Fuite de données de santé : 33 millions de Français touchés, comment réagir ?

33 millions d’assurés sociaux sont potentiellement concernés par une fuite massive de données, qui a touché deux sociétés assurant la gestion du tiers payant pour des dizaines de complémentaires santé. Comment savoir si vous êtes touché, quelles données ont été dérobées et quelles actions mettre en place ? On vous répond.

Que s’est-il passé avec Viamedis et Almerys ?

Deux sociétés ont été touchées, début février 2024, par des cyberattaques. Viamedis et Almerys, qui assurent la gestion du tiers payant de nombreuses complémentaires santé, ont subi d’importantes fuites de données à la suite de deux intrusions, étant intervenues les jeudi 1er février et lundi 5 février. « Le compte d’un professionnel de santé a été hameçonné », a expliqué à l’AFP le directeur général de Viamedis. Même constat chez Almerys : une usurpation des identifiants et des mots de passe de « certains professionnels de santé clients du service a compromis leur compte et facilité l’accès » au portail de la société.

33 millions de personnes touchées : quelles données concernées ?

Au total, ce sont 33 millions de comptes d’assurés sociaux qui ont été exposés à cette fuite massive. Si Viamedis a fermé un temps son portail, la société a assuré aux « bénéficiaires [qu’ils] pourront continuer à utiliser leur carte vitale et leur carte de tiers payant ». Mais de nombreuses données personnelles sont concernées, pour les assurés et leur famille : « L’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit », précise la CNIL dans un communiqué. Selon Viamedis, « ni information bancaire, ni coordonnée postale, ni numéro de téléphone, ni email » n’ont été exposés à cette cyberattaque, ce qu’a également confirmé Almerys.

Êtes-vous personnellement concerné par cette fuite massive ?

« La CNIL n’est pas en mesure de vous indiquer si vous êtes concerné », écrit clairement l’organisme dans son communiqué. Ce n’est d’ailleurs pas son rôle. Celle-ci a pour mission de s’assurer que les clients des deux prestataires informent « dans les plus brefs délais » les assurés concernés.

Il appartient à chacune des complémentaires santé faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées comme le prévoit notamment le RGPD.

Que faire si vos données ont été exposées ?

La CNIL transmet plusieurs conseils, notamment de vigilance, auprès des personnes qui pourraient être concernées par cette fuite de données massive. Dans un premier temps, elle recommande aux assurés « d’être prudents sur les sollicitations que vous pouvez recevoir, en particulier s’ils concernent des remboursements de frais de santé ». Parallèlement, la CNIL conseille de « vérifier périodiquement les activités et mouvements sur vos différents comptes ».

Dernièrement, ce vol de données en lui-même n’est pas la seule menace : « Bien que les données de contact ne soient pas concernées par la violation, il est possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures. » En d’autres termes, il pourrait être possible de réaliser des actions d’hameçonnage beaucoup plus crédibles grâce à ces données, en les associant à d’autres qui auraient pu vous être volées précédemment.

Que va-t-il se passer désormais ?

Les deux entreprises ont annoncé rapidement avoir déposé une plainte, et ont effectué des signalements auprès des autorités compétentes, à savoir la CNIL mais également l’Agence nationale de la sécurité des systèmes d’information (ANSSI). « Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD », conclut le communiqué de la commission.