Une base de données attribuée à Pulsy, le groupement régional de e-santé du Grand Est, est actuellement proposée à la vente sur un forum cybercriminel. L’auteur de la publication affirme détenir près de 5,86 millions d’enregistrements issus d’une plateforme utilisée pour l’échange et la coordination des données de santé entre professionnels et établissements médicaux.
La revendication concerne deux ensembles de données distincts. Le premier contiendrait environ 5,68 millions d’enregistrements pour un volume de 34,9 Go. Un second fichier regrouperait plus de 180 000 entrées supplémentaires. Les échantillons publiés permettent d’observer des informations relatives à des patients identifiés au sein d’un environnement de santé régional.
Pulsy, un acteur central de la e-santé dans le Grand Est
Pulsy est le groupement régional d’appui au développement de la e-santé dans la région Grand Est. La structure accompagne les établissements de santé, les professionnels médicaux, les collectivités et les acteurs médico-sociaux dans la mise en œuvre de services numériques destinés à faciliter la coordination des soins.
Parmi les services opérés figurent notamment des plateformes de partage de documents médicaux, de coordination des parcours de soins, de télésanté ou encore de gestion des identités patients. Le rôle de ce type d’infrastructure est justement de permettre à différents établissements et professionnels de disposer d’une vision cohérente de l’identité d’une même personne au sein de plusieurs systèmes de santé.
Des données personnelles et médicales potentiellement exposées
L’analyse des extraits diffusés montre la présence de nombreuses informations permettant d’identifier directement les personnes concernées.
- nom et prénom ;
- date de naissance ;
- sexe ;
- adresses postales ;
- adresses électroniques ;
- numéros de téléphone ;
- nationalité ;
- identifiants patients internes ;
- statuts de validation de l’identité ;
- références de dossiers et de parcours de soins ;
- identifiants INS dans certains cas ;
- références d’établissements ou de structures de santé.
Les données observées concernent aussi bien des adultes que des mineurs. Plusieurs champs semblent liés à des mécanismes de rapprochement d’identité permettant d’associer une même personne à différents établissements ou systèmes d’information de santé.
Des informations couvrant plusieurs années
La publication a été mise en ligne le 21 juin 2026. Toutefois, les exemples diffusés montrent des traces d’activités remontant à plusieurs années. Certaines références visibles dans les enregistrements semblent avoir été créées ou mises à jour entre 2018 et 2025.
Cette profondeur historique pourrait expliquer le volume particulièrement important revendiqué par le vendeur. Si les chiffres avancés sont exacts, la base couvrirait potentiellement une part significative des patients ayant transité par des structures connectées aux services régionaux de e-santé du Grand Est.
Une compromission qui semble viser un système d’identité patient
À ce stade, aucun élément public ne permet de déterminer avec certitude l’origine de la fuite. Néanmoins, la nature des informations diffusées laisse penser qu’il ne s’agit pas d’un simple annuaire ou d’une liste de contacts.
Les données observées ressemblent davantage à des exports issus d’une plateforme de gestion des identités patients ou d’un système permettant de faire correspondre les dossiers provenant de plusieurs établissements de santé. La présence d’identifiants techniques, de statuts de qualification et de références internes renforce cette hypothèse.
Les cybercriminels n’ont pour l’instant fourni aucune explication sur la manière dont ils auraient obtenu ces informations. L’hypothèse d’un accès à une sauvegarde, à une base de données interne ou à un environnement applicatif reste donc ouverte.
Quels risques pour les personnes concernées ?
Les données de santé figurent parmi les informations les plus sensibles pouvant être exposées lors d’une fuite. Même en l’absence de comptes rendus médicaux détaillés, la simple association entre une identité et un environnement de soins peut représenter un risque important.
Les informations publiées pourraient être exploitées pour mener des campagnes de phishing ciblées, usurper l’identité de patients ou de professionnels de santé, ou encore construire des scénarios d’arnaques particulièrement crédibles en se faisant passer pour un établissement médical, une mutuelle ou un organisme de santé.
La présence de coordonnées complètes facilite également les tentatives de fraude par téléphone, SMS ou courrier électronique. Les acteurs malveillants pourraient notamment utiliser le contexte médical pour gagner la confiance de leurs victimes.
Aucune confirmation publique à ce stade
Au moment de notre publication, aucune communication publique de Pulsy concernant cette revendication n’a été identifiée. Les informations présentées reposent sur les éléments publiés par l’auteur de la vente et sur l’analyse des échantillons mis à disposition.
Comme pour toute revendication publiée sur un forum cybercriminel, les chiffres avancés doivent être considérés avec prudence tant qu’ils n’ont pas fait l’objet d’une confirmation officielle ou d’une analyse technique complète permettant de vérifier l’authenticité et l’étendue réelle des données concernées.