ARS & AP-HP : 35 millions de dossiers patients revendiqués par DumpSec

Synthèse de l'incident

Début avril 2026, le groupe DumpSec a revendiqué la compromission de 35 millions de dossiers patients issus du système de santé français. L'attaque cible les Agences Régionales de Santé (ARS) et l'Assistance Publique - Hôpitaux de Paris (AP-HP), impliquant plus de 130 établissements hospitaliers.

Si la revendication se confirme, il s'agirait de la plus grande fuite de données de santé jamais enregistrée en France, dépassant largement l'incident AMETRA de 2024 (33 millions d'assurés).

35 millions de dossiers patients. C'est plus de la moitié de la population française. Les données de santé sont les plus sensibles et les plus recherchées sur le marché noir.

Périmètre de la compromission

Établissements concernés

La revendication de DumpSec mentionne un périmètre étendu couvrant plusieurs régions :

• AP-HP : le plus grand centre hospitalier universitaire d'Europe, avec 39 hôpitaux en Île-de-France
• ARS Hauts-de-France : établissements hospitaliers de la région
• ARS Normandie : CHU et centres hospitaliers régionaux
• ARS Pays de la Loire : établissements de soins de la région
• Total : plus de 130 établissements hospitaliers potentiellement affectés

Données exposées

Les échantillons publiés par DumpSec suggèrent un accès à des données extrêmement sensibles :

• Identité complète : nom, prénom, date de naissance, adresse postale
• Numéro de Sécurité sociale (NIR) : identifiant unique permettant l'usurpation d'identité
• Adresses email et numéros de téléphone
• Parcours de soins : hospitalisations, consultations, diagnostics, traitements
• Données médicales : pathologies, résultats d'examens, prescriptions

DumpSec : un groupe spécialisé dans les données de santé

Profil du groupe

DumpSec est un groupe relativement récent sur la scène cybercriminelle, spécialisé dans l'exfiltration et la revente de bases de données. Contrairement aux groupes de ransomware qui chiffrent les systèmes, DumpSec se concentre exclusivement sur le vol de données et leur monétisation via la revente sur les forums spécialisés.

Pourquoi les données de santé ?

Les données médicales sont les plus valorisées sur le dark web — jusqu'à 10 fois plus que les données bancaires. Plusieurs raisons expliquent cette prime :

• Pérennité : contrairement à un numéro de carte bancaire, un NIR ou un diagnostic médical ne peut pas être « annulé »
• Exploitation multiple : usurpation d'identité, fraude à l'assurance, chantage, ingénierie sociale ciblée
• Valeur émotionnelle : la menace de révéler des pathologies (psychiatrie, addictions, IST) constitue un levier de pression considérable

Impact sur les patients

Risques immédiats

Pour les 35 millions de patients potentiellement concernés, les risques sont multiples et durables :

• Usurpation d'identité : le NIR combiné aux données d'état civil permet la création de faux documents, l'ouverture de comptes bancaires frauduleux
• Phishing ciblé : des campagnes de phishing mentionnant des hospitalisations réelles ou des traitements en cours sont particulièrement crédibles
• Chantage : la révélation de pathologies sensibles (santé mentale, maladies chroniques) peut être utilisée comme levier de pression
• Fraude à l'assurance : les données médicales détaillées permettent la souscription frauduleuse de contrats

Un impact qui dure des années

Contrairement aux données bancaires qui peuvent être renouvelées, les données de santé sont permanentes. Un diagnostic, un parcours de soins, un NIR ne changent pas. Les personnes concernées devront rester vigilantes pendant des années face aux tentatives d'exploitation.

Le système de santé français : une cible chronique

L'incident s'inscrit dans une série d'attaques contre le système de santé français qui ne cesse de s'allonger :

• 2022 : CHU de Corbeil-Essonnes (ransomware LockBit)
• 2023 : CHU de Rennes (exfiltration de données patients)
• 2024 : AMETRA / Viamedis (33 millions de numéros de Sécurité sociale)
• 2026 : ARS / AP-HP (35 millions de dossiers patients revendiqués)

Cette escalade révèle un problème structurel : le système de santé français combine des volumes massifs de données sensibles avec des moyens de sécurité souvent insuffisants, créant un déséquilibre qui attire les attaquants.

Recommandations

Pour les établissements de santé

• Chiffrement des données au repos : les bases de données patients doivent être chiffrées avec des clés gérées indépendamment. Même en cas d'exfiltration, les données restent illisibles
• Segmentation réseau : isoler les systèmes contenant des données patients du reste de l'infrastructure. Un accès compromis ne doit pas donner accès à l'ensemble des dossiers
• Surveillance des accès : journaliser et alerter sur les accès massifs aux bases de données patients. L'extraction de 35 millions de dossiers génère un volume de requêtes anormal qui doit être détecté
• Audits réguliers : tests d'intrusion annuels et audits de conformité HDS (Hébergement de Données de Santé)

Pour les patients concernés

• Vigilance sur les communications : ne jamais cliquer sur un lien reçu par email ou SMS mentionnant un rendez-vous médical ou un résultat d'examen sans vérification
• Surveillance du NIR : vérifier régulièrement les activités liées à votre numéro de Sécurité sociale sur ameli.fr
• Dépôt de plainte : en cas d'utilisation frauduleuse de vos données, déposer plainte et signaler à la CNIL

Enseignements clés

La revendication de DumpSec, si elle se confirme, représente un séisme pour le système de santé français. 35 millions de dossiers patients, c'est plus de la moitié de la population. L'ampleur de la fuite pose la question de la capacité du système à protéger les données les plus intimes de ses citoyens.

L'incident doit accélérer la mise en conformité des établissements de santé avec les exigences de sécurité, notamment dans le cadre de NIS 2 qui inclut désormais explicitement le secteur hospitalier dans son périmètre.

Les données de santé sont irréversibles. On peut changer un mot de passe, révoquer une carte bancaire. On ne peut pas changer son historique médical.

Sources

• DumpSec — Revendication et échantillons publiés (avril 2026)
• CERT-FR / ANSSI — Alerte sur la compromission d'établissements de santé
• AP-HP — Communiqué sur l'incident de sécurité
• CNIL — Recommandations aux personnes concernées