Données de santé piratées : 33 millions de français seraient concernés

Soutenez un média indépendant

Reportages, enquêtes, initiatives et solutions en accès libre : pour un numérique plus responsable, notre rédaction compte sur vous.

Nousseu DOUONNousseu DOUON

Données de santé piratées : 33 millions de français seraient concernés

Début 2024, Viamedis et Almerys, deux entreprises de gestion du tiers payant, ont été victimes d’intrusions dans leurs systèmes informatiques. Une fuite qui concerne potentiellement plus de 33 millions de personnes, exposant de grandes quantités de données de santé. La Commission Nationale de l’Informatique et des Libertés (CNIL) et l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) ont été notifiées.

Qu’est-ce qu’une violation de données ?

Une violation de la sécurité qui se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données, de manière accidentelle ou illicite.

Source : CNIL

Quelles données ont été exposées ?

Les données compromises concernent l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties des contrats souscrits. En revanche, la CNIL a annoncé que les informations bancaires, les adresses postales, les numéros de téléphone ou les remboursements de santé n’auraient pas fait l’objet d’accès frauduleux.

Une intrusion sur la plateforme serait à l'origine de cette violation de données, et non une attaque par rançongiciel. En effet, les pirates auraient réussi à accéder aux systèmes informatiques de Viamedis et Almerys en usurpant les identifiants et les mots de passe de professionnel·les de santé utilisant leur service. Ces attaques, qui ont eu lieu les 29 janvier et 3 février, ont été signalées à cinq jours d’intervalle par les deux gestionnaires.

À l'heure où le débat est concentré sur l'hébergement des données de santé par Microsoft, la question de la sécurité de ces données pourrait aussi se poser.

La CNIL, informée de ces attaques informatiques comme le Règlement Général sur la Protection des Données (RGPD) l’impose, a lancé une investigation. L’objectif de cette enquête est de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard du RGPD.

Si la CNIL n'est pas en mesure de dire quel·les assuré·es sont concerné·es par cette violation de données, il appartient en revanche aux organismes de complémentaires ayant recours à ces prestataires d'informer les personnes concernées.

Nous vous informons que des professionnels de santé ont été victimes d'une usurpation d'identité.

Cet acte de malveillance a pu avoir pour conséquence l’accès non autorisé à vos données via notre opérateur de Tiers payant. Les données personnelles exposées sont limitées et sont les suivantes pour vous-même et votre famille : nom, prénom, date de naissance, numéro de Sécurité sociale, nom de votre assureur santé et le numéro de votre contrat.

Les données bancaires, les données médicales, les remboursements de santé, les coordonnées postales, les numéros de téléphone et les adresses email ne sont pas concernés par cet acte malveillant.

Nous avons pris les mesures nécessaires afin de faire cesser ces accès non autorisés.

Votre espace adhérent et vos demandes de remboursement ne sont pas impactés et sont accessibles.

Vous pouvez utiliser sans aucun risque votre carte Vitale et votre carte de Tiers payant.

Lors du traitement de vos opérations, nos services peuvent être amenés à vous contacter afin de valider auprès de vous la demande reçue.

Nous vous recommandons d'être particulièrement vigilants sur toutes sollicitations que vous pourriez recevoir dans les prochaines semaines et qui pourraient tenter d'usurper votre identité ou celle d’Apivia Macif Mutuelle.

Vous pouvez nous contacter par mail incident.sante@apivia.fr si vous souhaitez des précisions ou conseils concernant cet incident.

Nous vous prions de bien vouloir nous excuser pour le désagrément et tenons à vous assurer qu’Apivia Macif Mutuelle accorde la plus grande vigilance à la sécurité et à la protection des données personnelles.
Message envoyé le 08/02/224 par Apivia, l'une des mutuelles concernées par la fuite des données. Son objet : "Information sur la protection de vos données personnelles"

Quelles sont les recommandations de la CNIL ?

Compte tenu de la situation, la CNIL recommande aux assuré·es une certaine prudence sur les sollicitations concernant des remboursements de frais de santé, et la vérification régulière des activités sur leurs comptes. Elle s’assurera que les assuré·es soient contactés "dans les plus brefs délais".

De son côté, l’Assurance Maladie avait déjà publié quelques exemples de SMS frauduleux utilisés pour arnaquer les assuré·es.

Exemple SMS frauduleux : Assurance Maladie : Expiration de votre carte vitale, à mettre à jour impérativement. Ci-dessous : ...

Une enquête a été ouverte le 9 février par le parquet de Paris, pour "infractions d'atteinte à un système automatisé de données, collecte frauduleuse de données à caractère personnel et recel d'un délit."

Cet incident souligne l’importance de la cybersécurité dans le secteur de la santé. Il est crucial que les entreprises prennent toutes les mesures nécessaires pour protéger les données sensibles de leurs client·es. Il est également indispensable pour les professionnel·les de santé de prendre conscience de l’importance et de la sensibilité des données qu’ils·elles traitent au quotidien.

Références :

[Photo de couverture : National Cancer Institute]

Soutenez-nous en partageant l'article :