La cyberattaque qui a touché MédecinDirect, révélée début décembre, concerne jusqu’à 323 000 patients. Le chiffre est déjà énorme. Mais ce n’est pas ce qui doit nous inquiéter le plus.
Ce qui pose réellement problème, ce n’est pas l’existence d’une attaque.
C’est ce qu’elle révèle : une banalisation dangereuse de la donnée de santé, traitée comme une simple information numérique parmi d’autres.
Or, elle ne l’est pas.
Ce qui s’est passé
MédecinDirect est une plateforme de télémédecine utilisée par plusieurs mutuelles et complémentaires santé françaises. Elle permet à des assurés de consulter des médecins à distance, d’échanger des documents médicaux, d’obtenir des ordonnances ou des avis.
À la suite d’une intrusion informatique, des données personnelles et médicales ont été exposées.
Selon les informations disponibles, il s’agirait notamment de données d’identité, de coordonnées, mais aussi d’éléments liés au parcours de soins.
Et les assureurs ? Et les autorités ? Rien. Comme d’habitude.
Là encore, on est dans le classique.
– L’entreprise communique “en transparence” mais ne dit rien de précis.
– Les mutuelles, partenaires de la plateforme, jouent la montre.
– L’État dit qu’il “prend l’affaire au sérieux”.
Mais pendant ce temps, les données circulent déjà. Peut-être en vente sur des forums. Peut-être utilisées. Peut-être exploitées.
Sur le papier, le processus est respecté.
Mais dans les faits, une question demeure : comment une plateforme de santé peut-elle être compromise à ce niveau en 2025 ?
Une cyberattaque n’est pas toujours un accident
Il faut être clair : toute organisation peut être attaquée.
Aucune infrastructure n’est invulnérable.
Mais toutes les attaques ne se valent pas.
Il existe une différence fondamentale entre :
– une attaque sophistiquée contre un système bien protégé,
– et une compromission rendue possible par des choix structurels faibles : accès mal cloisonnés, supervision insuffisante, dépendances techniques mal maîtrisées.
Dans le domaine de la santé, cette distinction est essentielle.
Parce que l’impact n’est pas financier.
Il est humain, intime, durable.
On peut remplacer une carte bancaire.
On ne remplace pas un historique médical.
Pourquoi les données de santé sont une cible à part
Une donnée médicale n’est pas seulement sensible.
Elle est persistante.
Un diagnostic, un traitement, une pathologie passée ou présente :
ces informations peuvent être exploitées des années plus tard, croisées avec d’autres fuites, utilisées à des fins de fraude, de chantage, de manipulation ou de discrimination.
Et contrairement à une idée reçue, ces données ne servent pas uniquement à des attaques ciblées spectaculaires.
Elles alimentent surtout un marché souterrain discret, où l’agrégation de données vaut plus que le coup isolé.
C’est précisément pour cela que les plateformes de santé devraient être parmi les systèmes les plus rigoureux du pays.
Le vrai problème : la confiance déléguée sans contrôle
Dans cette affaire, beaucoup de patients découvrent qu’ils utilisaient MédecinDirect… sans vraiment le savoir.
La plateforme était intégrée à leur mutuelle, à leur contrat, à leur parcours de soins.
C’est là que se situe le nœud du problème.
Nous avons construit un système où :
– les assurés font confiance à leur mutuelle,
– les mutuelles font confiance à des prestataires techniques,
– les prestataires empilent des solutions numériques,
– et plus personne ne garde une vision claire de la chaîne de responsabilité.
Quand tout fonctionne, personne ne pose de questions.
Quand ça casse, tout le monde communique.
Mais la confiance, elle, est déjà abîmée.
Ce que chacun peut faire, concrètement
Il ne s’agit pas de paniquer, ni de sombrer dans la défiance généralisée.
Mais il est temps d’adopter des réflexes simples et réalistes.
Si vous avez utilisé un service de télémédecine :
– Vérifiez si vous disposez d’un compte actif et modifiez vos accès.
– Posez explicitement la question à votre mutuelle : quels prestataires utilisent-ils pour la santé numérique ?
– Séparez vos usages : une adresse email dédiée aux services médicaux permet de limiter l’exposition.
– Méfiez-vous des messages inattendus évoquant des remboursements, des documents médicaux ou des mises à jour urgentes.
Ces gestes ne rendent pas le système parfait.
Mais ils réduisent votre surface d’exposition personnelle.
Ce que les acteurs devraient faire (et tardent à faire)
Côté entreprises et institutions, le sujet est plus profond.
La cybersécurité dans la santé ne peut plus être traitée comme un sujet technique secondaire, confié à un prestataire ou à une équipe isolée.
Elle doit être :
– pilotée au niveau de la gouvernance,
– intégrée aux choix d’architecture,
– testée régulièrement,
– assumée comme un coût incompressible.
Pas comme un “bonus”, pas comme un argument marketing.
La conformité réglementaire (RGPD, hébergement de données de santé, certifications) est nécessaire.
Mais elle ne suffit pas si elle est vécue comme une formalité administrative.
Ce que cette affaire nous rappelle, au fond
La santé numérique est une avancée.
Mais elle n’a de valeur que si elle protège ce qu’elle promet de faciliter.
Dans Être en cybersécurité, je le répète souvent :
la sécurité n’est pas une question de peur, mais de lucidité.
Cette attaque n’est pas une anomalie.
C’est un signal.
Un rappel que le numérique, lorsqu’il touche à l’intime, exige autre chose que de la vitesse et de l’innovation.
Il exige du discernement, de la responsabilité, et une vraie culture du risque.
Sans cela, nous continuerons à découvrir les conséquences… après coup.
