Le HHS américain a confirmé le 5 juin 2026 que la brèche Conduent Business Services touche 62,2 millions d'individus — environ 1 Américain sur 5. Le groupe ransomware SafePay a exfiltré plusieurs téraoctets de données de santé entre octobre 2024 et janvier 2025, avec 84 jours de présence silencieuse.
En bref
- Le HHS Office for Civil Rights a confirmé le 5 juin 2026 que la brèche Conduent Business Services touche exactement 62 224 658 individus — environ 1 Américain sur 5
- Troisième plus grande violation de données de santé de l'histoire américaine ; SafePay a exfiltré plusieurs téraoctets entre octobre 2024 et janvier 2025, avec 84 jours de présence silencieuse
- Surveiller activement les relevés EOB (Explanation of Benefits) et activer une alerte fraude auprès des bureaux de crédit
Les faits
Ce qui avait débuté comme une violation de données de taille apparemment maîtrisée est devenu, au fil des révisions successives, l'une des catastrophes de cybersécurité les plus importantes de l'histoire du secteur de la santé américain. Le 5 juin 2026, le bureau américain des droits civils (HHS Office for Civil Rights) a officiellement confirmé que la brèche Conduent Business Services avait affecté exactement 62 224 658 personnes — soit environ un Américain sur cinq.
Conduent Business Services est un prestataire de services IT de premier plan aux États-Unis, spécialisé dans l'administration et le traitement de données pour les programmes d'assurance maladie, les régimes Medicaid des États et de nombreux payeurs santé privés. Sa position en tant qu'intermédiaire de traitement pour des dizaines d'organisations clientes explique l'ampleur exceptionnelle : une seule compromission de l'infrastructure Conduent a permis d'atteindre les données de patients appartenant à de multiples organisations, sans que ces dernières aient été directement compromises.
L'intrusion a été découverte par Conduent le 13 janvier 2025. L'analyse post-incident a déterminé que les attaquants avaient eu accès aux systèmes pendant plus de deux mois et demi — entre le 21 octobre 2024 et le 13 janvier 2025, soit 84 jours de présence silencieuse. Le groupe ransomware SafePay a revendiqué la responsabilité, affirmant avoir exfiltré plusieurs téraoctets de données avant de déployer son chiffrement. SafePay est un groupe méthodique qui opère principalement contre les cibles du secteur de la santé et des services IT aux entreprises.
L'évolution du décompte des victimes illustre parfaitement le phénomène de "scope creep" des grandes violations de données de santé. Lors de la première révélation à l'automne 2024, l'estimation portait sur 10,5 millions d'individus. En février 2026, après révision des logs d'accès, Conduent a révisé ce chiffre à 25,5 millions. Puis, à la suite des déclarations obligatoires auprès du HHS Office for Civil Rights imposées par HIPAA, le décompte final a explosé à 62,2 millions le 5 juin 2026 — soit six fois le chiffre initial.
Les données exposées incluent des informations de santé protégées (PHI) au sens d'HIPAA : identifiants des assurés, numéros de membre, informations sur les prestations reçues, données diagnostiques partielles, noms, adresses, dates de naissance. La combinaison identité et données de santé est particulièrement prisée pour la fraude à l'identité médicale — une forme de fraude qui peut passer des années sans être détectée par la victime.
Sur le plan financier, l'impact est déjà colossal. Conduent a engagé 25 millions de dollars de coûts directs de réponse à l'incident au premier trimestre 2025 seul, avec 16 millions supplémentaires anticipés jusqu'au premier trimestre 2026. Des dizaines de recours collectifs ont été déposés devant les tribunaux fédéraux américains. Conduent a confirmé disposer d'une police d'assurance cyber, dont les modalités de couverture seront déterminantes face aux montants en jeu.
La brèche Conduent se positionne désormais à la troisième place du classement historique des violations de données de santé américaines, derrière la brèche Change Healthcare de 2024 (192,7 millions de victimes — également un prestataire IT santé centralisé) et la brèche Anthem de 2015 (78,8 millions). Ces trois incidents révèlent une tendance structurelle : les prestataires de services IT qui traitent les données pour le compte de dizaines ou centaines d'organisations clientes sont devenus les cibles prioritaires des groupes cybercriminels. Leur compromission offre un multiplicateur exceptionnel — une seule intrusion, des dizaines de millions de victimes.
La durée de présence des attaquants — 84 jours sans détection — est l'angle le plus préoccupant. Elle signifie que Conduent ne disposait pas de mécanismes suffisants pour détecter une exfiltration de données à grande échelle sur plus de deux mois. DLP (Data Loss Prevention), surveillance des volumes de transferts anormaux, alertes sur les accès anormaux aux dépôts de données sensibles : autant de contrôles qui auraient dû déclencher des alertes bien avant le 13 janvier 2025.
En France et en Europe, le contexte réglementaire est différent — RGPD, certification HDS, NIS2 — mais la logique de risque est identique. Tout prestataire IT positionné comme intermédiaire de traitement de données sensibles pour de multiples clients constitue une cible de choix. La concentration des données de santé chez des tiers de traitement est précisément ce qui rend le modèle systémiquement fragile, qu'il s'agisse d'un prestataire américain ou d'un hébergeur HDS français.
Impact et exposition
Les 62,2 millions de victimes sont des personnes dont les données ont transité par les systèmes Conduent dans le cadre de leur assurance maladie ou d'autres services de santé. L'exposition principale concerne la fraude à l'identité médicale, le social engineering ciblé et, pour les données les plus sensibles, des tentatives d'extorsion directe. Au niveau organisationnel, tout prestataire IT santé positionné comme tiers de traitement pour plusieurs clients doit réévaluer son architecture de sécurité et ses capacités de détection d'exfiltration.
Recommandations
- Pour les individus potentiellement concernés : surveiller activement les Explanations of Benefits (EOB) de votre assureur santé ; signaler immédiatement toute prestation non reconnue ; activer une alerte fraude auprès des bureaux de crédit
- Pour les organisations santé : auditer les accès tiers à vos données de santé protégées et renforcer les clauses contractuelles Business Associate Agreements (BAA/HIPAA) avec tous vos prestataires IT
- Déployer des outils DLP et une surveillance des volumes de transferts anormaux sur les systèmes hébergeant des données sensibles : 84 jours sans détection est inacceptable
- Soumettre vos prestataires IT santé à des questionnaires de sécurité tiers annuels et exiger des preuves d'audit de pénétration récents et de certification HDS à jour
- Préparer les procédures de notification : le RGPD impose une notification à la CNIL sous 72h — les playbooks de réponse doivent exister avant la crise, pas être improvisés dans l'urgence
En tant qu'organisation santé française, est-ce que la brèche Conduent me concerne directement ?
Conduent opère principalement sur le marché américain, donc l'impact direct sur les organisations françaises est limité. En revanche, la logique de risque est directement transposable : vérifiez si vos prestataires IT santé (hébergeurs HDS, éditeurs de logiciels médicaux, gestionnaires de tiers payant) disposent de certifications HDS à jour, d'audits de sécurité récents et de plans de réponse à incident testés. La concentration de données de santé chez un prestataire commun à plusieurs organisations est précisément le schéma qui a rendu la brèche Conduent aussi dévastatrice.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Apple Intelligence approuvé en Chine avec Alibaba Qwen après 22 mois d'attente
La Cyberspace Administration of China a approuvé le 15 juillet 2026 Apple Intelligence pour la Chine, alimenté par Qwen d'Alibaba. Vingt-deux mois de procédure réglementaire aboutissent à un modèle de coexistence imposé entre Big Tech occidental et écosystème IA chinois.
DMA : l'UE force Google à ouvrir Android aux assistants IA rivaux de Gemini
La Commission européenne a ordonné le 16 juillet 2026 à Google d'ouvrir onze fonctionnalités système Android aux assistants IA rivaux de Gemini et de partager ses données de recherche avec OpenAI dès janvier 2027, avec une deadline Android 18 fixée au 1er août 2027.
GoSerpent : le backdoor APT qui a pillé l'Asie du Sud-Est pendant 5 ans
Kaspersky GReAT révèle GoSerpent, un backdoor Go opérant silencieusement depuis 2021 contre des gouvernements et réseaux diplomatiques d'Asie du Sud-Est, avec une stratégie de dwell time délibéré pour échapper à la détection.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire