Le spécialiste du tiers payant Almerys a confirmé lundi avoir subi une cyberattaque ayant conduit à l'exposition de données personnelles de bénéficiaires de complémentaires santé. L'attaque a visé le site de délivrance des prises en charge (PEC), utilisé par des professionnels et établissements de santé pour certaines demandes en optique, audiologie, dentaire ou hospitalisation.
Une attaque ciblant le site PEC
Selon l'entreprise, « cette attaque, concernant l'ensemble des clients, a permis un accès non autorisé au site de délivrance des prises en charge (PEC) ». Dans la foulée, Almerys affirme avoir « pris des mesures immédiates pour identifier et neutraliser les accès concernés ». Le site PEC a été fermé, provoquant des perturbations sur certaines demandes de prise en charge.
Services opérationnels malgré l'incident
L'entreprise précise toutefois que ses autres services « restent opérationnels » et que les activités « de gestion, de mise à jour des bases, de traitement des flux et de paiement des prestations santé fonctionnent normalement ». Elle assure également que la situation « est circonscrite au site de délivrance des prises en charge concerné ».
Données exposées et mesures prises
Les données « potentiellement exposées » comprennent notamment les noms, prénoms, dates de naissance, numéros de sécurité sociale, noms de l'assureur santé, numéros de contrat ainsi que les dates de couverture des assurés. En revanche, Almerys indique que « les informations bancaires, les données de santé, les remboursements de soins, les coordonnées postales, les numéros de téléphone, les adresses e-mail et les mots de passe ne sont pas concernés par cet acte malveillant ».
Samedi, l'assureur santé Alan avait déjà appelé ses adhérents à la vigilance après ce piratage. Almerys travaille désormais à une « phase transitoire » afin de proposer « des solutions de contournement » aux professionnels concernés.
Contexte et enquête
Cette nouvelle attaque intervient plus d'un an après un précédent vol massif de données subi par l'entreprise début 2024. Almerys indique avoir déposé plainte auprès du procureur de la République et signalé l'incident à la Cnil ainsi qu'à l'Anssi. Le parquet de Paris a confirmé de son côté que sa section spécialisée dans la lutte contre la cybercriminalité avait confié l'enquête à la brigade compétente de la préfecture de police.
