Skip to content

Pulsy Grand Est : 180 750 identités patients extraites via des comptes de soignants compromis

Pulsy confirme 180 750 identités patients extraites après compromission de comptes de professionnels de santé. Un acteur revendique 5,86 millions d'enregistrements. CNIL et CERT Santé notifiés.

Publié le 5 min de lecture

Le 18 juin 2026 à 06h00, le GRADeS Pulsy — l'opérateur régional de e-santé du Grand Est — a détecté un incident de sécurité. Trois jours plus tard, le 21 juin, un acteur malveillant met en vente sur un forum cybercriminel une base attribuée à Pulsy et revendique environ 5,86 millions d'enregistrements pour un volume de 34,9 Go sur le premier fichier. Dans son communiqué officiel, Pulsy confirme l'extraction d'un fichier de 180 750 identités patients à ce stade des investigations. CNIL et CERT Santé ont été notifiés.

Le vecteur, tel que décrit par Pulsy : des comptes légitimes de professionnels de santé ont été compromis, et c'est via ces accès valides que les fichiers ont été extraits. Pas d'intrusion sur le système d'information de Pulsy selon l'organisme — le SI a été utilisé aux droits que les comptes soignants détenaient déjà.

Ce qui est exposé

D'après le communiqué Pulsy, le fichier exfiltré confirmé contient pour 180 750 patients :

  • Nom et prénom, date de naissance, sexe.
  • Adresse postale, adresse électronique, numéro de téléphone.
  • Nationalité.

Pulsy n'a pas confirmé la présence de données médicales dans le lot avéré. La revendication à 5,86 millions faite par l'attaquant sur le forum n'a pas été validée par Pulsy et est à traiter comme non authentifiée en l'état ; FrenchBreaches et Cyberattaque.org, qui ont analysé l'échantillon en ligne, décrivent des enregistrements « particulièrement détaillés » couvrant identification patient et éléments de parcours de soins.

Le triptyque état civil + coordonnées + parcours de soins est le kit d'entrée standard pour du phishing santé ciblé — usurpation de courrier CPAM, faux SMS de rendez-vous, imitations de portails régionaux — et pour de la fraude à l'identité auprès d'un professionnel de santé.

Périmètre technique

Pulsy est le Groupement Régional d'Appui au Développement de la e-Santé pour le Grand Est, l'un des treize GRADeS régionaux financés dans le cadre de la stratégie nationale e-santé. Il exploite les plateformes régionales de partage d'informations médicales entre professionnels et établissements — c'est cette catégorie de service qui est concernée par l'incident. La plateforme touchée n'est pas nommée précisément dans le communiqué du 30 juin, mais les données extraites correspondent au périmètre d'un annuaire patient inter-établissements.

Sur l'origine des comptes compromis, ni Pulsy ni les analyses en source ouverte ne pointent aujourd'hui vers une souche particulière d'infostealer ou une réutilisation de mot de passe précise. La chaîne d'attribution s'arrête pour l'instant à « comptes soignants légitimes utilisés par un tiers ».

Statut de la publication

L'échantillon est en vente, pas (encore) redistribué en clair. C'est la fenêtre habituelle — quelques jours à quelques semaines — pendant laquelle les acheteurs se positionnent avant une éventuelle mise à disposition gratuite. La revendication à 5,86 millions couvrirait, si elle est confirmée, une part significative de la population du Grand Est desservie par les plateformes Pulsy.

Aucun groupe rançongiciel ne s'attribue publiquement l'opération à ce jour, et la vente sur forum sans chiffrement du SI est plus caractéristique d'un opérateur de vol de données pur que d'un affilié rançongiciel.

Que faire

  1. Établissements et cabinets du Grand Est utilisateurs des plateformes Pulsy — auditer les comptes professionnels partagés. Tout compte multi-utilisateurs sur une plateforme régionale Pulsy doit être considéré comme candidat au vecteur. Rotation immédiate des mots de passe, activation MFA si elle ne l'est pas déjà.
  2. Vérifier les journaux de consultation patient depuis mai. Le vecteur étant l'usage de comptes légitimes, il n'y a pas d'IOC réseau exploitable. Le signal exploitable est comportemental : volumes de consultation anormaux, requêtes hors zone géographique de l'établissement, accès en dehors des plages horaires du soignant.
  3. Ne pas attendre une notification individuelle patient pour communiquer. La CNIL exige la notification aux personnes concernées quand le risque est élevé ; l'échelle du fichier et la nature des données (état civil complet + coordonnées) placent l'incident dans ce cas. Anticiper l'information des patients simplifie la gestion des sollicitations.
  4. Alerter les patients sur les campagnes de phishing santé à venir. Les données extraites permettent d'imiter un courrier de rappel de vaccination, un SMS de la CPAM, une invitation à téléconsultation. La CPAM ne demande jamais de coordonnées bancaires par SMS ; c'est le message à faire passer aux patients concernés dans les semaines qui viennent.
  5. Notifier CNIL et ARS si vous constatez un usage anormal d'un compte de votre structure. Un compte soignant utilisé pour exfiltrer relève de l'article 33 RGPD ; l'ARS Grand Est et le CERT Santé sont les points d'entrée pour la remontée.

Le contexte

C'est la troisième fuite majeure du secteur santé en France en moins de trois mois. Nous avons couvert la mise en vente de la base Almerys avec 15,4 millions de NIR le 21 mai, puis la fuite via IDOR de 355 000 dossiers du SSTRN début juin. Almerys était un opérateur de tiers-payant, le SSTRN un service de santé au travail — trois briques distinctes de la chaîne santé, trois vecteurs distincts (achat/vol chez le prestataire, faille applicative IDOR, comptes soignants compromis), une même conclusion : la surface d'attaque du numérique en santé est distribuée sur des dizaines d'opérateurs régionaux et de prestataires spécialisés, chacun tenant un morceau de dossier patient, et les défenses varient énormément d'un opérateur à l'autre.

Le vecteur Pulsy — comptes légitimes détournés, pas de vulnérabilité applicative — est aussi le plus difficile à corriger structurellement. Il implique de sortir des mesures purement techniques (patch, WAF, segmentation) pour attaquer la surface humaine : politique de mot de passe, MFA obligatoire sur les comptes professionnels multi-établissements, journalisation exploitable, détection comportementale. Ce sont exactement les recommandations que la CNIL a rappelées en mars dans sa consultation sur les dossiers patients informatisés. L'incident Pulsy est un cas d'école de ce que la consultation cherche précisément à empêcher.

Articles liés