Pulsy Grand Est : 5,8 millions de données de patients dans la nature, comment savoir si vous êtes touché ?
Le groupement régional d’e-santé Pulsy a confirmé avoir détecté un incident de sécurité le 18 juin 2026 vers 6h00 du matin. Trois jours plus tard, un pirate connu sous le pseudonyme “xMetah” a mis en vente sur un forum cybercriminel une base de données contenant 5,86 millions d’enregistrements de patients, présentée comme issue des systèmes d’information de Pulsy. Le volume revendiqué, 34,9 gigaoctets, en fait l’une des plus importantes fuites de données de santé jamais signalées en France après l’épisode du DMP de juin 2026. Voici ce que l’on sait à ce stade, et surtout ce que vous devez faire si vous avez été pris en charge dans un établissement du Grand Est ces dernières années.
L’incident : Pulsy, l’opérateur d’e-santé du Grand Est, a détecté une intrusion le 18 juin 2026 à 06h00 et a coupé l’accès en moins de trois heures.
Le vol : 5,68 millions d’enregistrements (34,9 Go) + 180 000 entrées supplémentaires, revendus sur un forum cybercriminel par un acteur surnommé “xMetah”.
Les données : nom, prénom, date de naissance, sexe, adresse postale, email, téléphone, identifiant INS, parcours de soins, références d’établissements. Des adultes comme des mineurs sont concernés.
La fenêtre : les données couvrent potentiellement 2018-2025, soit plusieurs années d’historique de patients du Grand Est.
Le bon réflexe : surveillez vos emails, refusez tout appel d’un “établissement de santé” qui vous demande un code ou un IBAN, et déposez un signalement sur signal-arnaques.com ou auprès de la CNIL si vous êtes contacté.
Que s’est-il passé le 18 juin 2026 chez Pulsy ?
Selon les informations recoupées par Le Républicain Lorrain, L’Est Républicain et l’observatoire Cyberattaque.org, Pulsy a identifié un comportement anormal sur l’un de ses serveurs applicatifs le jeudi 18 juin 2026 vers 6h00 du matin. La structure a coupé l’accès compromis en moins de trois heures, ce qui a permis de limiter la fenêtre d’extraction à environ 180 minutes.
Trois jours plus tard, le dimanche 21 juin, un acteur cybercriminel se faisant appeler “xMetah” a mis en vente sur un forum spécialisé une archive qu’il présente comme issue de Pulsy. L’annonce, relayée par Dark Web Informer sur X, détaille deux ensembles distincts : 5 677 450 enregistrements pour 34,9 gigaoctets dans le premier fichier, et plus de 180 000 entrées complémentaires dans un second. Au moment de la publication de cet article, Pulsy n’a pas encore publié de communiqué confirmant officiellement l’ampleur du vol, mais la fenêtre de compromission et le profil des données correspondent à un incident de grande ampleur.
Pour replacer l’événement dans un contexte plus large, on notera que la France connaît depuis janvier 2026 une série noire en matière de fuites de données. Comme nous l’avions analysé dans notre article sur le piratage de Searcher et l’exposition de 1,2 milliard de fiches de Français, puis dans celui consacré à ShinyHunters et au vol de 1,5 milliard de fiches Salesforce, les bases de données massives sont devenues la cible préférée des groupes cybercriminels. L’épisode Pulsy, relaté par Ouest-France le 23 juin, suit la même tendance, avec une particularité : il s’agit de données de santé, qui font partie des informations les plus sensibles au sens du RGPD.
Quelles données sont dans la base mise en vente ?
Les échantillons diffusés par le vendeur contiennent des informations directement identifiantes. Voici la liste reconstituée par Cyberattaque.org à partir des extraits rendus publics :
Identité civile : nom, prénom, date de naissance, sexe, nationalité.
Coordonnées : adresse postale, adresse électronique, numéro de téléphone.
Identifiants techniques : identifiants patients internes, identifiants INS (Identifiant National de Santé) pour certains enregistrements.
Données de parcours : statuts de validation d’identité, références de dossiers, parcours de soins, établissements d’accueil.
Le tout concerne aussi bien des adultes que des mineurs. Plusieurs champs ressemblent à des mécanismes de rapprochement d’identité, c’est-à-dire des index permettant d’associer une même personne à différents établissements de santé. C’est précisément ce type de fichier qui sert de point d’entrée à des attaques par hameçonnage ultra-ciblé.
⚠️ Pourquoi l’identifiant INS change tout
L’INS est l’identifiant unique utilisé par tous les acteurs de la santé en France pour relier les dossiers d’un même patient entre professionnels. Contrairement à un numéro de téléphone ou à un email, l’INS ne se change pas : il suit la personne toute sa vie. Sa diffusion donne donc aux fraudeurs une clé permanente de rapprochement entre différents fichiers piratés.
Pulsy, c’est quoi exactement ?
Pulsy n’est pas un hôpital, mais un groupement régional d’appui au développement de la e-santé en région Grand Est. Sa création, voulue par l’Agence régionale de santé (ARS), l’Assurance maladie, la Région Grand Est et les établissements et professionnels de santé, lui confie un rôle d’opérateur de services numériques mutualisés pour tout le territoire, comme le rappelle L’Est Républicain.
Concrètement, Pulsy opère plusieurs plateformes utilisées au quotidien par les hôpitaux, cliniques, EHPAD, médecins de ville et acteurs du médico-social de la région :
Partage de documents médicaux entre établissements et professionnels de santé.
Coordination des parcours de soins, notamment pour les patients chroniques ou en situation complexe.
Services de télésanté et de gestion des identités patients (référentiels INS/INS-qualifié).
Outils d’échanges sécurisés entre la ville et l’hôpital.
Le rôle de Pulsy est précisément de faire converger des identités venues de plusieurs systèmes d’information hospitaliers différents. C’est ce qui explique la nature des données mises en vente : il ne s’agit pas d’un annuaire de contacts, mais d’un index patient consolidé à l’échelle régionale.
Comment savoir si vous êtes touché par la fuite Pulsy ?
À ce stade, Pulsy n’a pas mis en ligne de formulaire de vérification individuelle. Il n’existe pas, comme lors de la fuite Searcher, de moteur de recherche “êtes-vous dans la base ?”. En attendant un éventuel communiqué officiel, vous pouvez estimer votre exposition avec une logique simple :
✅ Vous êtes probablement concerné si
Vous avez été patient d’un hôpital, d’une clinique ou d’un EHPAD du Grand Est depuis 2018.
Un professionnel de santé a utilisé votre carte Vitale dans un établissement connecté à Pulsy pour vérifier votre identité.
Vous avez reçu un courrier ou un email d’un établissement du Grand Est vous informant d’un partage de données via les services numériques régionaux.
❌ Vous êtes probablement hors périmètre si
Vous n’avez jamais eu de parcours de soin dans une structure du Grand Est (Alsace, Champagne-Ardenne, Lorraine).
Votre dossier a toujours été géré par un professionnel de santé en exercice isolé, sans interconnexion régionale.
Vous avez explicitement refusé la qualification de votre identifiant INS (cas rare).
Quels sont les risques concrets pour les patients du Grand Est ?
Les données de santé figurent parmi les informations les plus sensibles au sens du RGPD. Même sans compte-rendu médical complet, l’association entre une identité civile et un environnement de soins permet de fabriquer des arnaques très crédibles. Voici les trois scénarios les plus probables dans les jours qui viennent.
1. Hameçonnage médical ciblé
Un email qui connaît votre nom, votre date de naissance, l’hôpital où vous avez été soigné et la pathologie pour laquelle vous avez consulté sera infiniment plus crédible qu’un phishing générique. Les pirates peuvent se faire passer pour votre hôpital, pour la CPAM, pour une mutuelle ou pour un laboratoire d’analyses, et vous demander un “reste à charge”, un “code de confirmation” ou un “RIB” de remboursement. Ce type d’attaque, proche du quishing que nous décrivions récemment, a un taux de clics bien supérieur aux campagnes classiques.
2. Usurpation d’identité et fraude au faux conseiller bancaire
Avec un nom, une adresse, un email et un numéro de téléphone, un fraudeur peut tenter de prendre le contrôle de vos comptes en ligne en multipliant les demandes de réinitialisation de mot de passe. Les données de santé, en prime, donnent un vernis de crédibilité : “nous avons besoin de vérifier votre identité car une consultation a été facturée à votre insu”.
3. Chantage et revente de fichiers croisés
Les bases de données volées sont rarement utilisées en l’état. Elles sont recoupées avec d’autres fichiers achetés sur le dark web (comme la base DMP de 34 millions de fiches apparue début juin 2026) pour constituer un profil complet de la victime. À terme, des tentatives de chantage ciblé sur des patients atteints de pathologies sensibles (VIH, cancers, addictions) sont malheureusement à prévoir, comme le soulignait récemment FrenchBreaches dans son analyse des fuites de santé en France.
Méfiez-vous des appels et SMS “établissement de santé” : aucun hôpital ne vous demandera un code, un IBAN ou un mot de passe par téléphone. Raccrochez et rappelez directement le standard officiel de l’établissement.
Ne cliquez pas sur les liens dans un email soi-disant médical : passez toujours par le site officiel de l’établissement en tapant l’adresse à la main, surtout si l’on vous demande de “confirmer” une donnée de santé.
Surveillez vos relevés bancaires : pendant les 90 prochains jours, signalez immédiatement à votre banque toute opération que vous ne reconnaissez pas, y compris de petits montants (technique de la goutte d’eau).
Activez la double authentification partout : sur Ameli, votre banque, votre mutuelle, votre compte Google et Apple. Si un pirate a votre email et votre date de naissance, c’est votre dernière barrière.
Déposez un signalement si vous êtes contacté : sur signal-arnaques.com, sur la plateforme PHAROS du ministère de l’Intérieur, et auprès de la CNIL via son formulaire dédié aux violations de données.
Pulsy va-t-elle confirmer le vol et notifier la CNIL ?
La question juridique est claire. En tant qu’opérateur traitant des données de santé, Pulsy est soumis au RGPD et à la loi Informatique et Libertés. Toute violation de données à caractère personnel doit être notifiée à la CNIL dans les 72 heures suivant la prise de connaissance de l’incident, et les personnes concernées doivent en être informées “dans les meilleurs délais” lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
Au moment de la rédaction de cet article, aucune communication publique de Pulsy concernant l’ampleur revendiquée par le vendeur n’a été identifiée. Les investigations techniques devront déterminer : l’origine précise de l’intrusion, la nature exacte des données extraites, et si la base mise en vente est bien issue des serveurs de Pulsy (ou si elle est composée de plusieurs sources). Les autorités (CNIL, ANSSI, ARS Grand Est) ont tout intérêt à ouvrir rapidement une enquête conjointe, à l’image de ce qui avait été fait pour la fuite Dumpsec de juin 2026, d’après le récit de FrenchBreaches.
Ce que cet incident dit de la sécurité des SI de santé en France
Pulsy n’est pas un cas isolé. L’année 2026 a déjà vu la fuite présumée du DMP (34 millions de fiches annoncée début juin), l’incident sur la plateforme régionale d’Occitanie (318 000 dossiers d’élèves), et plusieurs attaques contre des hôpitaux et cliniques. Le pattern est le même à chaque fois : des groupements régionaux d’e-santé, des GHT (groupements hospitaliers de territoire) ou des plateformes de coordination qui concentrent l’identité patient à l’échelle d’un territoire deviennent des cibles à très haute valeur.
Trois leviers pourraient limiter ce type d’incident à l’avenir : la segmentation réseau entre environnements (pour qu’un accès à un service n’expose pas toute l’identité patient), le chiffrement au repos des bases de référence INS, et des audits d’exposition indépendants imposés par l’ARS et l’ANSSI à tous les opérateurs de e-santé régionaux. La mutualisation des services numériques de santé est une bonne chose pour la coordination des soins, mais elle déplace le risque : quand l’un de ces opérateurs tombe, c’est tout un territoire qui tombe avec lui.
Questions fréquentes sur le piratage de Pulsy (FAQ)
Pulsy a-t-elle confirmé officiellement le vol de données ? ▼
À la date du 24 juin 2026, Pulsy a confirmé avoir détecté un incident de sécurité le 18 juin 2026 et avoir coupé l’accès en moins de trois heures. En revanche, la structure n’a pas encore confirmé publiquement l’ampleur des 5,86 millions d’enregistrements revendus par le pirate “xMetah”. Les vérifications techniques sont en cours avec les autorités.
Comment savoir si mes données sont dans la base mise en vente ? ▼
Pulsy n’a pas mis en ligne de formulaire individuel de vérification. Si vous avez été patient d’un établissement du Grand Est depuis 2018, considérez que vous êtes potentiellement concerné. Surveillez vos emails, vos appels et vos relevés bancaires, et appliquez les 5 réflexes détaillés dans cet article.
Les données de mes enfants peuvent-elles avoir été volées ? ▼
Oui. Les échantillons diffusés mentionnent aussi bien des adultes que des mineurs. Les enfants suivis en PMI, en service pédiatrique hospitalier ou en CMPP du Grand Est sont exposés au même titre que les adultes, avec un risque d’usurpation d’identité à long terme encore plus problématique, car l’identité volée peut être exploitée pendant des décennies.
Que faire si je reçois un appel d’un faux établissement de santé ? ▼
Raccrochez immédiatement. Notez le numéro, le nom de l’établissement prétendu et l’objet de l’appel, puis signalez-le sur signal-arnaques.com et sur la plateforme PHAROS du ministère de l’Intérieur. Ne rappelez jamais le numéro qui s’affiche : passez par le standard officiel de l’établissement, dont le numéro figure sur votre carte Vitale ou sur internet.
Pulsy et la CNIL vont-elles me prévenir individuellement ? ▼
Le RGPD impose au responsable de traitement de notifier les personnes concernées “dans les meilleurs délais” lorsque la violation présente un risque élevé pour leurs droits. Pour 5,86 millions de personnes, cette notification se fait généralement par communiqué public, ouverture d’une foire aux questions et contact direct (email ou courrier) pour les cas les plus sensibles. La CNIL publie par ailleurs la liste des violations notifiées sur son site.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
