Cyberattaque : Almerys confirme fuite de données, enquête en cours

Almerys a confirmé lundi avoir subi une cyberattaque ayant conduit à « l’exposition de données personnelles » de bénéficiaires de complémentaires santé. Selon l’entreprise, « les informations bancaires, les données de santé, les remboursements de soins, les coordonnées postales, les numéros de téléphone, les adresses e-mail et les mots de passe ne sont pas concernés par cet acte malveillant ».

Le spécialiste du tiers payant Almerys a annoncé lundi avoir été victime d’une cyberattaque ayant entraîné « l’exposition de données personnelles » de bénéficiaires de complémentaires santé. Cette attaque a ciblé le site dédié à la délivrance des prises en charge (PEC), utilisé par des professionnels et établissements de santé pour certaines demandes dans les domaines de l’optique, de l’audiologie, dentaire ou d’hospitalisation. Selon l’entreprise, « cette attaque, concernant l’ensemble des clients, a permis un accès non autorisé au site de délivrance des prises en charge (PEC) ».

Suite à cela, Almerys précise avoir « pris des mesures immédiates pour identifier et neutraliser les accès concernés ». Le site PEC a été temporairement fermé, engendrant des perturbations dans certaines demandes de prise en charge. Toutefois, l’entreprise assure que ses autres services « restent opérationnels » et que les activités « de gestion, de mise à jour des bases, de traitement des flux et de paiement des prestations santé fonctionnent normalement ». Elle affirme également que la situation « est circonscrite au site de délivrance des prises en charge concerné ».

Les données « potentiellement exposées » incluent notamment les noms, prénoms, dates de naissance, numéros de sécurité sociale, noms de l’assureur santé, numéros de contrat ainsi que les dates de couverture des assurés. En revanche, Almerys précise que « les informations bancaires, les données de santé, les remboursements de soins, les coordonnées postales, les numéros de téléphone, les adresses e-mail et les mots de passe ne sont pas concernés par cet acte malveillant ». Samedi, l’assureur santé Alan avait déjà alerté ses adhérents sur la nécessité d’être vigilants après ce piratage. Almerys s’efforce désormais de mettre en place une « phase transitoire » pour proposer « des solutions de contournement » aux professionnels concernés.

Cette nouvelle cyberattaque survient plus d’un an après un vol massif de données survenu au début de 2024. Almerys a indiqué avoir déposé plainte auprès du procureur de la République et signalé l’incident à la Cnil ainsi qu’à l’Anssi. Le parquet de Paris a confirmé que sa section spécialisée dans la lutte contre la cybercriminalité avait attribué l’enquête à la brigade compétente de la préfecture de police.