La semaine du 10 novembre 2025 restera marquée comme l’un des incidents de cybersécurité les plus importants touchant le secteur de la santé en France, après celles menées contre le site Doctolib et le logiciel Mediboard.

Le logiciel Weda, utilisé par 23 000 médecins et structures médicales, a été la cible d’une intrusion informatique qui a forcé l’éditeur à couper brutalement tous les accès, plongeant les cabinets dans une paralysie totale pendant près d’une semaine.

Mais au-delà du chaos opérationnel, c’est surtout le risque d’usurpation d’identité, y compris à partir de données médicales, qui inquiète aujourd’hui patients, professionnels… et autorités.

ID Protect vous informe et revient sur cette attaque en détail pour tout comprendre des possibles menaces et s’en protéger.

Un accès piraté, puis l’escalade : la chronologie d’un incident critique

Le 10 novembre au soir, Weda détecte un pic d’activité anormal sur le compte d’un médecin parti depuis plusieurs mois.
L’intrus utilise alors cet accès pour consulter des dossiers qui ne lui appartiennent pas. Devant la persistance de connexions suspectes sur d’autres comptes, l’entreprise décide une mesure radicale :

➡️ coupure totale du service à 23 h
➡️ audit d’urgence et isolement des systèmes

Comme Weda fonctionne entièrement dans le cloud, des milliers de cabinets se retrouvent :

• incapables d’accéder aux dossiers médicaux,
• privés de prescriptions numériques,
• contraints de repasser au papier,
• parfois obligés de mener des consultations “à l’aveugle”.

La reprise n’intervient que le 14 novembre, et encore en mode dégradé : impossibilité de créer de nouveaux dossiers, facturation manuelle, connectiques inopérantes, fermetures nocturnes obligatoires…

Des données potentiellement consultées… et peut-être extraites

Dans plusieurs courriels adressés à ses clients, Weda reconnaît que « les premières analyses indiquent que les accès malveillants auraient pu permettre une extraction partielle de données ».

Sans confirmation ferme d’une fuite massive, plusieurs éléments montrent que la menace est réelle :

• activité frauduleuse sur plusieurs comptes,
• consultation non autorisée de dossiers,
• perte de confidentialité signalée localement (MSP Saint-Jean-en-Royans),
• absence initiale d’authentification à deux facteurs,
• possibilité d’infostealers ayant compromis des identifiants réutilisés.

La CNIL, l’ANSSI et la justice ont donc été alertées.

Pourquoi cet incident crée un risque majeur d’usurpation d’identité ?

Les logiciels médicaux ne contiennent pas seulement des informations de santé. Ils hébergent souvent :

• identité complète (nom, prénom, date de naissance, adresse, téléphone)
• numéro de sécurité sociale
• données administratives
• historique de soins, pathologies, ordonnances
• informations de contact des proches

Ces éléments, pris ensemble, constituent un trésor pour les cybercriminels, utilisable pour :

✔️ Usurpation d’identité administrative

Ouverture de comptes, contrats télécom, crédits à la consommation frauduleux.

✔️ Fraudes à la carte Vitale / assurance maladie

Déclarations fictives, achats pharmaceutiques au nom d’un tiers.

✔️ Extorsion & chantage

Exploitation de données médicales sensibles dans des tentatives de pression.

✔️ Phishing ultra-personnalisé

Les pirates peuvent cibler les patients avec des messages parfaitement crédibles : ex. mise à jour du DMP (Dossier Médical Partagé), fausse demande de remboursement, etc.

La question explosive : qui doit prévenir les patients ?

Weda a affirmé qu’en tant que sous-traitant, elle ne peut pas informer directement les patients.
Ce sont les médecins qui seraient donc responsables de la notification, y compris de l’envoi à la CNIL dans les 72 h.

Cette position a créé une onde de choc :

• Les praticiens ne savent pas quelles données ont été compromises.
• Ils ne disposent d’aucun outil pour extraire rapidement les contacts des patients.
• Certains cabinets ont été invités… à afficher une note en salle d’attente.

Pour les professionnels comme pour les patients, cette confusion crée un terrain fertile pour :

• des attaques opportunistes (faux messages CNIL, faux avis de sécurité),
• une désinformation qui augmente les risques d’escroquerie.

Un révélateur inquiétant : la fragilité du “tout en ligne” en santé

En réponse à l’incident, les syndicats médicaux sonnent l’alarme sur les menaces dont ils sont l’objet :

• dépendance totale au logiciel SaaS,
• absence de MFA généralisée (Authentification Multi Facteur),
• plans de continuité insuffisants,
• centralisation excessive des données.

Comme le résume un généraliste :

« Pour nous, perdre notre logiciel, c’est comme perdre l’eau et l’électricité avec 15 personnes à dîner. »

Ce que les patients français doivent faire maintenant : se protéger contre l’usurpation d’identité

Même en l’absence de preuve formelle de fuite massive, le risque est réel dès qu’un accès tiers est constaté.
Les recommandations essentielles d’ID Protect face à cette situation sont les suivantes :

1. Surveiller ses identifiants et ses comptes

• Compte Ameli
• Messagerie personnelle
• Espace bancaire
• Documents administratifs

2. Se méfier des emails et SMS se réclamant :

• de Weda
• de la CNIL
• d’un cabinet médical
• d’un organisme d’assurance maladie

3. Ne jamais transmettre :

• code SMS,
• pièce d’identité,
• RIB,
• justificatif de domicile à un contact non vérifié.

Comment ID Protect aide les patients à se prémunir

Une cyberattaque comme celle de Weda montre combien les particuliers manquent d’outils pour détecter rapidement une usurpation d’identité. Les services ID Protect apportent précisément cette couche de sécurité essentielle.

🔍 Surveillance en ligne et dark web

ID Protect vérifie en continu si des données personnelles associées au patient se retrouvent en circulation sur des plateformes frauduleuses.

⚠️ Alertes immédiates en cas de détection suspecte

Si une donnée liée à l’identité apparaît sur un site compromis, l’utilisateur est prévenu avant que les fraudeurs ne l’exploitent.

🛡️ Assistance complète en cas d’usurpation d’identité

En cas de fraude avérée, ID Protect accompagne les victimes :

• constitution du dossier,
• démarches administratives,
• opposition,
• récupération des comptes.

📄 Preuves & attestations utilisables auprès des assurances et autorités

Utile dans le cadre de la CNIL, d’une plainte ou d’une déclaration auprès d’un assureur.

Conclusion : une cyberattaque qui doit servir d’alerte générale

L’incident Weda démontre une nouvelle fois que :

• les systèmes de santé sont des cibles de choix,
• un accès compromis peut suffire à mettre en danger des millions de personnes,
• les données médicales, parce qu’elles sont sensibles et riches, exposent fortement au risque d’usurpation d’identité.

Pour les patients comme pour les soignants, la meilleure défense reste aujourd’hui la surveillance continue de leurs données personnelles et une capacité de réaction rapide — précisément ce que fournit ID Protect.

Dans un écosystème où les incidents se multiplient, anticiper n’est plus une option : c’est une nécessité.

Contactez dès à présent nos services pour plus d’information.