Vols de données chez Viamedis et Almerys : comment savoir si vous faites partie des 33 millions de Français concernés ?

Après la fuite de données qui ébranle le monde de l'assurance santé française depuis quelques jours, l'incertitude est de mise chez les millions de Français et les milliers de professionnels de santé potentiellement menacés par l'incident. 

Pour mémoire, deux des principaux gestionnaires du tiers payant pour les mutuelles, Viamedis et Almerys, ont révélé avoir été visés par des cyberattaques au mode opératoire similaire à deux jours d'intervalle la semaine passée. Ces deux prestataires sont des poids-lourd du secteur, qui revendiquent à eux deux un peu moins de 40 millions d'assurés sociaux, affiliés à une centaine de complémentaires santé partenaires, et plus de 200.000 adhérents professionnels.

Ce mercredi 7 février, la Commission nationale de l'informatique et des libertés (Cnil) a indiqué que cette fuite de données concerne plus de 33 millions de personnes, sans préciser toutefois s'il s'agit du périmètre potentiel des victimes ou du nombre d'assurés dont les données ont été réellement volées. Auprès de RTL, la Cnil explique ce jeudi 8 février qu'il s'agit d'une estimation : "ce volume constitue le nombre réel de personnes dont les données ont été compromises lors de l'attaque. Les personnes concernées sont celles qui sont assurées et dont les noms apparaissent sur les cartes des complémentaires santé, cela peut être le souscripteur principal tout comme les membres de sa famille assurés avec lui". Ce nombre pourra être revu à la hausse ou à la baisse à la fin des investigations.

Tout a commencé le 29 janvier. Des attaquants ont usurpé l'identité de soignants pour entrer dans la plateforme de gestion de Viamedis et accéder à de nombreuses informations personnelles de bénéficiaires du tiers payant et d'établissements de santé. Une attaque similaire a été observée le 1ᵉʳ février par son concurrent Almerys.

Les deux opérateurs ont reconnu que l'état-civil, la date de naissance, le numéro de sécurité sociale, l'identité de l'assureur et les garanties de contrat d'assurés sociaux avaient été exposées aux pirates. Viamedis a également constaté la compromission de données de professionnels de santé, comprenant notamment la raison sociale, le login pour sa plateforme de gestion, le RIB et le numéro de Siret. Des données sensibles qui peuvent être utilisées par des tiers malveillants à des fins de phishing, de fraude financière et d'autres activités criminelles.

Combien de personnes sont vraiment touchées par l'incident ?

Au titre du RGPD, Viamedis et Almerys sont dans l'obligation légale de prévenir individuellement et directement les victimes dans le cadre d'un vol de données. Des mails ont bien été adressés ces derniers jours à l'ensemble des clients actuels et passés des mutuelles partenaires des deux prestataires et aux adhérents professionnels qui utilisent leurs plateformes de gestion, conformément aux obligations en vigueur. Mais cette communication ne signifie pas que les destinataires ont été réellement affectés par l'incident. La Cnil indique ce mercredi qu'il "appartient à chacune des complémentaires santé faisant appel aux prestataires Viamedis et Almerys d’informer individuellement et directement l’ensemble des personnes concernées".

Pour l'heure, Viamedis et Almerys poursuivent leurs investigations afin de déterminer l'ampleur réelle de la fuite. Avant la communication de la Cnil, Almerys avait indiqué à RTL ce mercredi 7 février qu'il "ne disposait pas du nombre exact de bénéficiaires impactés par l'exfiltration de données personnelles". De son côté, Viamedis n'a pas apporté de nouveaux éléments depuis sa première et seule communication en date du 1ᵉʳ février.

Les analyses, menées en lien avec des experts en cybersécurité, doivent notamment établir si le cadre de traitement et de conservation des données était conforme. "Un professionnel de santé touché par une cyberattaque ne doit pas remettre en cause toute la mécanique du tiers payant. Il faut savoir si des accès ont été dépassés ou non. Est-ce que les intrus ont pu accéder seulement aux données des personnes suivies par les soignants dont les comptes ont été usurpés ou à des millions de patients ?", s'interroge Pascal Le Digol, responsable pays France chez l'entreprise de cybersécurité WatchGuard, joint par RTL.

En attendant l'issue des enquêtes, les personnes souhaitant savoir si leurs informations ont été compromises peuvent contacter leur mutuelle ou se rendre sur le site ResoPharma, qui permet de vérifier si leur assurance est gérée par l'un de ces deux opérateurs pour le tiers payant. À ce stade, même si le timing et le mode opératoire des attaques peuvent faire penser à une campagne visant le secteur, Viamedis et Almerys sont les seuls opérateurs de tiers payant à avoir reconnu une intrusion dans leurs systèmes. 

L'accès aux soins entravé par ces cyberattaques

Une semaine après les faits, l'incident a des répercussions concrètes sur l'activité des professionnels de santé et sur l'accès aux soins des assurés sociaux. Des médecins, pharmaciens, opticiens, infirmiers, ambulanciers, dentistes et autres laboratoires d'analyses sont potentiellement contraints de refuser l'avance des frais à des patients affiliés aux complémentaires partenaires de Viamedis et Almerys, du fait de l'indisponibilité de leurs plateformes de gestion du tiers payant. 

"Ces logiciels nous permettent de transmettre les données des patients à l'Assurance maladie et de prendre en charge l'avance des remboursements au titre du tiers payant. S'ils sont fermés 48h, on peut s'organiser. Si c'est plus long, on ne peut plus le pratiquer", explique à RTL Stéphane Corfias, président du Rassemblement des Opticiens de France (ROF), premier syndicat du secteur. La situation serait toutefois en passe de se décanter dans les prochaines heures, avec la réouverture des flux de paiement chez Viamedis, précise l'Union des Syndicats de Pharmaciens d'Officine (USPO) à RTL.

Plus largement, les professionnels déplorent une communication insuffisante de la part de Viamedis et Almerys qui les laissent dans l'incertitude sur les établissements et les données concernées par les attaques, mais aussi sur le délai de rétablissement de leurs outils. "Il faut s'interroger sur la quantité de données que l'on peut envoyer à ces plateformes intermédiaires. Il serait peut-être plus simple de faire reposer la responsabilité de la protection des données à une seule plateforme commune à toutes les mutuelles plutôt que sur plusieurs acteurs qui gèrent ça chacun dans leur coin avec différents niveaux de sécurité", s'avance Stéphane Corfias.

Pour des experts en cybersécurité, ces incidents doivent aussi inciter les entreprises à s'interroger sur leurs procédures de contrôle et de régulation des données. "La sécurité à 100% n'existe pas. Les pirates ont toujours une longueur d'avance. La question, c'est de savoir comment faire pour détecter, arrêter, isoler et réparer les dégâts", explique Mohammed Boumediane, fondateur de Ziwit, entreprise spécialisée dans la cybersécurité offensive. "Les entreprises ont tendance aujourd'hui à favoriser la sensibilisation et la formation de leurs collaborateurs. Mais faire reposer la sécurité sur l'utilisateur final, ce n'est pas viable. Il faut des moyens techniques pour détecter et renforcer la protection". Mais les coûts de ces technologies et leur assimilation par les équipes en interne sont généralement des freins à leur déploiement.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info