Fuite de données dans le tiers-payant : les victimes vont pouvoir être prévenues

L'opérateur de **tiers-payant** Almerys a transmis aux assureurs la liste des bénéficiaires dont les **numéros de Sécurité sociale** ont fuité. Plus de **15 millions** de données seraient en jeu. Aucune donnée bancaire ou médicale n'a été compromise.

L'analyse

📌 **FAITS**:

- Almerys a fourni à ses assureurs clients la liste des personnes dont les données ont fuité lors d'une cyberattaque.

- Selon French Breaches, plus de 15 millions de numéros de Sécurité sociale auraient été dérobés et mis en vente sur le dark web.

- Un professionnel du secteur évoque une "vingtaine de millions" de personnes potentiellement concernées.

- Les données volées incluent nom, prénom, date de naissance, numéro de Sécurité sociale, assureur et numéro de contrat.

- Aucune donnée bancaire, de santé, email ou téléphone n'a été compromise.

- Almerys précise que cette attaque est distincte de celle de 2024.

- Des assureurs (Alan, Generali, Viasanté/AG2R, CNP Assurances, Aesio, MCEN, MMJ) ont déjà commencé à prévenir leurs adhérents.

- La CNIL a été informée.

📍 **CONTEXTE**:

- En 2024, Almerys avait déjà été victime d'une cyberattaque. La CNIL mène des investigations qui devraient être closes courant 2026.

- Le tiers-payant permet aux patients d'être dispensés d'avancer les frais médicaux ; environ 3,5 millions de bénéficiaires y ont recours en France (patients atteints de cancers ou maladies graves).

👥 **ACTEURS**:

- **Almerys** : opérateur de tiers-payant, a transmis la liste des victimes aux assureurs.

- **French Breaches** : expert en cybersécurité, a révélé la vente des données.

- **Assureurs** : Alan, Generali, Viasanté/AG2R, CNP Assurances, Aesio, MCEN, MMJ – informent leurs clients.

- **CNIL** : autorité de régulation, enquête en cours.

📊 **ENJEUX**:

- Risque d'escroqueries ciblées par hameçonnage (usurpation des numéros de Sécurité sociale).

- Confiance des assurés dans le système de tiers-payant et la sécurité des données de santé.

- Responsabilité juridique d'Almerys et des assureurs en matière de protection des données.

🔮 **PERSPECTIVES**:

- Les victimes vont recevoir une notification directe de leur assureur.

- Les données volées ne contiennent pas d'éléments bancaires ou médicaux, réduisant le préjudice direct mais permettant des fraudes administratives.

- La CNIL pourrait imposer des sanctions si des manquements sont avérés.

Contexte

Similaire à l'attaque de 2024 chez Almerys, mais l'entreprise précise qu'il s'agit d'une nouvelle brèche distincte.

Pourquoi c'est important

Pour les millions de Français utilisant le tiers-payant, cette fuite expose leurs données personnelles sensibles (numéro de Sécurité sociale, nom, contrat) à des tentatives d'escroquerie. Il est crucial d'être vigilant face aux sollicitations.

Acteurs clés

Almerys — Opérateur de tiers-payant
A transmis la liste des victimes aux assureurs. Refuse de donner le nombre de victimes.
French Breaches — Expert en cybersécurité
Signale la mise en vente des données sur le dark web.
Professionnel de l'assurance (anonyme) — Source dans le secteur de l'assurance
Évoque une vingtaine de millions de personnes potentiellement concernées.
CNIL — Autorité de protection des données
Enquête sur l'incident.

Chiffres clés

plus de 15 millions — Numéros de Sécurité sociale dérobés (French Breaches via 20 Minutes / La Croix)
vingtaine de millions — Estimation alternative des victimes (Professionnel de l'assurance via 20 Minutes / La Croix)
Alan, Generali, Viasanté/AG2R, CNP Assurances, Aesio, MCEN, MMJ — Assureurs ayant prévenu leurs clients (20 Minutes / La Croix)

Et ensuite ?

Scénario Tendanciel : augmentation des tentatives d'escroquerie par hameçonnage utilisant les numéros de Sécurité sociale, incitant les autorités à renforcer les contrôles. Scénario de Rupture : adoption d'une régulation plus stricte sur la cybersécurité des opérateurs de données de santé et généralisation de la notification obligatoire immédiate.

Sources

Lire l'analyse complète dans PRISM