Deux ans après l’incident de 2024, Almerys est confronté à une nouvelle fuite de données. Via plusieurs communications adressées à leurs assurés, dont celle d’Alan, on apprend qu’Almerys, opérateur de tiers-payant pour les complémentaires santé, a été victime d’une cyberattaque ayant entraîné une fuite de données.
Un incident qui touche l’ensemble des clients d’Almerys
Vendredi 22 mai, Almerys a informé ses clients qu’une cyberattaque avait visé son site dédié aux demandes de prise en charge. Selon les informations relayées par Alan, l’attaque a provoqué une fuite de données affectant l’ensemble des organismes utilisant les services de tiers-payant du prestataire.
Depuis, plusieurs acteurs ont confirmé être concernés par l’incident, parmi lesquels Alan, la MCEN et CNP Assurances Protection Sociale. Tous précisent n’avoir subi aucune intrusion dans leurs propres systèmes d’information et indiquent que l’attaque a visé l’infrastructure d’Almerys.
Les investigations menées par le prestataire sont toujours en cours. La liste détaillée des personnes concernées n’a pas encore été communiquée aux organismes clients. Dans l’attente, plusieurs d’entre eux indiquent considérer, par mesure de précaution, que l’ensemble des assurés et de leurs ayants droit pourraient être concernés.
Des données d’identification exposées, mais pas les données de santé
Les communications publiées par les différents organismes présentent un périmètre d’exposition identique. Les données concernées comprennent l’état civil des bénéficiaires (nom, prénom, date de naissance et rang de naissance), leur numéro de sécurité sociale, le nom de l’assureur, les références contractuelles ainsi que les dates de début et de fin de couverture.
En revanche, les organismes concernés affirment que les informations bancaires, les coordonnées de contact, les mots de passe, les données de santé, les informations relatives aux soins ou encore aux remboursements ne sont pas affectés par cet incident.
Alan rappelle notamment que les données de santé de ses membres restent hébergées dans ses propres systèmes et que son application demeure accessible. La MCEN indique également que ses espaces en ligne continuent de fonctionner normalement, tandis que CNP Assurances Protection Sociale affirme avoir renforcé la surveillance et la sécurité de ses systèmes dès la notification de l’incident.
Une plateforme arrêtée et des notifications réglementaires engagées
Pour contenir l’atteinte, Almerys a mis hors service sa plateforme de gestion des demandes de prise en charge. Selon les éléments communiqués par Alan, l’intrusion serait liée à ce portail spécifique. Une remise en service est envisagée au début de la semaine du 1er juin.
Dans l’intervalle, des dispositifs alternatifs sont mis en place afin de permettre aux professionnels de santé de transmettre leurs demandes de prise en charge. Les demandes hospitalières continuent notamment d’être traitées via les espaces dédiés proposés par certains organismes.
Sur le plan réglementaire, Alan indique avoir notifié l’Autorité de contrôle prudentiel et de résolution (ACPR) et préparer une déclaration auprès de la CNIL. CNP Assurances Protection Sociale a également annoncé préparer une notification à l’autorité chargée de la protection des données.
Les organismes concernés invitent enfin leurs assurés à faire preuve d’une vigilance renforcée face aux tentatives d’hameçonnage ou d’usurpation d’identité susceptibles de s’appuyer sur les informations compromises. Ils recommandent de ne communiquer aucun identifiant ou information personnelle à la suite d’un message non sollicité et de vérifier systématiquement l’authenticité des demandes reçues par téléphone, SMS ou courrier électronique.
