Dans un communiqué de presse publié le 17 mars 2022, l'Assurance Maladie a annoncé que les comptes d’au moins 19 professionnels de santé ont été compromis sur le portail Amelipro. Ce piratage a permis aux hackers de voler les données personnelles de 510 000 français.

Les données bancaires et les coordonnées des patients ont été épargnées

Selon les analyses de la Caisse nationale d’assurance-maladie (CNAM), « les attaquants ont procédé à des interrogations en chaîne, avec l’utilisation d’un robot, d’un service dénommé Infopatient, donnant accès à partir de numéros de sécurité sociale à certaines informations administratives d’assurés ». Les hackers ont ainsi pu récupérer des données d’identité (nom, prénom, date de naissance, sexe), le numéro de sécurité sociale des personnes concernées, ainsi que des données relatives aux droits des assurés.

L'Assurance Maladie se veut rassurante et précise que les coordonnées de contact (email, adresse, téléphone) et les coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologies / maladies et à la consommation de soins, « ne sont pas concernées ». L’attaque a été détectée aux alentours du 10 mars et l’Assurance Maladie précise avoir d'ores et déjà porté plainte auprès des autorités compétentes. La Commission nationale de l’informatique et des libertés (CNIL) a également été tenu au courant de cette attaque.

L'Assurance Maladie veut renforcer la sécurité des professionnels de santé

Dans son communiqué de presse, l'Assurance Maladie précise que 510 000 assurés sont concernés par cette fuite de données. Ils seront tous informés individuellement de l'incident et « sensibilisés au risque accru de hameçonnage dont ils pourraient faire l’objet ». La Caisse précise que les professionnels de santé seront également invités à renforcer la sécurisation de leur compte Amelipro. Ce portail qui met à disposition des professionnels de santé un accès à plusieurs téléservices comme la consultation des paiements de l’Assurance maladie, la listes des patients, les prescriptions des arrêts de travail, etc.

Les médecins touchés appartenaient à des structures différentes. Selon l'Assurance Maladie, leurs identifiants ont été compromis « à partir d’informations se trouvant sur le dark web, où se trouvent des listes d’adresses mail et de mots de passe préalablement hackés ». L'ensemble des professionnels de santé ont été invités à modifier leur mot de passe par mesure de sécurité.

Au cours des deux dernières années, les cyberattaques se sont multipliées contre les établissements de santé. Le dimanche 22 mars, quelques jours seulement après l'annonce du premier confinement en France, les Hôpitaux de Paris étaient victimes d'une cyberattaque. Quelques mois plus tard, l'EMA, l'agence européenne des médicaments en charge de valider les vaccins, était à son tour victime d'une attaque.