Viamedis et Almerys, deux opérateurs chargés de la gestion du tiers payant pour les complémentaires santé, ont notifié à la CNIL la cyberattaque qu’ils ont subie fin janvier. Cette violation de données, notamment de numéros de sécurité sociale, a touché environ 33 millions de personnes. Il s’agit de la plus grande cyberattaque jamais enregistrée en France.
33 millions d’assurés français ont été concernés par la fuite de données. Les données compromises comprenaient l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de la compagnie d’assurance maladie et la couverture politique de l’assuré et des membres de sa famille.
Selon la CNIL,
« Les données telles que les informations bancaires, les dossiers médicaux, les remboursements de soins de santé, les adresses postales, les numéros de téléphone ou les e-mails ne devraient pas avoir été affectées par cette violation. »
Nous avons contacté l’une des compagnies d’assurance françaises qui travaille avec Viamedis, Malakoff Humanis, et nous l’avons confirmé.
Cyberattaques via les professionnels de santé
L’attaque fait suite au vol des identifiants et des mots de passe de professionnels de santé. Cette alerte a été lancée le 1er février par Viamedis, qui a détecté l’attaque. Cela informe les autres plateformes de paiement tierces.
Quelques jours plus tard, une autre société, Almerys, annonçait également avoir détecté l’intrusion. Les autres grandes plateformes de paiement tierces n’ont annoncé aucune violation et ne semblent jusqu’à présent pas concernées.
ARTICLE ASSOCIÉ
Attaque à grande échelle
Les deux prestataires concernés par cette cyberattaque sont des poids lourds du secteur, avec au total moins de 40 millions d’assurés sociaux, des affiliations auprès d’une centaine de caisses d’assurance maladie supplémentaires et plus de 200 000 adhérents professionnels.
33 millions de Français ont été concernés. Cela fait de cette violation de données l’une des plus importantes en France. Pour l’heure, des enquêtes sont en cours pour découvrir comment ce vol a pu se produire, comment les informations d’identification des professionnels ont été compromises et qui étaient les pirates.
ARTICLE ASSOCIÉ
Risque considérable
Une chose est sûre : les données volées sont extrêmement sensibles. Un numéro de sécurité sociale, par exemple, est un identifiant unique et définitif attribué à chaque citoyen français. Il s’agit d’un élément important dans diverses démarches administratives et ne peut être modifié comme un mot de passe compromis.
Les fuites de numéros de sécurité sociale exposent les victimes à des risques de phishing et d’usurpation d’identité. Selon la CNIL, c’est bien le cas
« Il est probable que les données aient été combinées avec d’autres informations provenant de violations de données précédentes. »
En d’autres termes, il est possible de recréer l’identité d’une personne et de se livrer à des activités criminelles au nom de cette personne ou de demander des prêts à la consommation ou d’autres transactions financières.
ARTICLE ASSOCIÉ
Pas une surprise
Pour Romain AviolatRSSI de Kudelski Sécuritéune division du Groupe Kudelski, qui fournit des services couvrant tout le spectre de la cybersécurité, ce vol de données n’est pas une surprise.
« Eh bien, suis-je surpris ? Absolument pas. Est-ce nouveau ? Non. Y en aura-t-il davantage à l’avenir ? Oui, c’est sûr. La France a été durement touchée par cette attaque, mais les États-Unis ont également beaucoup souffert l’année précédente. Nous avons également de grandes organisations financières, des compagnies d’assurance et des fonds d’investissement confrontés au même problème. Nous devons être plus réactifs et mieux investir notre argent dans des systèmes de protection, pour une détection, une prévention et une réponse plus rapides. Les cyberattaques ne sont plus une question d’heures, de semaines ou de mois ; ce n’est qu’une question de minutes. Nos systèmes et les personnes qui les gèrent doivent être plus réactifs.
« Un fauteur de troubles incurable. Praticien de la télévision. Évangéliste de Twitter subtilement charmant. Entrepreneur de toujours. »
