Numéros de sécurité sociale exposés : la cyberattaque Almerys inquiète les assurés et les autorités françaises

Almerys, spécialiste du tiers payant, confirme une cyberattaque ayant entraîné l’exposition de données personnelles de bénéficiaires, sans chiffrer le nombre de personnes concernées. L’accès non autorisé a visé le site de délivrance des prises en charge (PEC), utilisé par certains professionnels et établissements de santé. Dans la foulée, l’entreprise dit avoir pris des mesures immédiates pour identifier et neutraliser les accès concernés, avec une fermeture du service PEC.

Les informations potentiellement exposées recouvrent l’identité et des éléments administratifs sensibles, dont le numéro de sécurité sociale, le nom de l’assureur santé, le numéro de contrat et les dates de couverture. Plusieurs acteurs, dont Alan, appellent leurs assurés à la prudence face à une hausse probable de tentatives d’arnaques. Des démarches ont été engagées auprès des autorités, avec dépôt de plainte et notifications, tandis que l’enquête est confiée à des services spécialisés.

Almerys ferme le site PEC après un accès non autorisé

Le point d’entrée de l’attaque, d’après la communication de l’entreprise, se situe sur le site de délivrance des PEC, un outil opérationnel pour valider des prises en charge avant certains soins. Almerys explique que l’attaque a permis un accès non autorisé à ce site, utilisé par des professionnels et établissements de santé. Dans l’immédiat, la mesure la plus visible a été la fermeture du service, le temps de circonscrire l’incident.

Cette fermeture n’est pas neutre dans la vie réelle. Le site PEC sert notamment à fluidifier des demandes en optique, en audiologie et en dentaire, mais aussi certaines prises en charge hospitalières. Concrètement, un centre auditif qui attend une validation pour un appareillage, ou un cabinet dentaire qui vérifie l’éligibilité d’un patient à une garantie, peut se retrouver à basculer sur des procédures plus lentes, parfois manuelles.

Almerys assure que l’incident est circonscrit au site concerné et que les services essentiels de tiers-payant continuent d’être assurés. Dans les faits, cela signifie que tout n’est pas à l’arrêt, mais que la partie délivrance de PEC est perturbée. L’entreprise évoque une phase transitoire avec des solutions de contournement destinées aux professionnels et établissements touchés, sans détailler publiquement les modalités techniques.

Critique à garder en tête, la communication reste prudente sur l’ampleur réelle, car le nombre de bénéficiaires concernés n’est pas chiffré. Pour les assurés, cette absence de volume complique l’évaluation du risque, même si la nature des données évoquées suffit à justifier une vigilance renforcée. Pour les professionnels, l’enjeu est double, maintenir la continuité de service et éviter que des comptes compromis ne servent à de nouvelles intrusions.

Numéro de sécurité sociale et contrats, les données exposées inquiètent

Les données potentiellement exposées décrivent un profil administratif précis. Sont cités l’état civil, la date de naissance et le numéro de sécurité sociale, mais aussi le nom de la mutuelle, le numéro de contrat et les dates de début et de fin de couverture. Ce mélange est sensible, car il permet à un fraudeur de composer un récit crédible, par exemple en se faisant passer pour un organisme de complémentaire santé ou un intermédiaire de gestion.

À l’inverse, plusieurs catégories de données sont indiquées comme non concernées, ce qui apporte une nuance importante. Il est précisé que les données bancaires ne sont pas stockées sur la plateforme, et ne seraient donc pas impactées. Sont aussi exclues, selon les informations communiquées, les données médicales, les remboursements, les coordonnées postales, les numéros de téléphone et les adresses e-mail, tout comme les mots de passe. Cette frontière réduit certains risques, mais ne les annule pas.

Exemple concret, un escroc peut appeler une personne en se présentant comme un interlocuteur tiers payant et citer des éléments exacts, date de naissance, mutuelle, période de couverture, pour gagner la confiance. Même sans e-mail ni téléphone issus de la fuite, ces informations peuvent être recoupées avec d’autres bases ou utilisées dans des tentatives de phishing de masse, où le message vise large et ne touche qu’une partie des personnes exposées.

Un consultant en cybersécurité, Marc L., résume le problème de façon très terre-à-terre, quand tu as le NIR et des infos de contrat, tu as de quoi fabriquer des scénarios d’arnaque qui sonnent vrai, même si tu n’as ni IBAN ni dossier médical. La nuance, c’est que le risque principal bascule vers l’usurpation d’identité et l’ingénierie sociale, plus que vers un vol direct d’argent sur un compte bancaire.

Alan et plusieurs mutuelles alertent sur une vague de messages frauduleux

Dans ce type d’incident, les jours qui suivent comptent presque autant que l’attaque elle-même. Alan a appelé ses assurés à la prudence, en anticipant une multiplication de messages frauduleux dans les semaines suivantes. L’idée est simple, quand une fuite est médiatisée, des acteurs malveillants surfent sur l’actualité pour envoyer de faux SMS, de faux appels ou de faux courriers qui reprennent les mots-clés du moment, tiers payant, prise en charge, mise à jour.

Les attaques les plus courantes ne demandent pas forcément un paiement immédiat, elles cherchent d’abord à récupérer une information manquante. Exemple, un faux message peut réclamer une confirmation d’identité ou une régularisation, puis renvoyer vers un site qui collecte des pièces justificatives. Même si les adresses e-mail ne figurent pas dans les données annoncées comme exposées, la diffusion de messages peut se faire par des canaux opportunistes, et toucher large.

Côté assureurs, des démarches sont engagées, avec dépôt de plainte et signalements aux autorités compétentes, dont la CNIL et l’ACPR mentionnée par Alan. Le message envoyé aux assurés vise surtout à éviter le réflexe de cliquer dans l’urgence. Dans la vraie vie, c’est le moment où les gens sont pressés, un devis dentaire, des lunettes à changer, un rendez-vous hospitalier, et où un message votre PEC est bloquée peut faire mouche.

Une nuance mérite d’être posée, l’alerte généralisée peut aussi créer du bruit et de la fatigue, et certains assurés finissent par ne plus distinguer le vrai du faux. Marc L. le dit sans détour, si tu envoies trois alertes vagues, tu perds les gens, il faut des consignes concrètes et répétées. Les consignes les plus efficaces restent factuelles, ne jamais transmettre son numéro de sécurité sociale à un interlocuteur non vérifié, ne pas envoyer de pièce d’identité via un lien reçu, et passer par les canaux officiels connus.

CNIL, ANSSI et parquet de Paris, l’enquête s’organise

Sur le volet institutionnel, Almerys indique avoir notifié l’incident à la CNIL et déclaré la situation à l’ANSSI. Ces démarches cadrent la réponse, car la CNIL intervient sur la protection des données personnelles, tandis que l’ANSSI apporte un appui sur l’analyse et la remédiation technique, notamment quand des infrastructures sensibles ou des secteurs critiques sont concernés. L’entreprise dit aussi avoir déposé plainte.

Le parquet de Paris a, de son côté, indiqué que sa section de lutte contre la cybercriminalité a saisi une brigade spécialisée de la préfecture de police. Dans ce type de dossier, les enquêteurs cherchent à comprendre le mode opératoire, la chronologie, les comptes utilisés, les journaux d’accès, et à établir si des données ont été exfiltrées, consultées ou seulement rendues accessibles. L’enjeu est aussi de déterminer si l’attaque s’inscrit dans une série plus large.

Un élément marquant, c’est que l’entreprise avait déjà été visée début 2024 par un vol massif de données lors d’une précédente cyberattaque. La répétition ne prouve pas à elle seule une faiblesse structurelle, mais elle pose une question de fond sur la surface d’attaque des opérateurs de tiers payant, qui connectent mutuelles, professionnels et flux administratifs. Quand un acteur est au milieu, l’impact peut se propager à beaucoup d’organisations sans qu’elles aient été directement attaquées.

Autre point à surveiller, l’enquête devra clarifier l’ampleur, car l’entreprise ne chiffre pas le nombre de personnes concernées. Pour les autorités, cette quantification compte, car elle conditionne les obligations d’information, l’évaluation du risque pour les personnes, et le suivi d’éventuelles campagnes de fraude. Tant que le volume reste inconnu, le public oscille entre minimisation et inquiétude, ce qui complique la communication de crise.

Usurpation de comptes santé, un scénario déjà vu dans le tiers payant

Des éléments communiqués lors d’un précédent épisode décrivaient une attaque par usurpation d’identité de comptes de professionnels de santé sur un portail dédié, avec exposition non autorisée de données personnelles. Le schéma est classique, un attaquant récupère ou devine des identifiants, ou exploite une faille d’authentification, puis se connecte comme un utilisateur légitime. Dans un environnement de tiers payant, ces accès ouvrent parfois des vues sur des informations administratives très larges.

Ce scénario rappelle d’autres incidents récents dans des secteurs voisins, tourisme, services en ligne, ou plateformes B2B, où l’attaquant ne casse pas forcément un chiffrement, mais entre par la porte des identifiants. La leçon est connue, l’authentification forte et la surveillance des connexions atypiques font souvent la différence. Quand un compte professionnel est compromis, l’attaque peut ressembler à une activité normale, ce qui retarde la détection.

Sur le terrain, l’impact se lit dans les parcours de soin. Si la validation de PEC est ralentie, certains professionnels demandent au patient d’avancer les frais, ou reportent l’acte le temps d’obtenir une confirmation. Pour une paire de lunettes ou un appareil auditif, l’avance peut représenter plusieurs centaines d’euros, parfois plus. Même si l’entreprise affirme que les services essentiels continuent, la moindre friction administrative se traduit rapidement en stress et en coûts temporaires.

Pour les assurés, la conduite à tenir tient en quelques réflexes concrets, sans paranoïa. Ne pas répondre à une demande d’information sensible reçue par message non sollicité, vérifier l’identité de l’interlocuteur en rappelant via un numéro officiel déjà connu, et surveiller toute utilisation inhabituelle de son numéro de sécurité sociale dans des démarches. La critique, c’est que ces conseils reposent sur la vigilance individuelle, alors que la protection doit d’abord être systémique, côté plateformes et authentification des accès professionnels.