33 millions de personnes sont concernées par la violation des données issue de l'attaque informatique touchant les entreprises Viamedis et Almerys. Toutes deux sont gestionnaires de tiers payant pour de nombreuses complémentaires santé et mutuelles.
C'est Viamedis, filiale de Malakoff Humanis, qui la première a communiqué le 1er février sur l'incident de sécurité, suivie d'Almerys quelques jours plus tard. L'attaque a été provoquée par l'usurpation d'identifiants et mots de passe de professionnels de santé. Le directeur général de Viamedis, Christophe Candé, avait expliqué qu'il ne s'agissait pas d'une attaque par ransomware mais d'une intrusion dans le système d'information.
Un Français sur deux touché
Cette fuite de données est particulièrement conséquente puisqu'elle touche près d'un Français sur deux. Raison pour laquelle la Commission nationale de l'informatique et des libertés (Cnil) s'est saisie du dossier et a annoncé le 7 février l'ouverture d'une enquête pour faire toute la lumière sur cette affaire "très rapidement". Elle souhaite déterminer notamment si les mesures de sécurité mises en oeuvre préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données.
D'après l'autorité, les données concernées sont, pour les assurés et leur famille, l'état civil, la date de naissance, le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit. A l'heure actuelle, les deux entreprises victimes de l'attaque affirment que les informations bancaires, les données médicales, les remboursements, les coordonnées postales, les numéros de téléphone et les adresses mails ne sont pas concernés par cette violation.
Il reste à voir si cette affirmation est toujours vraie après une enquête plus approfondie. A ce titre, la Cnil rappelle que les hackers peuvent coupler les données volées lors de cette cyberattaque à d'autres dérobées lors de précédents incidents.
truncate
A la charge des mutuelles d'informer les victimes
Se pose désormais la question des victimes collatérales de cette attaque, c'est-à-dire les personnes à qui sont attachées les données personnelles. Sur ce point, la Commission rappelle que c'est à chacune des complémentaires santé faisant appel à Viamedis et Almerys, en tant que prestataires, d'informer individuellement et directement l'ensemble des personnes concernées. De son côté, elle assurera que ce soit fait "dans les plus brefs délais".
Pour les personnes concernées, l'autorité de protection leur conseille de se montrer prudent sur "les sollicitations" reçues, en particulier s'ils concernent des remboursements de frais de santé, ainsi que de vérifier périodiquement les activités et mouvements des différents comptes. Le risque principal est celui du phishing, une attaque dont l'objectif est de convaincre les personnes ciblées à virer une certaine somme d'argent sur un compte bancaire qui leur est communiqué, ou bien à fournir des informations sensibles.
13 fuites de données par jour
Bien que le risque zéro n'existe pas, cette cyberattaque montre une nouvelle fois que les règles en matière de sécurité informatique ne sont pas encore pleinement comprises et appliquées. L'année 2022 a été l'année de tous les records sur le plan des violations de données, d'après le baromètre "Data Breach" d'InCyber (anciennement le Forum international de la cybersécurité). Il a ainsi comptabilisé près de 13 fuites de données par jour et 4731 notifications d'incidents reçues par la Cnil.
Il faut dire qu'il a fallu attendre 2021 pour que le gouvernement s'empare sérieusement du sujet de la cybersécurité. C'est cette année qu'il a annoncé le lancement d'un plan national doté d'une enveloppe d'un milliard d'euros. Il vise notamment à diffuser une véritable culture de la cybersécurité dans les entreprises.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
