L’AP-HP face à une cyberattaque : 1,2 million de dossiers médicaux menacés

Les institutions publiques françaises sont dans la tourmente. Après la Caisse d’allocations familiales, c’est au tour de l’Assistance Publique-Hôpitaux de Paris (AP-HP) d’être la cible d’une cyberattaque majeure. Les hackers, dont l’identité reste inconnue, affirment détenir 1,2 million de dossiers médicaux de patients et ont lancé un ultimatum de 12 jours à l’établissement hospitalier pour examiner la situation et entamer des négociations. À défaut d’accord, ils menacent de publier 100 000 dossiers par jour, exposant ainsi des données médicales sensibles de centaines de milliers de Français.

Une menace sans précédent pour les données de santé

L’ampleur de cette cyberattaque place l’AP-HP, premier centre hospitalier universitaire d’Europe, dans une situation critique. Avec 1,2 million de dossiers prétendument compromis, ce sont potentiellement des informations hautement confidentielles qui risquent d’être exposées : antécédents médicaux, diagnostics, traitements en cours, résultats d’examens, et données personnelles des patients. La menace de publication progressive, à raison de 100 000 dossiers quotidiens, témoigne d’une stratégie de pression calculée visant à forcer l’établissement à céder aux exigences des cybercriminels.

Cette attaque intervient dans un contexte où les établissements de santé français sont déjà sous tension. Comme le soulignait récemment Le Monde concernant les CAF, les institutions publiques font face à des défis multiples, entre précarité croissante et nécessité de modernisation numérique. La vulnérabilité des systèmes informatiques s’ajoute désormais à ces difficultés structurelles.

La CAF déjà touchée : un scénario qui se répète

L’attaque contre l’AP-HP n’est pas un cas isolé. La Caisse d’allocations familiales a récemment été victime d’une cyberattaque similaire, révélant une vulnérabilité systémique des infrastructures numériques des services publics français. Les CAF, qui couvrent selon L’Indépendant jusqu’à 50% de la population dans certains départements comme les Pyrénées-Orientales, gèrent des données sensibles concernant 13,5 millions de foyers français.

Pierre-Marc Boistard, directeur de la CAF des Pyrénées-Orientales, expliquait en juin 2025 que « le contexte de précarité s’accentue » et que « cette précarité entraîne un renforcement de la complexité des situations des allocataires, et par conséquent des dossiers traités par la CAF ». Cette complexité croissante s’accompagne d’une numérisation accélérée des services, créant de nouvelles failles potentielles pour les cybercriminels.

Des infrastructures publiques insuffisamment protégées

La multiplication des cyberattaques contre les institutions publiques françaises interroge sur le niveau de protection des systèmes informatiques. Selon les informations disponibles, les hôpitaux et organismes sociaux ont massivement numérisé leurs données ces dernières années sans toujours disposer des moyens de cybersécurité adéquats. L’AP-HP, qui gère 39 hôpitaux en Île-de-France et emploie près de 100 000 personnes, constitue une cible de choix pour les cybercriminels en raison de la sensibilité extrême des données médicales qu’elle détient.

Les experts en cybersécurité alertent depuis plusieurs années sur la vulnérabilité du secteur de la santé. Les établissements hospitaliers, souvent équipés de systèmes informatiques vieillissants et disposant de budgets limités pour la sécurité numérique, peinent à faire face aux menaces toujours plus sophistiquées. La stratégie des hackers, qui consiste à voler des données puis à menacer de les publier pour obtenir une rançon, s’est généralisée ces dernières années.

Un ultimatum de 12 jours pour négocier

Le compte à rebours est lancé pour l’AP-HP. Les cybercriminels ont accordé 12 jours à l’établissement pour « examiner la situation et négocier », selon les termes de leur ultimatum. Cette période correspond généralement au temps nécessaire pour qu’une organisation évalue l’ampleur des dégâts, mobilise ses équipes techniques et juridiques, et décide d’une stratégie de réponse. Les autorités recommandent généralement de ne pas céder aux demandes de rançon, mais la pression est immense lorsque des données aussi sensibles que des dossiers médicaux sont en jeu.

« La menace de publication progressive, à raison de 100 000 dossiers par jour, constitue une forme de torture psychologique visant à maximiser la pression sur l’établissement et ses patients », selon les experts en cybersécurité.

L’AP-HP n’a pour l’instant pas communiqué officiellement sur cette attaque. Le silence des autorités, fréquent dans ce type de situation, vise généralement à ne pas donner davantage de visibilité aux cybercriminels et à se donner le temps d’évaluer précisément la situation. Néanmoins, si les faits se confirment, l’établissement devra rapidement informer les patients concernés et les autorités compétentes, conformément au Règlement général sur la protection des données (RGPD).

Les conséquences pour les patients et le système de santé

Au-delà de l’atteinte à la vie privée des patients, cette cyberattaque pourrait avoir des répercussions majeures sur le fonctionnement même de l’AP-HP. Si les systèmes informatiques sont compromis, c’est l’ensemble de la chaîne de soins qui pourrait être perturbée : accès aux dossiers médicaux, prescriptions, résultats d’examens, planification des interventions chirurgicales. Les établissements de santé victimes de cyberattaques ont parfois dû fonctionner en mode dégradé pendant plusieurs semaines, avec un retour au papier et des reports d’interventions non urgentes.

Pour les 1,2 million de patients dont les dossiers seraient compromis, les conséquences peuvent être graves : usurpation d’identité, chantage, discrimination par des assurances ou employeurs sur la base d’informations médicales divulguées. La publication de données de santé constitue une violation particulièrement grave de l’intimité, révélant potentiellement des pathologies, des traitements psychiatriques, des addictions ou d’autres informations que les patients souhaitent légitimement garder confidentielles.

Cette attaque contre l’AP-HP, si elle se confirme, marque un tournant dans la série de cyberattaques visant les institutions publiques françaises. Elle pose avec acuité la question des moyens alloués à la cybersécurité dans les services publics et de la capacité de l’État à protéger les données sensibles de millions de citoyens. Dans un contexte où la numérisation s’accélère, comme l’illustre la modernisation des services de la CAF évoquée par RTL, la sécurisation des infrastructures numériques apparaît comme un enjeu majeur de souveraineté et de protection des citoyens. Les 12 prochains jours seront déterminants pour l’AP-HP et pourraient définir la stratégie française face à ces nouvelles formes de criminalité numérique.