Les violations de données chez deux prestataires de services de paiement de soins de santé français, Viamedis et Almerys, ont maintenant été déterminées à avoir un impact sur plus de 33 millions de personnes dans le pays.
Viamedis et Almerys fournissent des services de santé et d’assurance en France avec des solutions technologiques et administratives pour faciliter les transactions.
Ils gèrent les données sensibles des assurés nécessaires à l’octroi des remboursements et rationalisent de manière générale le processus de paiement dans le système de couverture d’assurance complexe et multicouche de la France.
Viamedis a d’abord divulgué l’incident de cybersécurité il y a une semaine sur LinkedIn (le site Web de l’entreprise reste en panne), affirmant qu’il avait subi une violation de données affectant les bénéficiaires et les professionnels de la santé.
La société a déclaré que l’exposition comprend les noms, les dates de naissance, les coordonnées de l’assureur, les numéros de sécurité sociale, l’état civil, l’état civil et les garanties ouvertes au paiement par des tiers.
Aucune information bancaire, adresse e-mail, coordonnées postales ou numéros de téléphone n’a été exposée, car Viamedis a déclaré qu’il ne stockait pas ce type de données sur les systèmes piratés.
La société sert 20 millions de personnes assurées par l’intermédiaire des 84 organisations de soins de santé qui utilisent ses services, mais elle a choisi de ne pas divulguer combien d’entre elles ont été touchées par l’incident, affirmant que cela faisait l’objet d’une enquête.
La violation sur Almerys a été initialement signalée par des médias locaux citant des sources anonymes, et l’entreprise n’a pas encore publié de déclaration officielle sur l’incident.
Cependant, l’autorité de protection des données en France (CNIL) a maintenant confirmé les deux violations de données et affirme que les attaques ont touché 33 millions de personnes dans le pays.
« La CNIL a été informée par Viamedis et Almerys de la cyberattaque dont ils ont été victimes fin janvier », peut-on lire dans l’annonce.
« Ces opérateurs, qui gèrent le tiers payant de l’assurance maladie complémentaire, ont vu les données nécessaires à leurs missions compromises lors de cette brèche. Au total, cette fuite de données concerne plus de 33 millions de personnes. »
Cela fait de cet incident l’une des cyberattaques les plus percutantes de l’histoire récente du pays, touchant près de la moitié de sa population.
Bien que les données exposées n’incluent pas d’informations financières, elles suffisent néanmoins à augmenter le risque d’escroqueries par hameçonnage, d’ingénierie sociale, de vol d’identité et de fraude à l’assurance pour les personnes exposées.
La CNIL précise qu’elle veillera à ce que Viamedis et Almerys informent directement et individuellement les personnes concernées, comme l’exige le Règlement Général sur la Protection des Données (RGPD).
Si vous pensez faire partie des impactés, il est conseillé de surveiller de près vos comptes et de traiter avec suspicion les communications entrantes, en particulier les sollicitations concernant les remboursements de frais d’assurance maladie.
« Bien que les données de contact n’aient pas été affectées par la violation, il est possible que les données impliquées dans la violation puissent être combinées avec d’autres informations provenant de fuites de données antérieures », prévient la CNIL.
Enfin, l’autorité de protection des données a annoncé le lancement d’une enquête sur cet incident afin de déterminer quelles mesures de sécurité étaient en place pour les deux entreprises et si les obligations du RGPD étaient respectées.