Les données de plus 33 millions de personnes ont été compromises suite à des cybertattaques qui ont touché fin janvier les prestataires Almerys et Viamedis. Ces deux opérateurs de tiers payants travaillant avec les mutuelles et complémentaires santé ont été victime du même mode opératoire (l’usurpation d’identité et de mots de passe), signalé à cinq jours d'intervalle par les deux gestionnaires. Selon un communiqué de la CNIL, « les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit. » La fuite de ces informations très sensibles amène la commission à alerter les particuliers sur les risques d'hameçonnage ou même d'usurpation d'identité. « Les données telles que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels ne seraient pas concernées par la violation », selon la CNIL. Première conséquence directe des délais sont attendus dans le traitement des demandes de remboursement complémentaire. Interrogé par RTL, un pharmacien explique « qu’il y aura des retards de paiement. On peut tenir quelques jours. Si ça ne repart pas vite, on devra refuser le tiers payant des mutuelles de ces patients ».
Ces cyberattaques interrogent toutefois quand la solidité de la sécurité des systèmes informatiques des deux entités, notamment dans le domaine de la gestion des identités et de l’authentification. Un domaine désormais crucial dans un grand nombre d’entreprises avec le recours à l’IA et au zero trust pour mieux contrôler les accès et les privilèges des employés et des applications. Devant l’ampleur de la violation, la CNIL va « mener très rapidement des investigations » pour vérifier si les mesures de sécurité de ces prestataires étaient conformes à leurs obligations, notamment celles du RGPD.