La CNIL confirme un vol de données chez deux opérateurs de tiers payant (Viamedis et Almerys) qui concerne 33 millions d’assurés sociaux français. Une enquête est en cours.
Important vol de données des assurés sociaux
La cyberattaque visant Viamedis et Almerys a eu lieu à la fin janvier. Les deux opérateurs, qui assurent la gestion du tiers payant des complémentaires santé, ont vu les données nécessaires à leurs missions être compromises lors de cette violation.
Au total, cette fuite de données concerne plus de 33 millions de personnes. Les données concernées sont l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit. Les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les e-mails ne seraient pas concernées par la violation.
Devant l’ampleur de la violation, la présidente de la CNIL a décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du règlement général sur la protection des données (RGPD).
Comment savoir si vous êtes concerné par ce vol de données ? Selon la CNIL, il appartient à chacune des complémentaires santé faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées comme le prévoit notamment le RGPD. La CNIL s’assurera que ce soit fait dans les plus brefs délais.
Début février, Viamedis, qui a déposé une plainte auprès du procureur de la République, avait indiqué avoir déconnecté sa plateforme de gestion à la découverte de l’intrusion, ce qui n’empêchait pas les assurés sociaux de bénéficier du tiers payant. Son directeur général, Christophe Candé, avait expliqué qu’il ne s’agissait pas d’une attaque par ransomware, mais d’une intrusion dans la plateforme. « Le compte d’un professionnel de santé a été hameçonné », avait-il alors révélé.
Et comment cela est il possible qu’à partir du compte d’un simple professionnel de santé, on a accès à l’intégralité des comptes gérés et qu’on puisse les pomper aussi rapidement.
Je ne suis pas expert en sécurité mais là, il y a un gros problème.
D’ailleurs avant d’hameçonner le compte , les pirates ont du faire des investigations sur le système de ces intermédiaires de mutuelles et se rendre compte qu’on pouvait tout pirater à partir d’un simple compte utilisateur.