Selon les informations de la Commission nationale de l’informatique et des libertés (CNIL), les données de plus de 33 millions de citoyens français ont été compromises ces derniers jours. Cette fuite de données s’explique par les cyberattaques subies par Viamedys et Almerys, deux opérateurs français spécialisés dans la gestion du tiers payant pour les mutuelles.

La CNIL prend les choses en main

Dans un communiqué publié le 7 février, le gendarme français de la protection des données personnelles a précisé que « les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de Sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit ». Comme assuré plus tôt par les deux entreprises piratées, les informations bancaires, les données médicales, les détails de remboursement de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail « ne sont en aucun cas concernés par cette compromission ».

Dans les prochaines semaines, le régulateur s’attellera à savoir si les mesures de sécurité mises en place par les deux entreprises étaient appropriées pour lutter contre les cyberattaques. La CNIL a tenu à rappeler que seules les deux sociétés touchées ont le droit d’informer individuellement et directement, l’ensemble des personnes touchées. Le régulateur s’assurera, en vertu de la réglementation générale sur la protection des données personnelles (RGPD), que cela soit fait « dans les plus brefs délais ».

Que faire lorsque nos données ont fuité ?

Dans le cas où un individu est concerné par la fuite de données, la CNIL leur conseille d’être prudents quant aux éventuelles sollicitations qu’ils pourraient recevoir, notamment en ce qui concerne les remboursements de frais de santé. L’autorité précise que « bien que les données de contact ne soient pas concernées par la violation, il est possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures ». Elle invite également les personnes touchées à vérifier régulièrement les activités de leurs comptes.

Fin janvier, Viamedis avait été victime d’une cyberattaque. Pour s’introduire dans la plateforme de gestion de données de leur victime, les cyberassaillants ont usurpé l’identité de soignants. Ainsi, ils ont accès à une partie des données de l’entreprise qui gère le tiers payant de plus de 20 millions d’assurés sociaux. Dans la foulée, Alemrys subissait à son tour une attaque informatique au mode opératoire similaire.

Le système d’information des deux sociétés n’a pas été touché, contrairement à leur portail dédié aux professionnels de santé. Les deux opérateurs les ont momentanément désactivés. Pour ce qui est de Viamedis, le site internet du groupe est toujours fermé ce mercredi. Les autres gestionnaires de tiers payant, comme SP Santé ou Actil, ne semblent pas avoir été touchées.