Connexion
Alan alerte sur une fuite de données chez Almerys, son prestataire de tiers-payant
Bis repetita placent
L’assurance santé Alan a alerté samedi les adhérents de ses entreprises clientes d’une fuite de sécurité survenue au niveau d’Almerys, son prestataire de tiers-payant. L’incident est susceptible d’avoir exposé état civil, numéro de sécurité sociale et numéro de contrat de l’assureur. Alan assure cependant que ses propres systèmes sont intacts et que les données de paiement, mots de passe et informations de santé ne sont pas concernés.
Nouvelle affaire sensible en vue dans le monde de la santé : l’assurance Alan, auréolée de son statut de licorne et d’une récente levée de fonds de 100 millions d’euros, a commencé à signaler par email aux employés des entreprises clientes de ses services d’un incident de sécurité susceptible d’avoir exposé des données personnelles.
« Vendredi 22 mai, notre prestataire en charge du tiers-payant (Almerys) nous a informés d’un incident de sécurité ayant touché leur plateforme », indique l’assurance, qui a également publié une notice d’information sur son site.
État civil et numéros de sécurité sociale en fuite
L’incident en question a notamment exposé les données d’état-civil des adhérents (nom, prénom, date et rang de naissance), le numéro de sécurité sociale, le numéro de contrat, et les dates de début et de fin de couverture.
Les informations bancaires, informations de contact, mots de passe et informations de santé (notamment soins ou remboursements) ne sont en revanche pas concernées par l’incident et sont toujours en sécurité.
Alan affirme en revanche n’avoir subi aucune intrusion au niveau de ses propres systèmes. « Votre espace personnel Alan est toujours accessible et sécurisé depuis votre application, et la gestion de vos remboursements continue sans interruption d’activité », écrit l’entreprise.
Côté Almerys, la découverte de l’incident a motivé la coupure du site de prise en charge (destiné aux transmissions). « En conséquence, les professionnels de santé (optique, audio, hôpitaux) peuvent rencontrer des difficultés pour soumettre des demandes de prise en charge pour les affiliés Alan », avertit l’assurance.
À ce stade, Alan communique de façon préventive, expliquant ne pas avoir encore la liste détaillée des personnes ou comptes concernés par la fuite. En attendant une information individuelle plus précise, l’assurance santé appelle clients et adhérents à la vigilance, notamment face à des communications suspectes évoquant la santé ou se revendiquant d’établissements et organismes du secteur.
« Nous avons immédiatement notifié l’ACPR (autorité de régulation des assurances), et nous préparons également une notification à la Cnil », écrit Alan.
15 millions de numéros de sécu dans la nature ?
« L’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys », avance Alan. Le prestataire concerné n’a pas encore communiqué publiquement sur le sujet.
Cette alerte intervient deux jours après qu’un pirate a revendiqué une attaque réussie sur Almerys, et affirmé, le 21 mai dernier sur un forum spécialisé, proposer à la vente un fichier de 44 millions de lignes contenant notamment 15,45 millions de numéros de sécurité sociale uniques. « Souvent, tous les membres d’une même famille sont liés à un seul numéro de sécurité sociale, ce qui permet un accès complet aux informations familiales », vante le pirate.
Rien ne permet toutefois à ce stade d’entériner la portée réelle de cette nouvelle exfiltration. On se souvient en effet que la plateforme a déjà connu un incident de sécurité majeur début 2024, en même temps que son homologue et concurrent Viamedis. Cette double fuite concernait à l’époque « plus de 33 millions de personnes » d’après la Cnil. L’affaire avait motivé l’ouverture d’une enquête par le parquet de Paris. Deux ans plus tard, ce nouvel incident dont la portée réelle reste encore inconnue confirme que la chaîne de gestion des données de santé éveille toujours les appétits délictueux…
