Le géant du tiers payant Almerys a confirmé lundi avoir été victime d'une cyberattaque ayant entraîné l'exposition de données personnelles de bénéficiaires de complémentaires santé. L'entreprise, qui fournit des services de gestion de prises en charge médicales pour de nombreuses mutuelles, n'a pas précisé le nombre de personnes concernées, mais selon la plateforme spécialisée French Breaches, plus de 15,4 millions de numéros de sécurité sociale uniques seraient en vente sur le dark web.
Une attaque ciblant le site de délivrance des prises en charge
Selon un communiqué transmis à l'AFP, cette cyberattaque a permis un accès non autorisé au site de délivrance des prises en charge (PEC) utilisé par certains professionnels et établissements de santé. Almerys indique avoir pris des mesures immédiates pour identifier et neutraliser les accès concernés, entraînant la fermeture du site PEC. Cette fermeture impacte les demandes de prises en charge en optique, audiologie, dentaire et certaines hospitalières.
Quelles données ont été dérobées ?
Les données personnelles potentiellement exposées comprennent les nom, prénom, date de naissance, numéro de sécurité sociale, nom de l'assureur santé, numéro de contrat de l'assureur ainsi que les dates de début et de fin de couverture. En revanche, Almerys précise que les informations bancaires, les données de santé, les remboursements de soins, les coordonnées postales, les numéros de téléphone, les adresses e-mail et les mots de passe ne sont pas concernés par cet acte malveillant.
Le pirate informatique affirme détenir au total 44 millions de données dérobées, concernant potentiellement 674 organismes de santé. Les numéros de sécurité sociale volés pourraient être utilisés pour des usurpations d'identité ou des fraudes.
Quels services sont touchés ?
Almerys assure que ses autres services restent opérationnels, notamment la gestion, la mise à jour des bases, le traitement des flux et le paiement des prestations santé. Les services essentiels de tiers payant continuent d'être assurés. L'entreprise travaille à une phase transitoire pour proposer des solutions de contournement aux professionnels et établissements concernés.
L'assureur santé Alan avait invité ses adhérents à la vigilance samedi après ce piratage. Almerys est également le prestataire d'autres mutuelles comme MGEN ou AG2R.
Un précédent en 2024
Almerys avait déjà été victime d'un vol massif de données lors d'une cyberattaque début 2024. L'entreprise a déposé plainte auprès du procureur de la République et notifié l'incident à la Cnil (Commission nationale de l'informatique et des libertés) ainsi qu'à l'Agence nationale de la sécurité des systèmes d'information (Anssi). Le parquet de Paris a saisi la brigade spécialisée de la préfecture de police pour mener une enquête.
Cette nouvelle fuite de données soulève des inquiétudes quant à la protection des informations personnelles des Français, alors que les cyberattaques se multiplient. Les experts recommandent la vigilance, notamment en surveillant ses comptes et en ne communiquant pas ses données sensibles.
