Skip to content
RançongicielContenu

YMED (SOONCARE) : 253 000 patients exposés, 132 Go de données médicales exfiltrés

Le 6 avril 2026, l’éditeur de logiciels de santé bordelais YMED, qui exploite la plateforme de rendez-vous SOONCARE®, a subi une attaque par extorsion revendiquée par le groupe XP95, qui a exfiltré 132 Go de données concernant 253 342 patients et plus de 431 000 fichiers médicaux.

Victime
YMED (SOONCARE)
données
253.3K

Le 6 avril 2026, YMED — éditeur de logiciels de santé basé à Bordeaux, dont la plateforme SOONCARE® gère la prise de rendez-vous en ligne et des dossiers patients pour plusieurs établissements médicaux français — a subi une attaque par extorsion revendiquée par le groupe cybercriminel XP95. YMED étant un prestataire tiers desservant plusieurs cliniques et hôpitaux, des établissements partenaires comme la Clinique Bordeaux Nord Aquitaine et le centre de lutte contre le cancer Institut Bergonié ont été directement touchés.

Les attaquants affirment avoir exfiltré l’intégralité de la base de données patients, soit 132 Go de données portant sur 253 342 patients et plus de 431 000 fichiers médicaux. XP95 a réclamé une rançon d’environ 20 000 dollars en bitcoins pour ne pas divulguer les données dérobées.

Les données exposées comprenaient :

  • Données d’identité : nom, prénom, date de naissance, adresse postale, e-mail, téléphone
  • Pièces d’identité et attestations d’assurance
  • Comptes-rendus médicaux et fichiers d’imagerie
  • Contenus de messagerie privée et historiques de rendez-vous

YMED a suspendu une partie de la plateforme SOONCARE® afin de contenir l’incident et sécuriser son infrastructure, a mis hors ligne les serveurs concernés, puis a notifié la CNIL et déposé plainte. L’Institut Bergonié a activé une cellule de crise le 8 avril, mis en place une ligne téléphonique dédiée et conseillé aux patients concernés de modifier leurs mots de passe réutilisés et de rester vigilants face au phishing. Au moment de la divulgation, YMED indiquait n’avoir constaté aucune exploitation frauduleuse des données, bien qu’un accès non autorisé à des informations sensibles ait été confirmé.

Sources

  1. cyberattaque.orghttps://www.cyberattaque.org/ymed-sooncare-253-000-patients-exposes-132-go-de-donnees-medicales-exfiltres/
  2. france3-regions.franceinfo.frhttps://france3-regions.franceinfo.fr/nouvelle-aquitaine/gironde/bordeaux/les-donnees-personnelles-et-medicales-de-250-000-personnes-ciblees-par-une-cyberattaque-d-ampleur-3331361.html
  3. bergonie.frhttps://www.bergonie.fr/mesures-attaque-prestataire/

Incidents liés

RançongicielEn cours

Fuite chez Résidence du Parc (Champdeniers-Saint-Denis)

En décembre 2025, l'EHPAD Résidence du Parc à Champdeniers-Saint-Denis (Deux-Sèvres), qui héberge environ 90 résidents, a été frappé par un rançongiciel ayant chiffré des fichiers et déposé une demande de rançon de 5 millions de dollars ; des données administratives et possiblement des pièces d'identité numérisées ont été exposées.

Victim
Résidence du Parc (Champdeniers-Saint-Denis)
RançongicielEn cours

Fuite chez Centre hospitalier intercommunal de Haute-Comté

Le 19 octobre 2025, le Centre Hospitalier Intercommunal de Haute-Comté à Pontarlier (France) a subi une attaque par rançongiciel de type Cryptolocker chiffrant une partie de ses données, l'obligeant à couper tout son système informatique et à revenir au papier ; les pirates ont réclamé 5 millions d'euros de rançon.

Victim
Centre hospitalier intercommunal de Haute-Comté
RançongicielContenu

Cherry Health révèle une fuite de données après une panne attribuée à un rançongiciel

Cherry Health, le plus grand centre de santé fédéral agréé du Michigan, a publié le 18 juin 2026 un avis préliminaire de violation après qu'une activité réseau suspecte détectée en avril a provoqué une panne de plusieurs jours et la copie de données de patients et de personnel, dont des numéros de sécurité sociale.

Victim
Cherry Health