Cyberattaque contre Unimed, prestataire de facturation hospitalière en Allemagne : les données de dizaines de milliers de patients privés exposées
Une cyberattaque contre Unimed, service de facturation hospitalière basé en Sarre, a compromis les données personnelles, financières et de santé sensibles d'au moins 80 000 patients privés dans le seul Bade-Wurtemberg, le bilan national total restant encore flou.
La brèche et sa découverte
Une cyberattaque contre Unimed, un prestataire national de services de facturation hospitalière basé à Wadern, en Sarre, a entraîné le vol de données de dizaines de milliers de patients. L'entreprise a détecté l'intrusion à la mi-avril 2026 et a immédiatement coupé les interfaces de données avec ses clients par mesure de précaution. Des analystes médico-légaux externes spécialisés ont passé des semaines à examiner les flux de données, permettant à Unimed d'identifier les personnes concernées et d'informer les hôpitaux à la mi-mai.
Dans la grande majorité des données divulguées, il ne s'agit pas de données financières et de santé particulièrement sensibles des patients.
L'attaque a ciblé directement l'infrastructure informatique d'Unimed, et non les hôpitaux eux-mêmes. Selon l'unité « Cybercriminalité qualifiée » de l'Office de police criminelle de Sarre, des auteurs inconnus ont obtenu un accès non autorisé à certaines parties des systèmes de l'entreprise. Unimed a déclaré que les attaquants avaient perdu l'accès pendant l'attaque elle-même et qu'aucun tiers non autorisé ne se trouve plus dans ses systèmes, désormais étroitement surveillés par un centre d'opérations de sécurité externe.
L'ampleur de l'incident
Dans le seul Bade-Wurtemberg, le délégué à la protection des données de l'État a reçu des notifications de violation de la part de 17 hôpitaux. Les quatre hôpitaux universitaires de l'État ont d'abord rendu l'information publique à la mi-mai, et les reportages ultérieurs des médias locaux ont porté le nombre estimé de patients concernés dans le sud-ouest à au moins 80 000. Unimed a refusé de divulguer la liste complète de ses clients ou le nombre total de victimes à l'échelle nationale.
Lorsque des données de santé et d'autres données sensibles telles que des données de paiement tombent entre les mains de criminels, nous supposons un risque élevé.
Les données volées comprennent les noms, adresses, dates de naissance, informations financières telles que les numéros de compte, et des données de santé couvrant les diagnostics et les antécédents de traitement. Seuls les patients privés et les auto-payeurs sont concernés.
Complexité juridictionnelle
La responsabilité de l'enquête est répartie entre les Länder. Unimed étant basée en Sarre, les autorités sarroises mènent l'enquête pénale et la surveillance de la protection des données. Le Centre de cybercriminalité du Bade-Wurtemberg, auprès du Parquet général de Karlsruhe, a confirmé qu'il ne traitait pas directement l'affaire. Le Centre indépendant de protection des données de Sarre supervise Unimed, tandis que le délégué du Bade-Wurtemberg traite les signalements de violations des hôpitaux du sud-ouest et a déjà reçu les premières plaintes de personnes concernées.
Réponses officielles et institutionnelles
Le ministère de la Santé du Bade-Wurtemberg a déclaré n'avoir ni compétence technique ni juridique sur les hôpitaux et qu'aucune obligation de signalement ne lui incombait donc. L'Office fédéral de la sécurité des technologies de l'information (BSI) a refusé de commenter et a renvoyé les demandes à Unimed. L'Association hospitalière du Bade-Wurtemberg n'a pas non plus fourni d'informations. L'hôpital universitaire de Tübingen, qui a contacté les 902 patients concernés, a depuis rouvert sa connexion de données à Unimed après un examen de sécurité.
Conseils aux patients concernés
Les autorités de protection des consommateurs et les responsables de la protection des données ont émis des recommandations pour les personnes dont les données ont pu être compromises. Le centre de conseil aux consommateurs recommande une vigilance accrue : examiner les courriels suspects, surveiller de près les relevés bancaires et de cartes de crédit, et vérifier l'identité de toute personne qui prend contact de manière inattendue en faisant référence à des traitements médicaux, des assurances ou des services de santé. Le délégué à la protection des données de l'État a également mis en garde contre le partage d'informations de santé sensibles lors d'appels ou de messages non sollicités et a exhorté à la prudence avec les factures qui pourraient avoir été manipulées.
Ils doivent également vérifier soigneusement les destinataires lors du paiement des factures, car des factures potentiellement manipulées peuvent être envoyées.
En vertu du RGPD, les personnes concernées ont le droit de savoir si et quelles données ont été impliquées et peuvent intenter des actions civiles pour des dommages matériels ou immatériels si une violation du RGPD, telle qu'une sécurité inadéquate, a causé l'incident et a entraîné un désavantage tangible et notable. L'évaluation actuelle d'Unimed, basée sur ses spécialistes mandatés, est qu'une publication des données volées n'est plus probable et qu'il n'y a pour l'instant aucun signe d'utilisation abusive concrète.
- Unimed détecte un accès non autorisé à son infrastructure informatique et coupe les interfaces de données avec ses clients.
- Analyse médico-légale terminée ; Unimed fournit les données des patients concernés aux hôpitaux afin qu'ils puissent informer les personnes.
- Au moins 17 hôpitaux du Bade-Wurtemberg ont déposé des signalements de violation ; l'hôpital universitaire de Tübingen rouvre la connexion Unimed.
