Fuites de données dans le secteur de la santé : comprendre pour mieux réagir

Au cours des derniers mois, les acteurs du secteur santé, établissements hospitaliers, ARS, GRADeS et structures médico‑sociales, ont été confrontés à une multiplication d’annonces de fuites de données présentées comme des compromissions majeures. Pourtant, nombre de ces publications reposent sur un mélange de fragments anciens, issus d’incidents passés, de scrapping¹ ou encore de failles applicatives comme les IDOR². Dans ce contexte, distinguer une véritable compromission d’une fuite recomposée devient essentiel pour éviter l’amplification médiatique et protéger efficacement les professionnels comme les patients.

L’examen des différents épisodes récents montre que les expositions de données touchant le secteur de la santé doivent être comprises comme les manifestations d’un écosystème de diffusion, plutôt que comme une série de compromissions distinctes. Derrière chaque annonce, on retrouve des logiques récurrentes : la réutilisation de données anciennes, leur recomposition avec des fragments hétérogènes collectés via scrapping¹ ou récupérés lors d’incidents antérieurs, l’exploitation de vulnérabilités simples comme les IDOR², ou encore la diffusion volontairement amplifiée sur des canaux sociaux ou criminels. C’est cette dynamique globale, plus que les cas individuels, qui permet de comprendre la situation actuelle.

Ainsi, lorsqu’un ensemble de données administratives liées à Normand’e‑Santé a refait surface en ligne en 2025, avant de conduire à la notification de plus de 1 100 agents hospitaliers début 2026, rien n’indiquait qu’une nouvelle compromission était en cours. Les informations, strictement administratives, semblaient plutôt provenir d’un incident passé, ré-exploitées sans transparence et diffusées par un canal non identifié. Pourtant, leur réapparition a suffi à déclencher des campagnes de fraude ciblée, certains messages usurpant l’identité de cadres hospitaliers pour obtenir des accès ou des informations sensibles. Ce type de réexposition illustre parfaitement comment une fuite, même ancienne, peut générer un risque opérationnel immédiat, surtout dans un contexte où les attaquants connaissent bien les usages internes des établissements de santé.

À l’inverse, d’autres événements montrent comment une faille récente peut être utilisée pour alimenter des fuites composites. L’épisode URSSAF/ACOSS en est un exemple frappant : une exploitation de vulnérabilité IDOR², suivie de phases de scrapping répétées, a permis d’extraire certaines données, mais celles‑ci ont ensuite été mélangées avec des fragments d’un leak datant de 2024 avant d’être proposées à la vente sur Discord et Telegram. Bien que les éléments divulgués ne contenaient pas, pris isolément, d’informations financières sensibles ni de signaux d’alerte de sécurité immédiats, leur réutilisation et surtout leur recoupement avec d’autres jeux de données compromis ont constitué un levier d’attaque significatif. La recombinaison de ces informations a permis de bâtir des scénarios de phishing ciblé, notamment des attaques de type « faux conseiller », parfois orientées vers des agents hospitaliers ou exploitant des chaînes d’accès partagées avec le secteur de la santé.

La gravité de la compromission ne résidait donc pas tant dans la nature technique des données exposées que dans leur enrichissement contextuel et la manière dont elles pouvaient être corrélées. Ce croisement de fuites complémentaires a accru la crédibilité des messages frauduleux et élargi le périmètre d’impact, démontrant qu’une information apparemment anodine peut, une fois agrégée, servir de base à des attaques de plus grande ampleur.

Ici encore, la portée réelle de la compromission n’était pas tant technique qu’amplifiée par la manière dont les données étaient présentées et enrichies.

Parallèlement, les campagnes documentées par le CERT‑FR sur la période du 30 janvier au 17 février 2026 montrent que l’IA générative joue désormais un rôle déterminant dans l’industrialisation de l’ingénierie sociale. À partir de données issues de fuites réelles ou recomposées, les attaquants parviennent à produire des messages ciblés d’une qualité élevée, adaptés au fonctionnement interne des hôpitaux et reprenant des éléments plausibles de leurs interactions professionnelles. Dans ce contexte, même une fuite recomposée peut devenir un matériau utile pour des campagnes très convaincantes, ce qui contribue à brouiller davantage la frontière entre incident réel et réexposition opportuniste.

Parce qu’elles manipulent des données sensibles et reposent sur des chaînes de confiance complexes, les organisations de santé sont particulièrement exposées à un risque plus important. Les fuites de données entraînent quasi systématiquement une augmentation des tentatives de phishing ciblé et des phénomènes d’usurpation d’identités professionnelles. Ces informations sont notamment utilisées pour des tentatives d’accès frauduleux à des portails existants tels qu’AMELI Pro, mais également pour préparer ou crédibiliser des attaques visant d’autres environnements professionnels, comme les plateformes médico‑sociales.

En définitive, l’ensemble des incidents étudiés montre à quel point il est essentiel de replacer chaque publication de données dans son véritable contexte. Les fichiers diffusés en ligne ne constituent pas toujours la preuve d’une compromission active : bien souvent, ils résultent d’un réemploi d’informations plus anciennes, déjà compromises lors d’événements précédents. Dans d’autres cas, les attaquants procèdent à une compilation hétérogène, mêlant données authentiques, éléments erronés ou obsolètes, voire informations inventées de toutes pièces, dans le but de donner l’illusion d’une fuite massive et récente. Ce phénomène a été observé à plusieurs reprises, aussi bien dans les publications administratives liées au secteur santé que dans les fuites sociales comme celles de l’URSSAF/ACOSS, qui combinaient fragments réels et ancien leak de 2024.

Comprendre cette mécanique est fondamental : tout ce qui est exposé n’est pas nécessairement compromis, et toute fuite apparente n’est pas le signe d’une intrusion en cours. Dans bien des situations, la menace réside moins dans la compromission technique que dans l’interprétation hâtive des données publiées, susceptible d’amplifier artificiellement l’impact d’un incident. C’est pourquoi chaque organisation du secteur santé doit systématiquement privilégier la qualification, la vérification de l’origine des données, et une communication précise et proportionnée, afin d’éviter que des publications trompeuses ne viennent perturber inutilement leurs activités et fragiliser la confiance de leurs usagers.

¹ Scrapping : collecte automatisée de données publiques.
² IDOR (Insecure direct object reference) : faille permettant d’accéder à des données en modifiant un identifiant.