Séisme dans le secteur des complémentaires santé. Les opérateurs de tiers payant Viamedis et Almerys ont été victimes d’une cyberattaque de grande ampleur. Jeudi 1er février 2024, la société Viamedis est la première touchée par l’attaque. Son directeur général précise à l’AFP qu’il s’agit d’une intrusion dans la plateforme : « Le compte d’un professionnel de santé a été hameçonné ». 

Quatre jours plus tard, c’est au tour d’Almerys de se faire pirater, via un mode opératoire similaire : une usurpation d’identifiants et de mots de passe de « certains professionnels de santé clients du service » a « compromis leur compte et faciliter l’accès » au portail Almerys, a détaillé la société à l’AFP. Suite à ces évènements, les deux entreprises ont déposé plainte et effectué des signalements auprès de la Commission nationale de l’informatique et des libertés (CNIL) et de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). 

En quoi cette fuite de données peut vous concerner et comment faire face aux potentielles tentatives d’arnaques à venir ? On fait le point. 

Un Français sur deux concernés 

Si pour l’heure, la plateforme de gestion de Viademis et le portail d’accès d’Almerys destiné aux professionnels ont été fermés, le nombre d’assurés sociaux dont les données personnelles ont fuité s’élèverait déjà à plus de 33 millions. 

Concernant la teneur des données en cause, Viamedis a affirmé que la fuite s’applique à « l’état civil, date de naissance et numéro de sécurité sociale, nom d’assureur santé et garanties ouvertes au tiers payant » des assurés. Même son de cloche du côté de la société Almerys, qui explique sur les données impactées sont les noms, prénoms, dates de naissance, rangs de naissance (pour les jumeaux), numéros de Sécurité sociale, noms de l’assureur santé, numéros de contrat de l’assureur et des « références internes ».

Dans un communiqué, la Cnil précise ne pas être en mesure de stipuler si une personne est concernée ou non car  Viamedis et Almerys étaient des sociétés intermédiaires entre les professionnels de santé et les complémentaires. Votre mutuelle est chargée de vous en informer par SMS, par mail ou directement sur site Internet de l’organisme, si vous êtes impacté par cette fuite de données. 

Que faire pour éviter les arnaques potentielles ? 

Ces informations personnelles sont considérées comme “sensibles” car elles pourraient être utilisées pour vous arnaquer ou tenter de vous pirater. Il pourrait s’agir de mails ou d’appels frauduleux de personnes malveillantes se faisant passer pour votre assurance. 

« Votre première démarche doit être d’appeler votre mutuelle ou votre complémentaire pour savoir si elles étaient en relation avec ces deux entreprises qui ont fait l’objet de la faille de sécurité », conseille Yann Padova sur FranceInfo. Il précise que les entreprises « ont l’obligation en droit européen d’informer les personnes ».

Bien sûr, si la prudence est toujours de mise, dans les semaines et les mois à venir il vaudrait mieux redoubler de vigilance vis-à-vis des mails, appels, courriers ou autres sollicitations qui concernent de près ou de loin votre assurance santé. 

Rappels des 4 gestes de bases en matière de cybersécurité : 

1. Ne cliquez pas sur des liens reçus inopinément vous demandant par exemple de confirmer des informations personnelles ou des détails de paiement.

2. Vérifiez la fiabilité de l’expéditeur en vérifiant son adresse (fautes d’orthographe, caractères supplémentaires).

3. Ne vous faites pas avoir par le ton urgent, menaçant ou attrayant d’une sollicitation (par mail ou par téléphone). Les biais souvent utilisés pour les arnaques sont la peur ou la cupidité.

4. Soignez vos mots de passe : utilisez des mots de passe forts et différents pour vos différents services. Munissez-vous d’un gestionnaire de mot de passe et activez l’authentification à multiples facteurs lorsque cela est possible.