Vos données personnelles ont probablement été volées, la vigilance s’impose !

33 millions de Français, soit plus d’un adulte sur deux, concernés par le vol de leurs données personnelles

Votre identité et votre numéro de Sécurité sociale sont peut-être entre de très mauvaises mains. En moins d’une semaine, Viamedis et Almerys, deux entreprises inconnues du grand public, mais stratégiques dans le secteur des remboursements des dépenses de santé, ont officiellement annoncé avoir été victimes d’une cyberattaque. Ces prestataires sont des spécialistes de la gestion du tiers payant entre professionnels de santé et assurances et mutuelles, ce système qui dispense les patients de faire l’avance des frais à leur médecin, leur dentiste, leur opticien, leur pharmacien…
Données personnelles concernées

« Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit », a précisé dans un communiqué le gendarme de la vie privée en matière numérique, en ajoutant que les informations bancaires, médicales et qui concernent les remboursements de santé « ne seraient pas concernées ».
Que faire ?

Il est conseillé d’« être prudent sur les sollicitations reçues, en particulier si elles concernent des remboursements de frais de santé », mais aussi « de vérifier périodiquement les activités et mouvements sur leurs différents comptes ». Il est en effet « possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures », explique la CNIL.
Des enquêtes en cours

La CNIL va « mener très rapidement des investigations » pour vérifier si les mesures de sécurité de ces opérateurs étaient conformes à leurs obligations, appelle également chacune des complémentaires ayant recours à Viamedis ou à Almerys à informer « individuellement et directement » l’ensemble de leurs assurés concernés par cette violation de données. Elle dit qu’elle s’assurera que ce soit fait « dans les plus brefs délais ».
Usurpation d’identifiants et mots de passe

L’attaque s’est faite par l’usurpation d’identifiants et mots de passe de professionnels de santé. Almerys et Viamedis n’ont publié aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des données, ou si elles pouvaient viser d’autres buts comme implanter un rançongiciel. L’alerte avait été donnée le 1er février. Viamedis, qui a déposé une plainte auprès du procureur de la République, avait fait savoir qu’il avait déconnecté sa plate-forme de gestion à la découverte de l’intrusion, ce qui n’empêchait pas les assurés sociaux de bénéficier du tiers payant. Son directeur général, Christophe Candé, avait expliqué qu’il ne s’agissait pas d’une attaque par rançongiciel mais d’une intrusion dans la plate-forme. « Le compte d’un professionnel de santé a été hameçonné », avait-il alors révélé.

Almerys a déclaré mercredi que son système d’information central n’avait pas été touché par la cyberattaque. Seul son « portail dédié aux professionnels de santé » a été touché et fermé, a affirmé la société. Les autres grandes plates-formes de tiers payant ne semblent pas avoir été touchées, selon des informations recueillies par l’Agence France-Presse auprès de SP Santé (filiale de Cegedim) et d’Actil (filiale d’Apicil), entre autres.