Almerys, spécialiste du tiers-payant en France, a subi une cyberattaque entraînant une fuite de données personnelles. L'incident a visé la plateforme de "prise en charge" de l'entreprise, utilisée pour gérer les opérations de tiers-payant entre assureurs complémentaires, professionnels de santé et établissements hospitaliers. Pour contenir l'incident, la plateforme a été mise hors ligne.

Almerys agit comme intermédiaire dans le système de santé : il permet aux professionnels de santé de vérifier les droits des assurés et d'obtenir des prises en charge auprès des complémentaires santé. Cette position centrale explique pourquoi une attaque contre cette société peut affecter de nombreux organismes sans que leurs propres systèmes aient été compromis.

Plusieurs mutuelles concernées

La mutuelle en ligne Alan a communiqué auprès de ses clients pour les informer que l'attaque n'a pas visé ses systèmes mais ceux de son prestataire tiers-payant. Les données potentiellement compromises concernent principalement des informations d'authentification et des données contractuelles : nom, prénom, date de naissance, numéro de sécurité sociale, numéro de contrat, nom de l'assureur et dates de début et de fin de couverture. En revanche, les informations bancaires, les mots de passe, les coordonnées de contact ainsi que les données liées aux soins et remboursements ne sont pas concernés.

Alan précise ne pas disposer encore de la liste exacte des personnes touchées. "Par mesure de précaution", l'entreprise considère que l'ensemble de ses assurés et ayants droit pourrait être concerné.

D'autres organismes ont confirmé être affectés par l'incident en raison de leur utilisation des services d'Almerys. CNP Assurances Protection Sociale indique avoir "suspendu toutes les demandes de prises en charge provenant d'Almerys". De son côté, MGEN a dû démentir l'exposition des données de ses assurés : "MGEN n'utilise pas la plateforme touchée par cet incident", a-t-elle précisé. Il n'existe pas, à l'heure actuelle, de liste exhaustive du nombre d'assurances et mutuelles utilisatrices de la plateforme attaquée.

Une enquête en cours

Almerys a saisi la Commission nationale de l'informatique et des libertés (Cnil), l'Agence nationale de la sécurité des systèmes d'information (Anssi) ainsi que la justice. Le parquet de Paris a confié l'enquête à la brigade spécialisée de la préfecture de police.

Même si les données de santé et bancaires ne sont pas concernées, les informations compromises restent particulièrement sensibles. La combinaison d'un état civil complet avec un numéro de sécurité sociale peut faciliter des campagnes de phishing ciblées, des tentatives d'usurpation d'identité ou de fraudes administratives.

Un précédent en 2024

Ce n'est pas la première fois qu'Almerys est impliqué dans une fuite de données. En février 2024, l'entreprise avait été victime d'une cyberattaque provoquée par l'usurpation d'identifiants et de mots de passe de professionnels de santé. Cette attaque avait touché 33 millions de personnes, soit près d'un Français sur deux.

Cet incident s'inscrit dans un contexte d'explosion des fuites de données. Avec 8613 violations de données notifiées en un an, soit une hausse de 45%, la France enregistre désormais près de 24 fuites de données par jour.