Fuite chez Agences Régionales de Santé de l’Île-de-france, Auvergne, Rhône-Alpes, Hauts-de-France, Pays de la Loire et Normandie
Une cyberattaque de septembre 2025 visant des plateformes régionales d’identité santé utilisées par plusieurs Agences Régionales de Santé (ARS) a exposé des données d’identité de patients ; un attaquant revendique environ 35 millions de dossiers sur 130+ hôpitaux publics, ensuite mis en vente par le groupe DumpSec.
- Victime
- Agences Régionales de Santé de l’Île-de-france, Auvergne, Rhône-Alpes, Hauts-de-France, Pays de la Loire et Normandie
Le 22 octobre 2025, une fuite de données touchant plusieurs Agences Régionales de Santé (ARS) — les organismes publics qui pilotent le système de santé en région — a été rendue publique par des chercheurs en sécurité. L’exposition découle d’une cyberattaque menée début septembre 2025 contre des plateformes régionales mutualisées de gestion de l’identité des patients (dont l’infrastructure Inéa Santé Numérique Hauts-de-France) utilisées par les hôpitaux publics.
L’attaquant revendique l’accès aux données d’identité d’environ 35 millions de personnes, réparties sur plus de 130 hôpitaux publics, les ARS des Hauts-de-France, de Normandie, des Pays de la Loire, d’Île-de-France et d’Auvergne-Rhône-Alpes figurant parmi celles citées. L’ARS Hauts-de-France a confirmé une atteinte aux données d’identité des patients, tout en précisant qu’aucune donnée de dossier médical n’avait été dérobée et que le fonctionnement des hôpitaux n’avait pas été perturbé.
Les catégories de données rapportées comme exposées comprennent :
- Identité complète (nom, prénom, sexe, date de naissance)
- Numéro de sécurité sociale / identifiants nationaux de santé (NIR / INS)
- Coordonnées et adresses
- Informations administratives de parcours de soins
L’intrusion a d’abord été attribuée à un acteur opérant sous le nom de « Marak », qui présentait au départ la base comme un trophée plutôt qu’une marchandise. Le jeu de données a ensuite refait surface entre les mains du groupe DumpSec, qui l’a proposé à la vente sur des forums cybercriminels, augmentant fortement les risques d’usurpation d’identité et d’hameçonnage ciblé. Les ARS concernées ont lancé des campagnes de notification individuelle des patients (par SMS et e-mail) et l’affaire reste sous enquête.
Sources
- xcancel.comhttps://xcancel.com/_SaxX_/status/1980875468774474221
- hauts-de-france.ars.sante.frhttps://www.hauts-de-france.ars.sante.fr/cyberattaque-menee-contre-les-donnees-didentite-des-patients-des-hopitaux-publics-de-la-region
- solutions-numeriques.comhttps://www.solutions-numeriques.com/cyberattaque-sur-les-agences-regionales-de-sante-35-000-000-de-dossiers-patients-reapparaissent/
- cyberattaque.orghttps://www.cyberattaque.org/cyberattaque-hopitaux-et-aphp-ars/