Mutuelles santé : cyberattaque au tiers payant pour 33 millions d’assurés
Fin janvier 2024, les données de plus de 33 millions de personnes ont été piratées lors d’une cyberattaque sur deux gros opérateurs assurant la gestion du tiers payant d’une centaine de complémentaires santé. Quelles sont exactement les données concernées ? Quels sont les risques pour les assurés, victimes collatérales de ce piratage ?
Piratage de données en ligne pour 33 millions de personnes
Entre le 21 janvier et le 4 février, deux sociétés servant d’intermédiaires entre les professionnels de santé (médecins, pharmaciens, opticiens, dentistes, infirmiers, etc.) et les organismes de complémentaire santé ont été la cible d’une cyberattaque. Il s’agit de Viamedis, principal opérateur de tiers payant et filiale des groupes Malakoff Humanis et Vyv, et d’Almerys, expert des hautes technologies appliquées à l’assurance et à la santé. Lors d’une consultation ou d’un acte médical, ce sont ces sociétés qui sont interrogées par le praticien pour savoir s’il peut accorder le tiers payant à l’assuré via sa carte de mutuelle santé.
L’information a été rendue publique par la Cnil (Commission nationale de l’informatique et des libertés) le mercredi 7 février. L'instance estime que plus de 33 millions d’assurés sont potentiellement touchés par la fuite de données ayant visé Viamedis et Almerys. Ces deux très importants prestataires sont affiliés à une centaine de complémentaires santé, couvrant quelque 40 millions d’assurés sociaux, et comptent plus de 200 000 adhérents professionnels.
Le détail des données piratées
Les cyber-attaquants ont usurpé l’identité de soignants pour entrer sur la plateforme de gestion Viamedis, ce qui leur a permis d’accéder à des millions de données personnelles de bénéficiaires du tiers payant. Quelques jours plus tard, ce fut au tour d’Almerys de subir le même sort.
Les données concernées par ces attaques sont :
l’état civil
la date de naissance
le numéro de Sécurité sociale
le nom de l’organisme assureur
les garanties du contrat souscrit
La Cnil a précisé que les informations plus sensibles ne sont pas concernées par la violation :
les données médicales
les informations bancaires
les remboursements santé
les coordonnées postales
les numéros de téléphone et adresses mail.
Viamedis a par ailleurs constaté le vol de données de professionnels de santé (raison sociale, RIB, numéro de Siret, login pour la plateforme de gestion), des informations qui pourraient être utilisées à des fins de fraudes financières et de phishing (hameçonnage).
Les risques pour les assurés de mutuelle santé
Il revient aux mutuelles et autres complémentaires santé travaillant avec Viamedis et Almerys d’informer individuellement et directement, dans les plus brefs délais, leurs adhérents ou assurés, conformément au règlement général sur la protection des données (RGPD).
À noter : si vous recevez un courrier ou un mail de votre mutuelle vous informant de la cyberattaque sur les plateformes de tiers payant, sachez que cette communication ne confirme pas que vous êtes réellement affecté par l’incident.
Si les données de contact ne sont pas affectées, ce qui minimise les risques de phishing, les informations volées peuvent être couplées à d’autres données provenant de fuites antérieures. Cela demanderait toutefois beaucoup de temps et d’énergie aux pirates pour recouper les données et en tirer profit. Le risque majeur concerne l’usurpation d’identité, une infraction dont il est difficile de se prémunir.
La Cnil recommande aux assurés de rester vigilants et leur conseille :
d’être prudents sur les sollicitations qu’ils peuvent recevoir (téléphone, courriels), en particulier s’ils concernent des remboursements de frais de santé;
de vérifier périodiquement les activités et mouvements sur leurs différents comptes.
Dans l’immédiat, le service de tiers payant est affecté. Les professionnels de santé sont contraints de refuser l’avance de frais aux patients affiliées aux organismes partenaires de Viamedis et d’Almerys.
Une enquête préliminaire a été confiée à la Brigade de Lutte contre la Cybercriminalité. Si vous êtes concerné par le vol de donnéesvisant les opérateurs Viamedis et Almerys, vous pouvez déposer plainte via le formulairemis en ligne par l’administration française.