L’éditeur de logiciels de santé YMED, via sa plateforme SOONCARE®, est visé par une cyberattaque revendiquée par le groupe d’extorsion XP95.
Les attaquants affirment avoir exfiltré 132 Go de données, impactant 253 342 patients et plus de 431 000 fichiers médicaux.
La fuite concerne des établissements partenaires comme la Clinique Bordeaux Nord Aquitaine ou l’Institut Bergonié, élargissant fortement le périmètre de l’incident.
Les données compromises incluent des informations personnelles, mais surtout des dossiers patients complets avec comptes-rendus médicaux et imagerie.
Des éléments de messagerie privée et des historiques de rendez-vous sont également concernés, offrant une vision détaillée du parcours de soins des patients.
Le niveau de sensibilité est critique : ces données permettent une identification précise des patients ainsi qu’une exposition directe de leur situation médicale.
YMED confirme l’incident et précise qu’il s’agit d’une attaque par ransomware ayant ciblé le logiciel SOONCARE®, notamment utilisé pour la prise de rendez-vous en ligne.
Le groupe XP95 a réclamé une rançon de 20 000 dollars en bitcoins pour ne pas divulguer les données exfiltrées, confirmant un scénario classique d’extorsion après compromission.
L’entreprise indique qu’aucune preuve d’exploitation frauduleuse des données n’a été constatée à ce stade, mais reconnaît une intrusion avec accès non autorisé à des informations sensibles.
Face à la situation, YMED a décidé de suspendre temporairement certains services afin de contenir l’incident et sécuriser son infrastructure.
La CNIL a été notifiée et les autorités compétentes, ainsi que les forces de l’ordre, sont mobilisées pour enquêter sur les circonstances de l’attaque.
Ce type d’attaque repose généralement sur une compromission initiale (phishing, accès distant ou vulnérabilité logicielle), suivie d’une exfiltration massive de données avant chiffrement des systèmes pour maximiser la pression sur la victime.
Ce nouvel incident s’inscrit dans une vague d’attaques visant la santé, au même titre que des cas récents impliquant des laboratoires ou des plateformes publiques, où les données médicales deviennent des cibles stratégiques en raison de leur forte valeur.
Le risque est majeur : phishing médical ciblé, chantage, usurpation d’identité ou revente sur des forums clandestins. Contrairement aux données classiques, les informations de santé sont durables, difficilement modifiables et particulièrement sensibles.
