La société française de services de santé Viamedic a subi une cyberattaque qui a exposé les données des assurés et des professionnels de santé du pays.
Bien que le site Web de l’entreprise reste hors ligne au moment de la rédaction de cet article, une annonce a été publiée sur LinkedIn pour avertir de la violation de données.
Les données exposées dans l’attaque comprennent l’état civil du bénéficiaire, sa date de naissance, son numéro de sécurité sociale, le nom de son assureur maladie et des garanties ouvertes au paiement par un tiers.
La société a précisé que les systèmes piratés ne stockaient pas les informations bancaires, les coordonnées postales, les numéros de téléphone et les adresses e-mail des personnes.
Pour les professionnels de la santé, Viamedis indique qu’ils enverront différentes notifications sur les données exposées.
Viamedis a informé les organismes de santé impactés, déposé une plainte auprès du procureur de la république, et notifié les autorités (CNIL, ANSSI) en conséquence. Actuellement, l’entreprise continue d’enquêter sur l’impact de la cyberattaque.
Concernant l’ampleur de la brèche, Viamedis n’a pas précisé le nombre de personnes exposées, mais on sait qu’elle gère les paiements de 84 organismes de santé couvrant 20 millions d’assurés.
Le Directeur général de la firme, Christophe Cande, a déclaré à l’Agence France-Presse (AFP) qu’une enquête était en cours pour déterminer l’ampleur de la violation.
« À ce jour, nous n’avons pas le nombre de personnes assurées touchées; nous sommes toujours en cours d’enquête. »- Cande (GD Viamedis)
Cande a également précisé que la cyberattaque n’était pas un ransomware. Au lieu de cela, il a déclaré qu’une attaque de phishing réussie contre un employé avait permis à l’auteur de la menace de violer ses systèmes.
L’une des organisations travaillant avec Viamedis, Malakoff Humanis, a publié un avis sur son site Web confirmant l’impact indirect de la violation de données de Viamedis.
L’entreprise envoie également des notifications de violation de données aux clients concernés pour les informer de la cyberattaque et de la perturbation des services.
Leur message réitère les informations divulguées dans l’avis Viamedic et assure aux clients qu’aucune donnée bancaire, médicale ou de contact stockée sur les plateformes n’a été compromise.
Malakoff Human indique que l’accès aux comptes d’utilisateurs et aux demandes de remboursement reste disponible. Cependant, la déconnexion temporaire de la plateforme Viamedic devrait affecter la prestation de certains services de santé.
D’autres prestataires de services utilisant Viamedic, notamment Carte Blanche Partenaires, Italic, Kalixia, Santéclair et Audience, devraient connaître des situations similaires.
Les médias locaux en France ont rapporté que Viamedis n’était pas la seule cible de la cyberattaque. Une société nommée « Almerys », qui est également un processeur de paiement pour les organisations de soins de santé, aurait également été ciblée.