La cybersécurité des données de santé revient au cœur du débat politique. Lors d’un échange tendu au Sénat, la sénatrice Union centriste Nathalie Goulet a vivement interpellé la ministre de la Santé Stéphanie Rist au sujet des récentes fuites de données touchant le secteur médical, notamment après les révélations concernant la société Almerys. En dénonçant une situation qu’elle juge incontrôlée, l’élue a accusé l’État d’inaction face à des cyberattaques qui se multiplient depuis plusieurs années.
Au cours de son intervention, Nathalie Goulet a alerté sur “un enjeu majeur” lié à la protection des données sensibles des Français. La sénatrice a évoqué la fuite de données récemment révélée concernant Almerys, société spécialisée dans le traitement des données de santé et des complémentaires médicales.
Le piratage d’Almerys
Le piratage de l’opérateur de tiers-payant Almerys continue de susciter de fortes inquiétudes cinq jours après sa révélation. L’ampleur exacte de la fuite de données reste encore floue, notamment concernant les organismes assureurs réellement touchés.
Selon le site spécialisé FrenchBreaches, le pirate affirme qu’Almerys n’avait toujours pas mis en place de double authentification interne, pourtant considérée comme une mesure de sécurité essentielle pour protéger des données sensibles de santé.
Les données volées proviendraient potentiellement de nombreux acteurs de la complémentaire santé et de l’assurance, mais plusieurs informations restent à confirmer. Certaines entreprises citées ont démenti toute implication, comme Harmonie Mutuelle, qui affirme ne pas utiliser la plateforme d’Almerys. D’autres groupes ont en revanche reconnu que leurs assurés pourraient être concernés par cette fuite, notamment AG2R La Mondiale, Aésio, CNP Assurances, MMJ, Intériale et Alan.
Les investigations se poursuivent afin de déterminer précisément l’étendue de cette nouvelle cyberattaque et le nombre réel d’assurés impactés.
Nathalie Goulet interpelle Stéphanie Rist
Face à cette affaire, la ministre Stéphane Iris a assuré que des investigations étaient toujours en cours afin de déterminer l’origine exacte de la fuite et l’étendue des données potentiellement compromises.
Selon la ministre, cet incident démontre surtout “l’absolue nécessité” de renforcer les dispositifs d’authentification forte sur toutes les plateformes manipulant des données médicales sensibles.
Le gouvernement reconnaît un retard dans la cybersécurité hospitalière
Dans sa réponse, Stéphane Iris a reconnu que les établissements de santé et médico-sociaux souffraient encore d’un retard important en matière de cybersécurité et de numérique.
La ministre a évoqué un “sous-investissement passé dans le numérique”, expliquant que de nombreux hôpitaux et structures médicales restent vulnérables face aux cyberattaques.
Le gouvernement affirme toutefois avoir engagé plusieurs chantiers pour améliorer la sécurité informatique des établissements de santé : déploiement de l’authentification forte ; renforcement des exigences de sécurité dans le cadre du Ségur numérique ; deuxième vague d’installations de dispositifs de sécurisation ; coordination interministérielle autour du pilotage numérique de l’État.
Selon la ministre, les premiers résultats seraient visibles avec “un impact cyber en baisse dans les établissements”, malgré un niveau de menace toujours jugé très élevé.
Nathalie Goulet dénonce “une débandade” de l’État
La réponse gouvernementale n’a cependant pas convaincu la sénatrice centriste. Dans une réplique particulièrement sévère, Nathalie Goulet a rappelé que des enquêtes similaires existaient déjà “il y a deux ans” sans amélioration notable.
“À ce niveau d’incompétence, c’est pratiquement de la complicité”, a-t-elle lancé au Sénat, dénonçant une incapacité persistante de l’État à protéger efficacement les données personnelles des Français.
L’élue a également élargi le débat aux futurs projets de centralisation administrative, notamment le projet d’allocation sociale unifiée et automatique. Selon elle, un tel système pourrait devenir “un aimant à fraudeurs” si les infrastructures numériques de l’État restent aussi vulnérables.
Les données de santé, cible privilégiée des cyberattaques
Les données médicales représentent aujourd’hui l’un des actifs numériques les plus convoités par les cybercriminels. Contrairement à une carte bancaire, une identité médicale complète ne peut pas être changée facilement et possède une forte valeur sur les marchés clandestins.
Depuis plusieurs années, les hôpitaux français sont régulièrement visés par des rançongiciels, des vols de données ou des tentatives d’intrusion informatique. Plusieurs établissements de santé ont déjà subi des paralysies partielles de leurs systèmes informatiques.
La multiplication des plateformes numériques de santé, des complémentaires médicales et des services administratifs dématérialisés augmente également la surface d’attaque potentielle.
Un débat politique appelé à s’intensifier
Cette passe d’armes au Sénat illustre la montée des inquiétudes autour de la souveraineté numérique et de la sécurité des données personnelles en France.
Alors que l’État accélère la numérisation des services publics et de la santé, les oppositions réclament désormais des garanties beaucoup plus fortes sur la cybersécurité des infrastructures nationales.
L’affaire Almerys pourrait ainsi relancer le débat sur la capacité réelle des institutions françaises à protéger les données sensibles des citoyens dans un contexte de menace cyber en constante augmentation. D’autant plus que les derniers modèles d’IA tels que Mythos d’Anthropic sont réputées capables de déjouer la double authentification.
