Le spécialiste du tiers payant Almerys a confirmé lundi 25 mai 2026 avoir été victime d’une cyberattaque ayant entraîné l’exposition de données personnelles de bénéficiaires, sans toutefois chiffrer leur nombre. Selon un communiqué envoyé à l’AFP, cette attaque, concernant l’ensemble des clients, a permis un accès non autorisé au site de délivrance des prises en charge (PEC) utilisé par certains professionnels et établissements de santé.
Des mesures immédiates prises par Almerys
Almerys indique avoir pris des mesures immédiates pour identifier et neutraliser les accès concernés. Ainsi, le site PEC a été fermé, ce qui impacte des demandes de prises en charge notamment en optique, en audiologie, en dentaire ainsi que certaines prises en charge hospitalières. Les parties prenantes concernées ont été immédiatement informées, ajoute le communiqué.
Données exposées et données épargnées
Les données personnelles potentiellement exposées comprennent le nom, le prénom, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé, le numéro de contrat de l’assureur ainsi que les dates de début et de fin de couverture. En revanche, les informations bancaires, les données de santé, les remboursements de soins, les coordonnées postales, les numéros de téléphone, les adresses e-mail et les mots de passe ne sont pas concernés par cet acte malveillant.
Continuité des services essentiels
Almerys précise que ses autres services restent opérationnels et que les activités de gestion, de mise à jour des bases, de traitement des flux et de paiement des prestations santé fonctionnent normalement. La situation est circonscrite au site de délivrance des prises en charge concerné et les services essentiels de tiers-payant continuent d’être assurés. Par ailleurs, Almerys travaille à une phase transitoire permettant de proposer des solutions de contournement aux professionnels et établissements concernés.
Réactions et enquête en cours
Samedi, l’assureur santé Alan avait invité ses adhérents à la vigilance après ce piratage. Almerys est également le prestataire d’autres mutuelles, comme MGEN, Harmonie Mutuelle ou AG2R. L’entreprise, déjà victime début 2024 d’un vol massif de données lors d’une cyberattaque, indique avoir déposé plainte auprès du procureur de la République et notifié l’incident à la Cnil. Une déclaration a aussi été faite auprès de l’Anssi. Le parquet de Paris a de son côté indiqué que sa section de lutte contre la cybercriminalité avait saisi la brigade spécialisée de la préfecture de police d’une enquête.
