Cyberattaques : plusieurs fuites massives de données chez les acteurs de santé Viamedis et Almerys

Viamedis et Almerys assurent la gestion du tiers-payant pour des mutuelles.

La CNIL (Commission Nationale de l’Informatique et des Libertés), « gendarme » des données personnelles, a précisé le 7 février dernier que « cette fuite de données concerne plus de 33 millions de personnes ». Mais les investigations se poursuivent pour préciser l’étendue de l’attaque. L’enquête de la CNIL devra aussi vérifier si les mesures de sécurité étaient suffisantes. En parallèle, des plaintes pénales ont été déposées par les entreprises victimes. Enfin, le cadre légal impose aussi aux complémentaires de santé d’informer « individuellement et directement » les personnes dont les données ont fuité. Il faudra donc guetter un message de sa mutuelle, qui pourrait arriver dans les prochains jours, voire les prochaines semaines, pour que chaque assuré social puisse savoir si ses données ont été piratées.

Les données concernées :

• Pour les usagers : état civil, date de naissance et numéro de Sécurité sociale, nom d’assureur santé et garanties ouvertes au tiers payant ;
• Pour les professionnels : raison sociale, nom, prénom, adresse-mail, identifiants de connexion à Viamedis, numéro de téléphone, adresse postale, RIB, numéro FINESS (fichier national des établissements sanitaires et sociaux), numéro SIRET, réseau de soins.

Aucune donnée de santé directe des usagers n’a fuité.

Dans ce type d’attaque, appelée hameçonnage (ou phishing en anglais), les données personnelles sont utilisées pour monter des arnaques, envoyer des mails ou sms en se faisant passer pour une mutuelle, l’assurance maladie, etc. En disposant d’informations comme le numéro de Sécurité sociale, ils peuvent davantage vous faire croire que ces envois sont légitimes. Via un lien à cliquer qui contient un virus, vous pouvez être exposé à un piratage de vos données ou appareils (ordinateur, téléphone) utilisés.

Autres impacts possibles :

• La gestion du tiers-payant par certains de vos professionnels peut être perturbée. Le tiers-payant reste possible mais les professionnels de santé ne peuvent pas vérifier vos droits en ligne (devis optique, garanties en ligne à la pharmacie via Visiodroits, etc.). Soyez donc munis de vos cartes et garanties de tiers-payant.
• Les professionnels de santé sont eux aussi susceptibles d’être ciblés par des tentatives de hameçonnage, ou d’usurpation d’identité. Pour communiquer en toute sécurité avec vos professionnels, privilégiez la messagerie sécurisée de Mon Espace Santé et soyez prudents si vous recevez des messages suspects ou contenant des liens à cliquer.

À savoir : 

• L’assurance maladie et les mutuelles ne communiquent pas de lien à cliquer par sms ou e-mail. Elles demandent bien de vous identifier sur leurs plateformes en ligne sécurisées.
• Retrouvez les conseils de la CNIL et de CyberMalveillance.gouv, pour prévenir et réagir en cas de fuite de données personnelles :
  • CNIL : https://www.cnil.fr/fr/comment-reagir-face-une-usurpation-didentite
  • Cybermalveillance.gouv : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/que-faire-en-cas-de-fuite-de-donnees-
  • https://www.ameli.fr/assure/actualites/attention-aux-sms-appels-ou-courriels-frauduleux