Le mercredi 7 février 2024 à 20:03
La Commission nationale de l'informatique et des libertés (CNIL) a annoncé l'ouverture d'une enquête suite au piratage de grande ampleur dont ont été victimes deux opérateurs de tiers payant, Viamedis et Almerys, début février. Cette violation de données concerne au total plus de 33 millions de personnes.
Selon un communiqué de la CNIL, ces opérateurs sont chargés de gérer le tiers payant des complémentaires santé. La CNIL précise ainsi sur son site : "Au total, cette fuite de données concerne plus de 33 millions de personnes. Les données concernées sont, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit".
Marie-Laure Denis, présidente de la CNIL, a précisé que "la Cnil a été informée par [ces sociétés] de l’attaque informatique dont [elles] ont été victimes fin janvier". Elle a ajouté avoir "décidé de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du règlement général sur la protection des données (RGPD)".
Des risques de phishing à ne pas minimiser
La CNIL a également émis des recommandations de prudence, soulignant que les données sensibles ainsi exposées pourraient entraîner des tentatives de phishing visant à dérober de l'argent aux victimes. Elle invite ainsi à la vigilance face à toute sollicitation suspecte, notamment en lien avec des remboursements de frais de santé.
Le phishing, ou hameçonnage, représente une menace sérieuse dans ce contexte, car les données sensibles exposées pourraient permettre aux cybercriminels de créer des messages frauduleux très convaincants. Ces messages pourraient sembler légitimes, demandant par exemple des informations personnelles supplémentaires sous prétexte de remboursements de frais de santé. Les destinataires pourraient être redirigés vers des faux sites web conçus pour ressembler à ceux des compagnies d'assurance ou des organismes de santé, où ils pourraient être incités à divulguer davantage d'informations confidentielles ou à effectuer des transactions financières. Il est donc crucial de rester vigilantes et de vérifier attentivement l'authenticité de toute communication liée à vos données personnelles.
La CNIL précise que les informations bancaires, médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone ou encore les courriels, n'auraient pas été récupérés par les hackers.
A ce stade, la CNIL n'est pas encore en mesure d'indiquer quels assurés sont concernés par ce piratage. Elle renvoie vers "les complémentaires santé qui font appel aux sociétés piratées", et qui doivent informer "les bénéficiaires concernés comme le prévoit le règlement général sur la protection des données (RGPD)", souligne le communiqué.