YMED (SOONCARE) : 253 000 patients exposés, 132 Go de données médicales exfiltrés
Le 6 avril 2026, l’éditeur de logiciels de santé bordelais YMED, qui exploite la plateforme de rendez-vous SOONCARE®, a subi une attaque par extorsion revendiquée par le groupe XP95, qui a exfiltré 132 Go de données concernant 253 342 patients et plus de 431 000 fichiers médicaux.
- Victime
- YMED (SOONCARE)
- données
- 253.3K
Le 6 avril 2026, YMED — éditeur de logiciels de santé basé à Bordeaux, dont la plateforme SOONCARE® gère la prise de rendez-vous en ligne et des dossiers patients pour plusieurs établissements médicaux français — a subi une attaque par extorsion revendiquée par le groupe cybercriminel XP95. YMED étant un prestataire tiers desservant plusieurs cliniques et hôpitaux, des établissements partenaires comme la Clinique Bordeaux Nord Aquitaine et le centre de lutte contre le cancer Institut Bergonié ont été directement touchés.
Les attaquants affirment avoir exfiltré l’intégralité de la base de données patients, soit 132 Go de données portant sur 253 342 patients et plus de 431 000 fichiers médicaux. XP95 a réclamé une rançon d’environ 20 000 dollars en bitcoins pour ne pas divulguer les données dérobées.
Les données exposées comprenaient :
- Données d’identité : nom, prénom, date de naissance, adresse postale, e-mail, téléphone
- Pièces d’identité et attestations d’assurance
- Comptes-rendus médicaux et fichiers d’imagerie
- Contenus de messagerie privée et historiques de rendez-vous
YMED a suspendu une partie de la plateforme SOONCARE® afin de contenir l’incident et sécuriser son infrastructure, a mis hors ligne les serveurs concernés, puis a notifié la CNIL et déposé plainte. L’Institut Bergonié a activé une cellule de crise le 8 avril, mis en place une ligne téléphonique dédiée et conseillé aux patients concernés de modifier leurs mots de passe réutilisés et de rester vigilants face au phishing. Au moment de la divulgation, YMED indiquait n’avoir constaté aucune exploitation frauduleuse des données, bien qu’un accès non autorisé à des informations sensibles ait été confirmé.
Sources
- cyberattaque.orghttps://www.cyberattaque.org/ymed-sooncare-253-000-patients-exposes-132-go-de-donnees-medicales-exfiltres/
- france3-regions.franceinfo.frhttps://france3-regions.franceinfo.fr/nouvelle-aquitaine/gironde/bordeaux/les-donnees-personnelles-et-medicales-de-250-000-personnes-ciblees-par-une-cyberattaque-d-ampleur-3331361.html
- bergonie.frhttps://www.bergonie.fr/mesures-attaque-prestataire/