Scandale : Vol massif de données de 33 millions d’assurés en France.


La Commission nationale de l’informatique et des libertés (Cnil) a annoncé mercredi que des données telles que l’état civil, le numéro de Sécurité sociale et des détails sur la mutuelle ont été compromises. Cependant, aucune information bancaire ou médicale ne semble avoir été affectée par cette violation de données.

Vol massif de données chez deux opérateurs de tiers payant santé

Une cyberattaque touche plus de 33 millions d’assurés sociaux chez les opérateurs Viamedis et Almerys, deux spécialistes du tiers payant en France. La Commission nationale de l’informatique et des libertés (Cnil) a ouvert une enquête suite à cette violation de données d’une ampleur exceptionnelle.

Une violation d’une ampleur exceptionnelle

L’attaque a eu lieu via l’usurpation d’identifiants et de mots de passe de professionnels de santé, ce qui a permis aux pirates d’accéder aux données. Les entreprises touchées, Viamedis et Almerys, ont réagi en déconnectant leurs plateformes de gestion affectées par l’attaque. Cependant, il est difficile de déterminer si un assuré est concerné par cette attaque.

Difficile de savoir si un assuré est concerné par l’attaque

La Cnil a déclaré ne pas être en mesure de stipuler si une personne est concernée ou non par le vol de données. Elle demande aux compagnies de complémentaires de santé qui ont travaillé avec Viamedis et Almerys d’informer individuellement et directement leurs assurés concernés, afin d’assurer la sécurité des données.

Des données qui peuvent servir aux pirates dans le futur

Selon des experts en cybersécurité, les données exposées telles que le numéro de téléphone ou l’adresse email peuvent être croisées avec d’autres fichiers pour servir à de futures cyberattaques. Ils mettent en garde quant au risque d’escroquerie, de phishing et d’usurpation d’identité suite à ce vol de données.

Une enquête a été ouverte

Viamedis a déposé une plainte et la Cnil mène des investigations pour déterminer si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées. La présidente de la Cnil, Marie-Laure Denis, a annoncé que des actions seront prises pour évaluer les obligations du règlement général sur la protection des données dans cette affaire.