S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Weda : une cyberattaque et une semaine de galère pour 23 000 médecins

Health Data leak

Weda : une cyberattaque et une semaine de galère pour 23 000 médecins

Illustration : Flock

L’éditeur du logiciel médical Weda et filiale du groupe de santé Vidal a subi une cyberattaque la semaine dernière. Les 23 000 médecins et structures médicales clients n’ont pas pu accéder aux données de leurs patients pendant plusieurs jours. De nombreuses questions restent en suspens, relatives à la responsabilité d’informer les patients ou à la nature des informations potentiellement dérobées.

Depuis lundi 10 novembre, des milliers de praticiens de santé ont été touchés par les conséquences d’une cyberattaque contre l’éditeur du logiciel médical Weda, une filiale du groupe de santé Vidal depuis 2019.

Weda affiche plus de 23 000 utilisateurs, professionnels de santé sur son site internet. Mais l’accès au service a été coupé par l’entreprise le lundi 10 novembre à 23 h avant l’envoi mercredi 12 novembre d’un message à ses clients indiquant que ses « équipes ont détecté une activité inhabituelle sur certains comptes utilisateurs, laissant penser à des tentatives d’accès non autorisés », a appris le Mag IT.

Weda expliquait dans ce message que « depuis cette décision, [ses] équipes techniques et de cybersécurité travaillent sans relâche, en collaboration avec des experts externes, pour renforcer les mesures de protection ».

Toujours dans ce message daté de lundi dernier, elle annonçait à ses clients que « les premières analyses indiquent que les accès malveillants auraient pu permettre une extraction partielle de données, mais ni l’ampleur ni la confirmation formelle d’une fuite de données ne sont encore établies ». Elle ajoutait que « la faille d’accès est fermée et aucune nouvelle activité suspecte n’a été détectée ».

Plusieurs jours sans accès aux dossiers patients

Si Weda leur a envoyé plusieurs emails pour les tenir au courant de la situation, ses clients ont quand même dû attendre plusieurs jours pour avoir de nouveau accès au service. Jusqu’à vendredi 14 novembre, les médecins qui utilisent quotidiennement le service de l’entreprise pour gérer notamment les dossiers de leurs patients ne pouvaient plus s’y connecter.

Mercredi, l’entreprise a communiqué sur l’éventualité du retour de la plateforme sous un mode dégradé avec un accès à certaines fonctionnalités comme la consultation des dossiers de patients ou la gestion de leur agenda mais sans la création d’un nouveau dossier patient, ni la télétransmission des feuilles de soin à la sécurité sociale, ni le service d’ordonnance numérique ou encore la gestion des connectiques (ex: scanner, matériel ECG, etc.).

Finalement, cet accès en mode dégradé a été mis en place vendredi matin, selon Le Figaro, mais de nombreux témoignages sur les réseaux sociaux montraient que les médecins avaient toujours des difficultés à se connecter à Weda ce week-end.

Ainsi, le médecin Jean-Jacques Fraslin jugeait que « le logiciel WEDA reste convalescent » en joignant samedi une capture d’écran d’un message de Weda informant ses utilisateurs d’une fermeture nocturne de la plateforme « chaque nuit de 22 h à 7 h, du vendredi soir au lundi matin ».

Concrètement, la semaine dernière a été compliquée pour certains médecins, comme l’explique la Fédération des médecins de France : « les médecins utilisateurs de WEDA sont revenus au crayon et au papier, sans possibilité de consulter le moindre dossier médical partagé, ni le moindre dossier individuel ».

« On ne peut plus rien faire en ligne, on doit tout faire par papier. Nous n’avons plus accès aux antécédents des patients ni à leur dossier médical », confiait un médecin eurois à Paris-Normandie, ajoutant : « C’est plus qu’un handicap, ça fout en l’air nos journées ». Son confrère Philippe Boutin détaille au Figaro : « Ce n’est pas confortable de soigner les patients à l’aveugle, sans visibilité sur les prises de sang, les antécédents médicaux, les examens complémentaires » et explique avoir utilisé des « moyens un peu détournés, comme aller sur le site d’Ameli [le site de l’Assurance maladie en ligne, NDLR] pour consulter l’historique des remboursements et avoir une idée des dosages et traitements particuliers ».

Alors que le Sénat se prépare à examiner le projet de loi de financement de la Sécurité sociale (PLFSS 2026), dont l’article 31 prévoit de rendre obligatoire la consultation et l’alimentation du dossier médical partagé (DMP), le syndicat des médecins généralistes veut quant à lui tirer la sonnette d’alarme. « Au-delà du désagrément majeur impactant la pratique, cet incident illustre la dépendance et la fragilité de systèmes d’information en santé « tout en ligne ». Pendant que les médecins sont empêchés de travailler, les parlementaires choisissent ce moment pour rendre obligatoire l’usage du DMP et prévoir des sanctions pour ceux qui ne l’utiliseraient pas ! », s’insurge ce dernier.

Une information aux patients à faire par les médecins ?

Mais un nouveau message de Weda envoyé vendredi 14 novembre vers 11 h a fait bondir plusieurs médecins. En effet, en cette fin de semaine mouvementée, l’entreprise a expliqué à ses clients qu’ils devraient eux-mêmes compléter une « déclaration de violation de données auprès de la CNIL ».

L’entreprise ajoutait que « la première communication faisant état d’une violation de données est datée du mercredi 12 novembre à 01h00. En conséquence, le délai réglementaire de notification de 72 heures court jusqu’au samedi 15 novembre à 01h00. WEDA est déjà en contact avec les autorités, qui sont bien conscientes de la difficulté de recueillir toutes les informations dans ce délai ».

Le message envoyé par Weda le 14 novembre invite les professionnels de santé à compléter une déclaration de violation de données auprès de la CNIL – capture d’écran Next

Weda semble considérer que ce sont ses clients, les médecins utilisateurs de son service, qui sont responsables du traitement des données des patients et que c’est donc à eux de notifier aux personnes concernées. Comme le rappelle la CNIL, cette notification doit « a minima contenir » les éléments suivants :

  • « la nature de la violation ;
  • les conséquences probables de la violation ;
  • les coordonnées de la personne à contacter (DPO ou autre) ;
  • les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation. »

« Mais on ne sait même pas quelles données ont été violées ! » explique Pierre Bidaut, médecin généraliste en maison de santé à Gien au Figaro.

Se pose aussi la question de l’outil par lequel informer les patients, comme le notait vendredi soir Jean-Jacques Fraslin sur X : « À supposer que l’adresse mail soit renseignée dans la partie administrative du dossier médical, il faudrait que WEDA fournisse une routine permettant de les compiler afin de permettre à ses utilisateurs d’envoyer un mail groupé à tous ». L’entreprise aurait suggéré à une secrétaire médicale, dans un premier temps, un affichage en salle d’attente.

Contactée par Next, Weda n’a pas encore répondu à notre sollicitation. Nous ne manquerons pas de mettre à jour cet article si l’entreprise nous fournit plus d’explications.

Commentaires (36)

votre avatar
C'est la fête en ce moment... Car pendant ce temps là :
lemonde.fr Le Monde
votre avatar
Apparemment le DPO de Weda a besoin d'un stage accéléré sur qui est responsable en cas de compromission

Et la CNIL ne va probablement pas apprécier de recevoir 23000 déclarations pour un même incident ...
votre avatar
Pas forcément, celui qui décide de l'utilisation des données ce n'est pas WEDA mais bien les médecins. Par contre l'entreprise doit pouvoir les aider à le faire en leur fournissant une liste des adresses email au minimum.
votre avatar
Si Weda ne veut pas gérer les emmerdes en cas de compromission, ils ne doivent pas stocker de donnée sensibles. A partir du moment où ils stockent les données utilisées par leur outil, ils en sont responsables.

Et j'imagine que les patients ne sont jamais informés que leurs données se balladent chez un tiers ...
votre avatar
Encore une fois, c'est aux médecins de prévenir les patients car c'est eux qui décident d'utiliser l'application. Donc, non ils ne sont pas responsables à partir du moment qu'ils hébergent.
votre avatar
ce n'est pas du simple hébergement, c'est un service qu'ils fournissent
votre avatar
C'était en réponse à ton argument qui disait que le stockage justifiait leur responsabilité.
votre avatar
Sauf que j'avais bien écrit "stockent les données utilisées par leur outil"
votre avatar
Tu ne parles pas des bonnes données car les données patients sont sous la responsabilité des médecins (qui sont responsables de traitement). Si Weda réutilise ces données patient (ce qui m'étonnerait) pour offrir des services supplémentaires alors ils deviennent responsables de traitement (et donc de prévenir les patients). Mais l'article ici ne parle pas de telles données.
votre avatar
Mon médecin a pu en partie travailler en récupérant les ordonnances numériques,les biologies, les compte-rendus d'hospitalisation, les courriers, car il avait pris le temps de déposer dans le DMP.
Son effort de déposer les informations médicales lui on en partie sauvé la mise.

Que des médecins déclarent "travailler à l'aveugle" montre l'impréparation du monde de la santé au Numérique et les carences de l'Agence du numérique en Santé, des ARS, des Ordres, des syndicats à accompagner les soignants.

À mon humble niveau, nous avons incité nos patients sous AVK ou Clozapine à présenter leur CNI au laboratoire pour que les bio partent directement dans le DMP. C'est pour éviter des paniques de biologies bizarres le samedi quand le généraliste est en repos.
votre avatar
Quand certains services hospitaliers demandent aux patients de leur envoyer les biologies, cela me fait bondir.🤬🤬
En échangeant avec les dits services, ils (médecins et secrétaires) ignorent tout du portail DMP.fr ou de la e-CPS.

Moi qui pensait que le COVID avait contraint à une certaine connaissance des outils numériques.
votre avatar
Force et courage aux équipes de sécu :3
Mais on peut mieux faire pour la communication. Ca montre bien la difficulté à passer au tout numérique. Les évènements récents nous l'ont encore montré : Personne (aussi gros soit-il) n'est à l'abri d'une panne ou d'une compromission. Et les PCA devraient être un peu mieux bossés !
votre avatar
j'ai bien recu le message de mon médécin :

"Données personnelles potentiellement concernées :

• Votre nom
• Votre prénom
• Votre adresse email
• Votre numéro de téléphone
• Votre adresse postale
• Certaines de vos données de santé potentiellement impactées par l’incident
"

faudrait que je lui demande ce qu'elle a pu enregistrer comme autre donnée...
votre avatar
Une précision sur les déclarations de violation de données. Ce qui doit impérativement être fait dans les 72h selon le RGPD, c'est une notification à l'autorité compétente (la CNIL pour la France). Mais c'est une déclaration initiale, qui peut par la suite être complétée.

Ainsi, si toutes les données ne sont pas connues dans les 72h (nb de patients, est-ce qu'il y a eu extraction, les données concernées, etc.) ce n'est pas "grave" : le responsable de traitement devra simplement compléter ultérieurement la déclaration initiale dans les meilleurs délais.

La déclaration initiale doit surtout contenir la date à laquelle la violation a été détectée.

C'est la déclaration finale qui devra contenir toutes les informations.

Quand à savoir qui est responsable de traitement, la solution est "simple" du point de vue du RGPD : c'est celui qui décide de la finalité des traitements. En l'occurrence, la solution de Weda semble être simplement un logiciel, et le responsable de traitement est donc celui qui décide de l'utiliser... donc le médecin !

Ou sinon, les deux sont co-responsables de traitements (dans le cas où le logiciel effectuerait des traitements non décidés par le médecin).

Par contre, cela ne signifie pas que Weda n'ait pas a minima un devoir moral dans l'accompagnement. Et potentiellement contractuellement.

Rappelons aussi qu'une violation au sens RGPD du terme, ce n'est pas qu'un accès frauduleux aux données. Cela concerne la perte de données, l'accès à des données normalement non autorisés (problème de droits), des altérations, etc.

[edit] je précise : j'ai déjà fais quelques déclarations de violation de données (3 au total).
votre avatar
C'est quand même beau que ça soit le médecin qui soit responsable alors qu'il n'a aucune possibilité de gérer la sécurité etc du traitement. Doctolib se cache derrière la même excuse, mais l'asymétrie du système me fait penser qu'il doit y avoir quand même une co reponsabilité.
votre avatar
Tout responsable de traitement reste responsable des outils qu'il choisit.

On peut trouver cela rude, mais c'est ainsi.
votre avatar
N'empêche que le sous-traitant manipule des données personnelles et le sait, il doit avoir une obligation de sécurisation aussi.
votre avatar
Ah mais le sous-traitant à aussi des obligations de sécurisation. Seulement, le responsable de traitement ne peut pas simplement se défausser de ses responsabilités en invoquant la sous-traitance.
votre avatar
"Les 23 000 médecins et structures médicales clients n'ont pas pu accéder aux données de leurs patients pendant une semaine"
=> oula non. :zarb:
en pratique coupure des services lundi soir 10 novembre (veille de jour férié) suite détection d’une activité anormale sur un puis plusieurs comptes.

restauration partielle du service à partir de jeudi 13 novembre (une poignée d’utilisateurs) puis nationale à partir de vendredi.

on n’est pas à une semaine d’interruption mais seulement deux jours ouvrés... y’a quand même une différence.

après le service est actuellement toujours dégradé, et même mon extension en fait les frais (ils ont coupé très franchement dans tout ce qui n’était pas indispensable), par exemple pas d’ordonnances numériques ou d’accès intégré au DMP.
votre avatar
Ah, ça a été corrigé 🤔
votre avatar
Je fais partie des médecins impactés. Plus aucun logiciel du 11 novembres jusqu’à vendredi 9h45, mais la situation reste très dégradée, avec impossibilité de créer de nouveaux dossier, de faire des ordonnances numériques, d’envoyer et recevoir par messagerie sécurisée.

Le mail de vendredi 15h disant qu’il nous fallait faire la déclaration CNIL avant 1h était le pompom…

Je veux bien être responsable de l’envoi, mais techniquement je n’ai pas la compétence/le temps d’apprendre à extraire les données et envoyer 25000 mails en une fois. Encore moins dans ce contexte où rien ne marche et les consultations prennent plus de temps que d’habitude.

Heureusement les agendas madeformed et doctolib sont en train de proposer des solutions techniques, ce que Weda aurait dû faire.

Là ils se contentent de sortir le parapluie en mettant tout sur le dos leurs clients : les médecins
votre avatar
Alors, si cela peut te rassurer, avertir les patients ne sera obligatoire qu'à la condition que la fuite avérée, qu'il y ait des données médicales et que cela engendre donc un risque élevé pour les patients.

Et cela ne concerne bien évidemment que les patients qui seraient impactés par la fuite.

Maintenant, si la déclaration à la CNIL est a priori à faire par le médecin traitant (car responsable de traitement), le responsable de traitement doit avertir les personnes concernées. Mais rien ne l'oblige à le faire lui-même : il doit seulement s'assurer que les personnes sont prévenues.

Ici, si la fuite est avérée, Weda sera tout à fait en mesure de le faire (et devrait même le faire, puisque c'est lui qui a toutes les données). Et Weda aura tout intérêt à le faire, au risque de ternir encore plus son image.
votre avatar
Un sacré bazar tout ça. Quand je bossais en libéral j'avais eu l'occasion d'utiliser weda, et effectivement le côté décentralisé était séduisant.
Mais honnêtement, ce qui se passe ne donne pas du tout envie de se tourner vers ce logiciel actuellement
votre avatar
Le problème est que toutes les entreprises qui faisaient des logiciels lourds(tout était sur le poste du praticien) ont bien compris comment faire de l'argent régulier en ne proposant que des logiciels demat hébergé chez eux.
Mais beaucoup de praticiens veulent un logiciel accessible de n'importe ou mais ne voient pas qu'au final on leur vide les poche et on les rend dépendant a ces solutions.

Le nombres d'attaque par jours sur ce type de solution est énorme. Et je suis sur que dans pas longtemps on va réellement voir une grosse fuite de données sortir car les failles il y en a mais ceux qui ont un réel intérêt ne les divulguent pas forcément.
votre avatar
Mais pourquoi les médecins n'ont pas les données de leurs patients hors-ligne surtout ?? C'est dingue ça !
votre avatar
je plussoie. pas dur de faire un cache local a la onedrive/google drive. faut juste penser à le faire et le faire.
votre avatar
Parce que les médecins ne sont pas des informaticiens. Ils ne savant pas sécuriser leur poste de travail ni faire des sauvegardes. Le risque de perte de données ou d'accès non autorisé est important... mais localisé. En gros quand une femme de ménage vient récupérer toutes les données des patients pour voir si "Mme Michu a vraiment un cancer comme elle le dit mais qu'on a des gros doutes", la fuite concerne 1 médecin, pas des dizaines de milliers.

Autre problématique inverse : si on "sursécurise" (notamment en SaaS), on risque de mettre le praticien dans la mouise car il ne faut pas partir du principe qu'il sera un excellent élève en terme de sécurité. Exemple potentiel : chiffrer l'intégralité des données patient via (une clé elle même chiffrée par) le mot de passe du médecin. Tu auras beau avertir sur le fait que s'il oublie son mot de passe ses données seront à jamais inaccessibles, tu auras toujours des cas où ça se produira et où tu auras un rageux au bout du fil qui t'insultera de ne pas être capable de lui fournir l'accès à SES données.

Moralité, soit tu ne chiffres pas (pas bien), soit tu chiffres avec une clé commune (ou dérivée par médecin mais qui dépend de la clé commune)... donc dispo sur le serveur. Si le serveur se fait hacker bien comme il faut, les données sont donc déchiffrables. Disons que ça protège au moins contre la fuite côté base de données (la clé maître étant par exemple une variable d'environnement du serveur côté logique et pas côté base de données).

Et il y a aussi des cas compliqués ou par exemple pour pouvoir envoyer des SMS de rappels aux patients tu vas par exemple avoir besoin que le serveur puisse accéder à son numéro de téléphone et son rendez-vous (date/heure, avec qui...). Éventuellement son nom/prénom si tu veux un peu personnaliser le SMS. Donc si tu chiffres tout ça avec une clé connue uniquement par le médecin, ben c'est mort tu ne peux pas le faire. Et pour revenir à la problématique du "local", le rappel par SMS si les données ne sont pas sur un serveur c'est un peu compliqué. C'est pas le médecin qui va cliquer sur un bouton de son logiciel pour envoyer les SMS...
votre avatar
De toute façon ce n'est pas "sécurisable", le numérique est une farce, ça ne devrait servir que pour jouer, tôt ou tard tout ce qu'on y stocke sera cassé et publié. Or un médecin, c'est une rencontre physique avec un patient pour traiter de son physique, ici et maintenant, pas de raison que ça se diffuse sur des serveurs. Je sais bien que l'échange rapide de données peut être utile dans certains cas (et alors il faut réinventer le fax mais façon échange chiffré de bout en bout en p2p) mais sinon il n'y a aucune raison de ne réfléchir que dans le cadre du numérique et d'imposer un outil informatique partout, et encore plus dans l'art médical. C'est aussi dingue que d'imposer aux peintres de 2025 de ne plus utiliser de toiles et pinceaux parce qu'il serait aberrant que leur création ne soit pas numérique.

Donc papiers/crayons et outils numériques sans connexion permanente au pire.
votre avatar
Ce qui me surprend, c'est que weda ne figure pas dans la liste des hébergeurs de santé certifiés. voir https://esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies">ici
votre avatar
Weda est éditeur. Il n'apparait donc pas dans la liste des hébergeurs. Par contre, il doit utiliser un hébergement agréé pour le stockage des données de santé, dans la mesure où il stocke des données d'organismes tiers.
votre avatar
Son hébergeur est bien certifié HDS, mais n'a en revanche pas la responsabilité des machines, bases de données serveurs web etc, que ça soit leur sécurisation, patch management ou autre. Cet hébergeur gère l'infrastructure autour, la partie applicative est du périmètre Weda.
votre avatar
Alors un hébergeur HDS peut faire de l'infogérance. Auquel cas, c'est lui qui va être responsable de certains aspects (à préciser contractuellement lesquels), comme le patch management, la gestion du pare-feu, etc.

Par contre, le niveau applicatif reste, quoi qu'il arrive, en dehors de la responsabilité de l'hébergeur.
votre avatar
En l'occurrence je te décris ce qui est :)
votre avatar
Donc globalement l'hébergement HDS c'est pas mal du pipo ?
Ils certifient quoi ? La sécurité contre l'accès physique aux machines ? Si oui tous les hébergeurs le font, même un dédié à pas cher chez OVH est derrière une barricade et personne ne pourra aller brancher tranquillou une clé usb dessus pour exflitrer des données par exemple. J'avoue ne pas trop capter la plus value HDS ? Hormis probablement le gros chèque que reçoit l'hébergeur pour mettre un tampon sur une solution...
votre avatar
Une information aux patients à faire par les médecins ?

J'ai une connaissance qui a reçu un mail de son médecin aujourd'hui
votre avatar
Idem, j'ai reçu hier un mail automatique signé de ma médecin :rhooo: