Rueil-Malmaison, le 24 juin 2026 – Intitulée « The Cybercriminal Underground : Mapping the Healthcare Data Economy », l’étude de TrendAI™ révèle que les données de santé volées s'échangent désormais au sein d'un marché clandestin rôdé qui réunit des groupes de ransomwares, des access brokers, des marketplaces frauduleuses et des vendeurs d'identifiants.

Sur 12 mois, les chercheurs de TrendAI™ ont analysé 7 779 messages sur des forums clandestins,
21 813 annonces sur des marketplaces compromises et 95 sites de vente de données volées par ransomwares. Les résultats sont sans appel : les données de santé demeurent extrêmement prisées sur le marché noir en raison de leur caractère durable, de leur sensibilité et de leur capacité à alimenter simultanément plusieurs formes de fraude.

L'étude a permis d’identifier que les ventes de données issues de ransomwares représentent plus d'un tiers (36,3 %) de l'activité des marketplaces clandestines, les attaquants combinant de plus en plus le chiffrement avec le vol de données et l'extorsion. Les chercheurs ont également constaté que les fournisseurs de dossiers de santé électroniques (DSE) et de dossiers médicaux partagés (DMP) sont de plus en plus souvent pris pour cible, permettant à une seule violation de données d'exposer des centaines d'établissements de santé et de données de patients.

« Les données de santé ne sont plus seulement des informations volées, elles sont devenues une ressource à forte valeur et durable pour les cybercriminels », commente Pierre de Neve, spécialiste cybersécurité secteur public. « Contrairement à une carte de crédit, les diagnostics d’un patient, son historique médical ou ses données biométriques ne peuvent pas être simplement annulés et remplacés. Cette pérennité fait des organisations de santé des cibles particulièrement attractives pour les groupes de ransomwares et les access brokers ».

Le rapport souligne également l'industrialisation croissante de la cybercriminalité ciblant le secteur de la santé, avec des marketplaces clandestines proposant aussi bien des accès à des réseaux hospitaliers qu’à des données d'assurance, des dossiers médicaux complets ou encore de faux documents médicaux.

« Ce que nous observons n'est pas une activité cybercriminelle isolée, mais une véritable économie souterraine mature construite autour des informations de santé. Les access brokers, les affiliés, les vendeurs d'identifiants et les spécialistes de la fraude opèrent désormais au sein d'une chaîne d'approvisionnement interconnectée, conçue pour monétiser les données des patients de manière répétée et à grande échelle », poursuit M. de Neve.

L'étude met en garde contre les compromissions de la chaîne d'approvisionnement impliquant des fournisseurs de logiciels de santé et des plateformes médicales. Elles représentent un facteur de risques majeur pour le secteur, permettant aux attaquants de déployer leurs opérations bien au-delà d’un hôpital ou d’une clinique.

Les étapes d’une attaque contre les organismes de santé au sein de l’écosystème cybercriminel