On estime désormais que les violations de données chez deux prestataires français de services de paiement de soins de santé, Viamedis et Almerys, touchent plus de 33 millions de personnes dans le pays.

Viamedis et Almerys proposent des services de santé et d’assurance en France avec des solutions technologiques et administratives pour faciliter les transactions.

Ils gèrent les données sensibles des assurés nécessaires au remboursement et simplifient généralement le processus de paiement dans le système de couverture d’assurance complexe et multicouche de la France.

Viamedis a révélé pour la première fois l’incident de cybersécurité il y a une semaine sur LinkedIn (le site Web de l’entreprise est toujours en panne) et a déclaré que Viamedis avait subi une violation de données qui a touché les bénéficiaires et les professionnels de santé.

La société a déclaré que l’exposition comprend le nom, la date de naissance, les coordonnées de la compagnie d’assurance, le numéro de sécurité sociale, l’état civil, l’état civil et les garanties ouvertes aux paiements de tiers.

Aucune information bancaire, adresse e-mail, coordonnées postales ou numéro de téléphone n’a été dévoilée, Viamedis ayant déclaré ne pas stocker ce type de données sur les systèmes compromis.

La société dessert 20 millions d’assurés par l’intermédiaire de 84 organismes de santé qui utilisent ses services, mais a choisi de ne pas divulguer combien d’entre eux ont été touchés par l’incident et a déclaré qu’elle faisait l’objet d’une enquête.

La violation contre Almerys a été initialement rapportée par un média local citant des sources anonymes, et la société n’a pas publié de déclaration officielle concernant l’incident.

Cependant, l’autorité française de protection des données (CNIL) a confirmé les deux violations de données et a déclaré que les attaques avaient touché 33 millions de personnes dans le pays.

« La CNIL a été informée par Viamedis et Almerys de la cyberattaque dont elles ont été victimes fin janvier », lire l’annonce.

« Ces transporteurs, qui gèrent le tiers payant pour les complémentaires santé, ont vu des données nécessaires à leur mission compromises lors de cette brèche. Au total, cette fuite de données concerne plus de 33 millions de personnes.»

Cela fait de cet incident l’une des cyberattaques les plus percutantes de l’histoire du pays, touchant près de la moitié de la population du pays.

Bien que les données exposées n’incluent pas d’informations financières, elles suffisent néanmoins à augmenter le risque d’escroquerie par phishing, d’ingénierie sociale, d’usurpation d’identité et de fraude à l’assurance pour les personnes exposées.

La CNIL précise qu’elle veillera à ce que Viamedis et Almerys informent directement et individuellement les personnes concernées, comme l’exige le Règlement Général sur la Protection des Données (RGPD).

Si vous pensez faire partie des personnes concernées, il est conseillé de toujours surveiller votre compte et de traiter avec suspicion les communications entrantes, en particulier les demandes de remboursement par l’assurance maladie.

« Même si les données de contact n’ont pas été affectées par la violation, il est possible que les données impliquées dans la violation puissent être combinées avec d’autres informations issues de fuites de données précédentes », prévient la CNIL.

Enfin, l’autorité de protection des données a annoncé l’ouverture d’une enquête sur cet incident afin de déterminer quelles mesures de sécurité ont été mises en œuvre dans les deux entreprises et si les obligations du RGPD ont été respectées.