Une nouvelle fuite qui touche un acteur clé du tiers payant
Almerys se retrouve une nouvelle fois dans la tourmente. Le spécialiste français du tiers payant a confirmé avoir été victime d’une cyberattaque ayant entraîné l’exposition de données personnelles de bénéficiaires. L’entreprise, qui sert d’intermédiaire entre les complémentaires santé, les professionnels de santé et les assurés, occupe une place sensible dans le parcours de remboursement. C’est précisément ce rôle central qui rend l’incident préoccupant. Quand une plateforme de tiers payant est touchée, ce ne sont pas seulement des fichiers techniques qui sont en jeu, mais des informations administratives liées à la couverture santé de millions de personnes.
Une attaque confirmée après l’alerte envoyée par Alan
L’affaire a pris de l’ampleur après l’alerte envoyée par Alan à ses assurés. L’assureur santé expliquait que certaines données de ses clients pouvaient être concernées par un piratage visant Almerys, son prestataire de tiers payant. Depuis, Almerys a confirmé l’existence de l’attaque, tout en restant prudente sur son ampleur réelle. L’entreprise indique qu’un accès non autorisé a visé son site de délivrance des prises en charge, aussi appelé site PEC, utilisé par certains professionnels et établissements de santé. D’après les éléments communiqués, l’incident concernerait l’ensemble des clients d’Almerys, ce qui laisse entrevoir un périmètre potentiellement très large, même si le nombre exact de personnes touchées n’a pas été officiellement communiqué.
Des données sensibles, même sans informations médicales
Les données potentiellement exposées sont particulièrement sensibles. Il est question de noms, prénoms, dates de naissance, numéros de sécurité sociale, noms d’assureurs santé, numéros de contrat et dates de début ou de fin de couverture. En clair, des informations qui permettent d’identifier précisément un assuré et de reconstituer une partie de son dossier administratif santé. Almerys assure en revanche que les coordonnées bancaires, les mots de passe, les adresses e-mail, les numéros de téléphone, les coordonnées postales, les remboursements de soins et les données médicales ne seraient pas concernés par cette fuite. C’est un point important, mais cela ne suffit pas à rendre l’incident anodin. Un numéro de sécurité sociale associé à une identité complète reste une donnée durable, difficile à modifier et très recherchée pour des tentatives de fraude ou d’usurpation.
Plus de 15 millions de numéros de sécurité sociale évoqués
Le chiffre le plus inquiétant vient des informations qui circulent autour d’une base attribuée à Almerys et revendiquée dans des espaces cybercriminels. Selon les éléments rapportés par 01net, plus de 15 millions de numéros de sécurité sociale uniques seraient présents dans un fichier mis en vente, tandis que le volume total revendiqué par le pirate dépasserait les 44 millions de lignes. Ce chiffre doit toutefois être pris avec prudence, car Almerys n’a pas confirmé officiellement ce total. Dans ce genre d’affaire, les pirates ont souvent intérêt à gonfler les volumes pour donner plus de valeur à leurs fichiers. Reste que la confirmation de l’attaque par l’entreprise, combinée à la nature des données évoquées, suffit déjà à en faire un incident majeur pour le secteur de la complémentaire santé.
Almerys déjà touché par une cyberattaque en 2024
La situation est d’autant plus délicate qu’Almerys avait déjà été touchée par une cyberattaque d’ampleur en 2024. À l’époque, le secteur du tiers payant avait été secoué par une fuite massive impliquant plusieurs opérateurs et plusieurs dizaines de millions d’assurés. Cette nouvelle affaire relance donc une question de fond : les plateformes qui manipulent des données administratives de santé disposent-elles de protections suffisantes face à des cybercriminels de plus en plus organisés ? Pour les assurés, la réponse importe peu dans l’immédiat. Ce qui compte, c’est de savoir quelles informations circulent, qui peut les utiliser et comment limiter les risques dans les semaines à venir.
Des services perturbés après la fermeture du site concerné
Après la découverte de l’attaque, Almerys indique avoir fermé le site concerné et pris des mesures pour neutraliser les accès compromis. Cette fermeture a déjà des conséquences concrètes sur certaines demandes de prise en charge, notamment dans l’optique, l’audiologie, le dentaire et certains parcours hospitaliers. L’entreprise assure cependant que ses autres services restent opérationnels, notamment les activités de gestion, de mise à jour des bases, de traitement des flux et de paiement des prestations santé. Almerys évoque également la mise en place de solutions de contournement afin d’assurer une continuité de service pendant la phase transitoire.
Une enquête ouverte par le parquet de Paris
Une plainte a été déposée auprès du procureur de la République. Le parquet de Paris a ouvert une enquête confiée à sa section spécialisée dans la lutte contre la cybercriminalité, avec l’appui d’une brigade spécialisée de la préfecture de police. L’objectif sera désormais de déterminer comment l’accès a été obtenu, quelles données ont réellement été consultées ou extraites, et si la base revendiquée en ligne correspond bien aux systèmes d’Almerys. Ces investigations prendront du temps, mais elles seront essentielles pour mesurer l’ampleur exacte de la fuite et identifier d’éventuelles responsabilités.
Le phishing ciblé, principal risque pour les assurés
Pour les personnes potentiellement concernées, la principale menace à court terme n’est pas forcément le piratage direct d’un compte, mais le phishing ciblé. Avec un nom, une date de naissance, un numéro de sécurité sociale, une mutuelle et des dates de couverture, un escroc peut rédiger un message très crédible en se faisant passer pour un assureur, une plateforme de remboursement ou un organisme administratif. Les assurés doivent donc redoubler de vigilance face aux SMS, appels ou e-mails demandant de cliquer sur un lien, de confirmer des informations personnelles ou de se connecter en urgence à un espace en ligne. En cas de doute, mieux vaut éviter les liens reçus par message et passer directement par le site officiel de son organisme de santé.
