec rigueur un incident revendiqué.

Or, en matière de violation de données personnelles, l'article 33 du RGPD impose une notification à la CNIL sous 72 heures dès lors qu'une perte de confidentialité est constatée. La difficulté, ici, est que le déclencheur de l'obligation n'est pas une certitude mais une vraisemblance : faut-il notifier sur la foi d'une revendication non vérifiée ? La réponse passe par une investigation interne capable d'écarter ou de confirmer le lien avec ses propres systèmes — exactement ce que l'Assurance maladie a tenté de faire publiquement.

L'enjeu est d'autant plus sensible que l'on parle ici de données de santé, qualifiées de catégories particulières par l'article 9 du RGPD et soumises à un régime de protection renforcé. Même si la base s'avérait recomposée, la présence massive de NIR et d'IBAN suffit à exposer les personnes concernées à un risque réel de fraude identitaire — un schéma déjà observé dans l'affaire Almerys, où l'exposition d'équivalents de numéros de sécurité sociale avait transformé une fuite « santé » en menace de fraude à grande échelle.

Ce que ça change pour les organisations

Trois réflexes s'imposent pour les DPO et RSSI confrontés à une revendication de fuite. D'abord, vérifier avant de paniquer : recouper les échantillons diffusés avec ses propres formats de données (structure des identifiants, cohérence des champs) permet souvent de détecter un fichier agrégé issu de leaks plus anciens. Ensuite, documenter la qualification : que l'on notifie ou non, la décision et son raisonnement doivent être tracés dans le registre des violations, car la CNIL apprécie la diligence de l'analyse autant que la réalité de l'incident.

Enfin, renforcer la posture de sécurité préexistante. Les autorités de contrôle européennes sanctionnent désormais l'état de sécurité avant l'attaque, indépendamment de sa nature. Pour les structures manipulant des données de santé, s'appuyer sur un outil de gestion de la conformité adapté au secteur santé n'est plus un confort mais une exigence de gouvernance : authentification forte, journalisation des accès, cartographie des sous-traitants et procédure d'incident éprouvée.

Ce que Leto pense de cette décision

Le démenti de l'Assurance maladie est probablement justifié sur le fond — et c'est précisément ce qui le rend instructif. Un responsable de traitement qui dément doit pouvoir le faire sur la base d'une investigation solide, pas d'un simple communiqué rassurant. La vraie leçon n'est pas « le DMP n'a pas été piraté », mais « savoir prouver qu'on n'a pas été piraté est devenu une compétence de conformité à part entière ». Les organisations qui ne savent pas tracer leurs accès ni vérifier l'origine d'un fichier revendiqué seront, demain, incapables de tenir ce discours. Et face à un cybercriminel qui mise sur le bruit médiatique, le silence n'est pas une option.

Sources : ZDNet, Mac4Ever, Le Tribunal du Net.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026