Weda : une cyberattaque et une semaine de galère pour 23 000 médecins
Health Data leak
L'éditeur du logiciel médical Weda et filiale du groupe de santé Vidal a subi une cyberattaque la semaine dernière. Les 23 000 médecins et structures médicales clients n'ont pas pu accéder aux données de leurs patients pendant plusieurs jours. De nombreuses questions restent en suspens, relatives à la responsabilité d'informer les patients ou à la nature des informations potentiellement dérobées.
Depuis lundi 10 novembre, des milliers de praticiens de santé ont été touchés par les conséquences d'une cyberattaque contre l'éditeur du logiciel médical Weda, une filiale du groupe de santé Vidal depuis 2019.
Weda affiche plus de 23 000 utilisateurs, professionnels de santé sur son site internet. Mais l'accès au service a été coupé par l'entreprise le lundi 10 novembre à 23 h avant l'envoi mercredi 12 novembre d'un message à ses clients indiquant que ses « équipes ont détecté une activité inhabituelle sur certains comptes utilisateurs, laissant penser à des tentatives d’accès non autorisés », a appris le Mag IT.
Weda expliquait dans ce message que « depuis cette décision, [ses] équipes techniques et de cybersécurité travaillent sans relâche, en collaboration avec des experts externes, pour renforcer les mesures de protection ».
Toujours dans ce message daté de lundi dernier, elle annonçait à ses clients que « les premières analyses indiquent que les accès malveillants auraient pu permettre une extraction partielle de données, mais ni l’ampleur ni la confirmation formelle d'une fuite de données ne sont encore établies ». Elle ajoutait que « la faille d'accès est fermée et aucune nouvelle activité suspecte n’a été détectée ».
Plusieurs jours sans accès aux dossiers patients
Si Weda leur a envoyé plusieurs emails pour les tenir au courant de la situation, ses clients ont quand même dû attendre plusieurs jours pour avoir de nouveau accès au service. Jusqu'à vendredi 14 novembre, les médecins qui utilisent quotidiennement le service de l'entreprise pour gérer notamment les dossiers de leurs patients ne pouvaient plus s'y connecter.
Mercredi, l'entreprise a communiqué sur l'éventualité du retour de la plateforme sous un mode dégradé avec un accès à certaines fonctionnalités comme la consultation des dossiers de patients ou la gestion de leur agenda mais sans la création d’un nouveau dossier patient, ni la télétransmission des feuilles de soin à la sécurité sociale, ni le service d'ordonnance numérique ou encore la gestion des connectiques (ex: scanner, matériel ECG, etc.).
Finalement, cet accès en mode dégradé a été mis en place vendredi matin, selon Le Figaro, mais de nombreux témoignages sur les réseaux sociaux montraient que les médecins avaient toujours des difficultés à se connecter à Weda ce week-end.
Ainsi, le médecin Jean-Jacques Fraslin jugeait que « le logiciel WEDA reste convalescent » en joignant samedi une capture d'écran d'un message de Weda informant ses utilisateurs d'une fermeture nocturne de la plateforme « chaque nuit de 22 h à 7 h, du vendredi soir au lundi matin ».
Concrètement, la semaine dernière a été compliquée pour certains médecins, comme l'explique la Fédération des médecins de France : « les médecins utilisateurs de WEDA sont revenus au crayon et au papier, sans possibilité de consulter le moindre dossier médical partagé, ni le moindre dossier individuel ».
« On ne peut plus rien faire en ligne, on doit tout faire par papier. Nous n’avons plus accès aux antécédents des patients ni à leur dossier médical », confiait un médecin eurois à Paris-Normandie, ajoutant : « C’est plus qu’un handicap, ça fout en l’air nos journées ». Son confrère Philippe Boutin détaille au Figaro : « Ce n’est pas confortable de soigner les patients à l’aveugle, sans visibilité sur les prises de sang, les antécédents médicaux, les examens complémentaires » et explique avoir utilisé des « moyens un peu détournés, comme aller sur le site d’Ameli [le site de l’Assurance maladie en ligne, NDLR] pour consulter l’historique des remboursements et avoir une idée des dosages et traitements particuliers ».
Alors que le Sénat se prépare à examiner le projet de loi de financement de la Sécurité sociale (PLFSS 2026), dont l'article 31 prévoit de rendre obligatoire la consultation et l’alimentation du dossier médical partagé (DMP), le syndicat des médecins généralistes veut quant à lui tirer la sonnette d'alarme. « Au-delà du désagrément majeur impactant la pratique, cet incident illustre la dépendance et la fragilité de systèmes d’information en santé "tout en ligne". Pendant que les médecins sont empêchés de travailler, les parlementaires choisissent ce moment pour rendre obligatoire l’usage du DMP et prévoir des sanctions pour ceux qui ne l’utiliseraient pas ! », s'insurge ce dernier.
Une information aux patients à faire par les médecins ?
Mais un nouveau message de Weda envoyé vendredi 14 novembre vers 11 h a fait bondir plusieurs médecins. En effet, en cette fin de semaine mouvementée, l'entreprise a expliqué à ses clients qu'ils devraient eux-mêmes compléter une « déclaration de violation de données auprès de la CNIL ».
L'entreprise ajoutait que « la première communication faisant état d’une violation de données est datée du mercredi 12 novembre à 01h00. En conséquence, le délai réglementaire de notification de 72 heures court jusqu’au samedi 15 novembre à 01h00. WEDA est déjà en contact avec les autorités, qui sont bien conscientes de la difficulté de recueillir toutes les informations dans ce délai ».
Weda semble considérer que ce sont ses clients, les médecins utilisateurs de son service, qui sont responsables du traitement des données des patients et que c'est donc à eux de notifier aux personnes concernées. Comme le rappelle la CNIL, cette notification doit « a minima contenir » les éléments suivants :
- « la nature de la violation ;
- les conséquences probables de la violation ;
- les coordonnées de la personne à contacter (DPO ou autre) ;
- les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation. »
« Mais on ne sait même pas quelles données ont été violées ! » explique Pierre Bidaut, médecin généraliste en maison de santé à Gien au Figaro.
Se pose aussi la question de l'outil par lequel informer les patients, comme le notait vendredi soir Jean-Jacques Fraslin sur X : « À supposer que l’adresse mail soit renseignée dans la partie administrative du dossier médical, il faudrait que WEDA fournisse une routine permettant de les compiler afin de permettre à ses utilisateurs d’envoyer un mail groupé à tous ». L'entreprise aurait suggéré à une secrétaire médicale, dans un premier temps, un affichage en salle d'attente.
Contactée par Next, Weda n'a pas encore répondu à notre sollicitation. Nous ne manquerons pas de mettre à jour cet article si l'entreprise nous fournit plus d'explications.
Commentaires (36)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 17/11/2025 à 15h57
Modifié le 17/11/2025 à 16h03
Et la CNIL ne va probablement pas apprécier de recevoir 23000 déclarations pour un même incident ...
Le 17/11/2025 à 16h03
Modifié le 17/11/2025 à 16h12
Et j'imagine que les patients ne sont jamais informés que leurs données se balladent chez un tiers ...
Le 18/11/2025 à 14h35
Le 19/11/2025 à 17h25
Le 20/11/2025 à 09h45
Le 20/11/2025 à 10h39
Le 20/11/2025 à 10h57
Le 17/11/2025 à 16h01
Son effort de déposer les informations médicales lui on en partie sauvé la mise.
Que des médecins déclarent "travailler à l'aveugle" montre l'impréparation du monde de la santé au Numérique et les carences de l'Agence du numérique en Santé, des ARS, des Ordres, des syndicats à accompagner les soignants.
À mon humble niveau, nous avons incité nos patients sous AVK ou Clozapine à présenter leur CNI au laboratoire pour que les bio partent directement dans le DMP. C'est pour éviter des paniques de biologies bizarres le samedi quand le généraliste est en repos.
Le 17/11/2025 à 16h04
En échangeant avec les dits services, ils (médecins et secrétaires) ignorent tout du portail DMP.fr ou de la e-CPS.
Moi qui pensait que le COVID avait contraint à une certaine connaissance des outils numériques.
Le 17/11/2025 à 16h01
Mais on peut mieux faire pour la communication. Ca montre bien la difficulté à passer au tout numérique. Les évènements récents nous l'ont encore montré : Personne (aussi gros soit-il) n'est à l'abri d'une panne ou d'une compromission. Et les PCA devraient être un peu mieux bossés !
Le 17/11/2025 à 16h09
"Données personnelles potentiellement concernées :
• Votre nom
• Votre prénom
• Votre adresse email
• Votre numéro de téléphone
• Votre adresse postale
• Certaines de vos données de santé potentiellement impactées par l’incident
"
faudrait que je lui demande ce qu'elle a pu enregistrer comme autre donnée...
Modifié le 17/11/2025 à 16h25
Ainsi, si toutes les données ne sont pas connues dans les 72h (nb de patients, est-ce qu'il y a eu extraction, les données concernées, etc.) ce n'est pas "grave" : le responsable de traitement devra simplement compléter ultérieurement la déclaration initiale dans les meilleurs délais.
La déclaration initiale doit surtout contenir la date à laquelle la violation a été détectée.
C'est la déclaration finale qui devra contenir toutes les informations.
Quand à savoir qui est responsable de traitement, la solution est "simple" du point de vue du RGPD : c'est celui qui décide de la finalité des traitements. En l'occurrence, la solution de Weda semble être simplement un logiciel, et le responsable de traitement est donc celui qui décide de l'utiliser... donc le médecin !
Ou sinon, les deux sont co-responsables de traitements (dans le cas où le logiciel effectuerait des traitements non décidés par le médecin).
Par contre, cela ne signifie pas que Weda n'ait pas a minima un devoir moral dans l'accompagnement. Et potentiellement contractuellement.
Rappelons aussi qu'une violation au sens RGPD du terme, ce n'est pas qu'un accès frauduleux aux données. Cela concerne la perte de données, l'accès à des données normalement non autorisés (problème de droits), des altérations, etc.
[edit] je précise : j'ai déjà fais quelques déclarations de violation de données (3 au total).
Le 17/11/2025 à 17h21
Le 17/11/2025 à 17h31
On peut trouver cela rude, mais c'est ainsi.
Le 17/11/2025 à 17h40
Le 17/11/2025 à 17h41
Modifié le 17/11/2025 à 17h02
=> oula non.
en pratique coupure des services lundi soir 10 novembre (veille de jour férié) suite détection d’une activité anormale sur un puis plusieurs comptes.
restauration partielle du service à partir de jeudi 13 novembre (une poignée d’utilisateurs) puis nationale à partir de vendredi.
on n’est pas à une semaine d’interruption mais seulement deux jours ouvrés... y’a quand même une différence.
après le service est actuellement toujours dégradé, et même mon extension en fait les frais (ils ont coupé très franchement dans tout ce qui n’était pas indispensable), par exemple pas d’ordonnances numériques ou d’accès intégré au DMP.
Le 17/11/2025 à 19h31
Le 17/11/2025 à 17h33
Le mail de vendredi 15h disant qu’il nous fallait faire la déclaration CNIL avant 1h était le pompom…
Je veux bien être responsable de l’envoi, mais techniquement je n’ai pas la compétence/le temps d’apprendre à extraire les données et envoyer 25000 mails en une fois. Encore moins dans ce contexte où rien ne marche et les consultations prennent plus de temps que d’habitude.
Heureusement les agendas madeformed et doctolib sont en train de proposer des solutions techniques, ce que Weda aurait dû faire.
Là ils se contentent de sortir le parapluie en mettant tout sur le dos leurs clients : les médecins
Le 17/11/2025 à 17h40
Et cela ne concerne bien évidemment que les patients qui seraient impactés par la fuite.
Maintenant, si la déclaration à la CNIL est a priori à faire par le médecin traitant (car responsable de traitement), le responsable de traitement doit avertir les personnes concernées. Mais rien ne l'oblige à le faire lui-même : il doit seulement s'assurer que les personnes sont prévenues.
Ici, si la fuite est avérée, Weda sera tout à fait en mesure de le faire (et devrait même le faire, puisque c'est lui qui a toutes les données). Et Weda aura tout intérêt à le faire, au risque de ternir encore plus son image.
Le 17/11/2025 à 18h09
Mais honnêtement, ce qui se passe ne donne pas du tout envie de se tourner vers ce logiciel actuellement
Modifié le 17/11/2025 à 22h01
Mais beaucoup de praticiens veulent un logiciel accessible de n'importe ou mais ne voient pas qu'au final on leur vide les poche et on les rend dépendant a ces solutions.
Le nombres d'attaque par jours sur ce type de solution est énorme. Et je suis sur que dans pas longtemps on va réellement voir une grosse fuite de données sortir car les failles il y en a mais ceux qui ont un réel intérêt ne les divulguent pas forcément.
Le 18/11/2025 à 00h00
Modifié le 18/11/2025 à 08h33
Le 18/11/2025 à 09h03
Autre problématique inverse : si on "sursécurise" (notamment en SaaS), on risque de mettre le praticien dans la mouise car il ne faut pas partir du principe qu'il sera un excellent élève en terme de sécurité. Exemple potentiel : chiffrer l'intégralité des données patient via (une clé elle même chiffrée par) le mot de passe du médecin. Tu auras beau avertir sur le fait que s'il oublie son mot de passe ses données seront à jamais inaccessibles, tu auras toujours des cas où ça se produira et où tu auras un rageux au bout du fil qui t'insultera de ne pas être capable de lui fournir l'accès à SES données.
Moralité, soit tu ne chiffres pas (pas bien), soit tu chiffres avec une clé commune (ou dérivée par médecin mais qui dépend de la clé commune)... donc dispo sur le serveur. Si le serveur se fait hacker bien comme il faut, les données sont donc déchiffrables. Disons que ça protège au moins contre la fuite côté base de données (la clé maître étant par exemple une variable d'environnement du serveur côté logique et pas côté base de données).
Et il y a aussi des cas compliqués ou par exemple pour pouvoir envoyer des SMS de rappels aux patients tu vas par exemple avoir besoin que le serveur puisse accéder à son numéro de téléphone et son rendez-vous (date/heure, avec qui...). Éventuellement son nom/prénom si tu veux un peu personnaliser le SMS. Donc si tu chiffres tout ça avec une clé connue uniquement par le médecin, ben c'est mort tu ne peux pas le faire. Et pour revenir à la problématique du "local", le rappel par SMS si les données ne sont pas sur un serveur c'est un peu compliqué. C'est pas le médecin qui va cliquer sur un bouton de son logiciel pour envoyer les SMS...
Modifié le 23/11/2025 à 00h52
Donc papiers/crayons et outils numériques sans connexion permanente au pire.
Le 18/11/2025 à 08h49
Modifié le 18/11/2025 à 08h58
Le 18/11/2025 à 11h43
Le 18/11/2025 à 11h47
Par contre, le niveau applicatif reste, quoi qu'il arrive, en dehors de la responsabilité de l'hébergeur.
Le 18/11/2025 à 11h56
Le 19/11/2025 à 16h34
Ils certifient quoi ? La sécurité contre l'accès physique aux machines ? Si oui tous les hébergeurs le font, même un dédié à pas cher chez OVH est derrière une barricade et personne ne pourra aller brancher tranquillou une clé usb dessus pour exflitrer des données par exemple. J'avoue ne pas trop capter la plus value HDS ? Hormis probablement le gros chèque que reçoit l'hébergeur pour mettre un tampon sur une solution...
Le 18/11/2025 à 16h47
J'ai une connaissance qui a reçu un mail de son médecin aujourd'hui
Modifié le 26/11/2025 à 09h16
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?