Mercredi, la Cnil a indiqué que « plus de 33 millions » de Français sont concernés par un vol de données lors d’une cyber-attaque ayant visé deux gestionnaires du tiers payant pour des mutuelles.
Des données personnelles exposées
Viamedis et Almerys, deux sociétés servant d’intermédiaires entre les professionnels de santé et les complémentaires santé, ont été la cible de l’attaque qui s’est produite par l’usurpation d’identifiant et mot de passe de certains professionnels de santé (cf. Cyberattaque : un nouvel hôpital francilien pris pour cible).
Le 1er février, l’alerte avait été donnée par Viamedis qui a alors averti les autres plateformes de tiers payant. Peu de temps après, Almerys a également indiqué avoir détecté une intrusion. En revanche, les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées.
Almerys a précisé que son système d’information central n’a pas été touché par la cyber-attaque. Elle affirme que seul son « portail dédié aux professionnels de santé » a été impacté et fermé (cf. En 2022, 13% des incidents de cybersécurité ont mis en danger des patients).
« Pour les assurés et leurs familles », le vol de données concerne « l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit » a indiqué l’autorité administrative. « Les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les adresses électroniques » ne seraient en revanche pas touchés (cf. Des pirates volent des données de la société de tests généalogiques 23andMe).
Prudence, de futures cyber-attaques sont possibles
Selon des spécialistes de la cybersécurité, les données concernées n’ont pas « une grande valeur en tant que telles », mais elles peuvent éventuellement servir à de futures cyber-attaques. Tamim Couvillers, analyste de la société de cybersécurité Vade, avertit en outre qu’elles « peuvent vite être croisées avec d’autres fichiers » (cf. Vol de données de santé : la Cnil lance une investigation).
La Cnil conseille donc aux personnes touchées d’« être prudent[es] sur les sollicitations qu'(elles peuvent) recevoir, en particulier si elles concernent des remboursements de frais de santé » et « de vérifier périodiquement les activités et mouvements sur (leurs) différents comptes ». Il est en effet « possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures » indique l’autorité administrative.
« Devant l’ampleur de la violation », la Cnil va « mener très rapidement des investigations », notamment pour vérifier si les opérateurs avaient pris des mesures de sécurité conformes à leurs obligations en matière de protection des données.
Elle a également demandé aux mutuelles utilisant Viamedis et Almerys d’informer « individuellement et directement » tous leurs assurés concernés, précisant qu’elle s’assurera que ce soit fait « dans les plus brefs délais » (cf. Données de santé : la mise à l’épreuve du secret professionnel).
Des Français conscients des risques
Selon une enquête dévoilée lundi par la Délégation interministérielle du numérique en santé, « 90% des Français ont déjà eu recours à au moins un outil ou service numérique en santé »[1]. Bien que « 74% de personnes interrogées estiment qu’ils auront un effet positif sur la coordination du parcours de soins et le suivi du dossier médical », les sondés évoquent des « craintes » quant à « une déshumanisation des soins et à une inégalité dans l’accès aux soins ». Par ailleurs, « 86% considèrent leurs données de santé comme des données sensibles et 78% redoutent que des usages commerciaux en soient faits ».
Complément du 29/02/2024 : Suite au piratage des opérateurs du tiers-payant de la Sécurité sociale Viamedis et Almerys, 217 000 usurpations ont été recensées parmi les 33 millions de Français concernés par le vol de données.
[1] prise de rendez-vous en ligne, téléconsultation, récupération de documents d’analyses, objets connectés
Sources : AFP (07/02/2024) ; Hospimedia, Géraldine Tribault (06/02/2024) ; Clubic, Alexandre Boero (27/02/2024)
