Les fuites de données chez Viamedis et Almerys impactent 33 millions de personnes en France
Il est désormais établi que les violations de données chez deux prestataires français de services de paiement de soins de santé, Viamedis et Almerys, touchent plus de 33 millions de personnes dans le pays.
Viamedis et Almerys proposent des services de santé et d’assurance en France avec des solutions technologiques et administratives pour faciliter les transactions.
Ils gèrent les données sensibles des assurés nécessaires à l’octroi des remboursements et rationalisent généralement le processus de paiement dans le système complexe et multicouche de couverture d’assurance de la France.
Viamedis a révélé pour la première fois l’incident de cybersécurité il y a une semaine sur LinkedIn (le site Internet de l’entreprise reste indisponible), affirmant avoir subi une violation de données affectant les bénéficiaires et les professionnels de santé.
La société a déclaré que l’exposition comprend les noms, les dates de naissance, les coordonnées de l’assureur, les numéros de sécurité sociale, l’état civil, l’état civil et les garanties ouvertes au tiers payant.
Aucune information bancaire, adresse e-mail, coordonnées postales ou numéro de téléphone n’a été dévoilée, Viamedis ayant déclaré ne pas stocker ce type de données sur les systèmes piratés.
La société dessert 20 millions d’assurés par l’intermédiaire des 84 organismes de santé qui utilisent ses services, mais elle a choisi de ne pas divulguer combien d’entre eux ont été touchés par l’incident, affirmant qu’une enquête était en cours.
La violation d’Almerys a été initialement rapportée par les médias locaux citant des sources anonymes, et la société n’a pas encore publié de déclaration officielle sur l’incident.
Cependant, l’autorité française de protection des données (CNIL) a désormais confirmé les deux violations de données et affirme que les attaques ont touché 33 millions de personnes dans le pays.
« La CNIL a été informée par Viamedis et Almerys de la cyberattaque dont elles ont été victimes fin janvier », peut-on lire dans le communiqué.
« Ces opérateurs, qui gèrent le tiers payant des complémentaires santé, ont vu les données nécessaires à leurs missions compromises lors de cette brèche. Au total, cette fuite de données concerne plus de 33 millions de personnes. »
Cela fait de cet incident l’une des cyberattaques les plus percutantes de l’histoire récente du pays, touchant près de la moitié de la population entière.
Bien que les données exposées n’incluent pas d’informations financières, elles suffisent néanmoins à augmenter le risque d’escroquerie par phishing, d’ingénierie sociale, d’usurpation d’identité et de fraude à l’assurance pour les personnes exposées.
La CNIL précise qu’elle veillera à ce que Viamedis et Almerys informent directement et individuellement les personnes concernées, comme l’exige le Règlement Général sur la Protection des Données (RGPD).
Si vous pensez faire partie des personnes concernées, il est conseillé de surveiller de près vos comptes et de traiter avec suspicion les communications entrantes, notamment les sollicitations concernant le remboursement des frais d’assurance maladie.
« Bien que les données de contact n’aient pas été affectées par la violation, il est possible que les données impliquées dans la violation puissent être combinées avec d’autres informations issues de fuites de données précédentes », prévient la CNIL.
Enfin, l’autorité de protection des données a annoncé l’ouverture d’une enquête sur cet incident afin de déterminer quelles mesures de sécurité étaient en place pour les deux sociétés et si les obligations du RGPD étaient respectées.