Travaillant avec 84 mutuelles et complémentaires santé qui couvrent plus de 33 millions d’assurés sociaux, les deux principaux gestionnaires de tiers payant, Viamedis et Almerys, ont subi une cyberattaque de type intrusion. Le mode opératoire est identique : l’usurpation d’identité de professionnels de santé pour entrer dans le système et accéder à des données.
Quelles données sont concernées ?
La Commission nationale de l'informatique et des libertés (CNIL) indique que pour les assurés sociaux et leur famille, la fuite peut concerner l’état civil, la date de naissance, le numéro de Sécurité sociale, le nom de l’assureur santé et les garanties du contrat souscrit. En revanche, comme l’ont assuré Viamedis et Almerys, la CNIL confirme que les informations bancaires, les données médicales, les remboursements santé, les coordonnées postales, téléphoniques et électroniques n’ont pas été exposées. Chaque mutuelle et complémentaire santé utilisant les services de Viamedis et Almerys ont l’obligation d’informer individuellement et directement l’ensemble des personnes concernées.
Pour les professionnels de santé, les données exposées sont beaucoup plus critiques : état civil, coordonnées postales, téléphoniques et électroniques, n° SIRET, n° FINESS, RIB, identifiants au portail de tiers payant…
Pourquoi des hackers récupèrent-ils ces données ?
Elles peuvent être utilisées notamment pour des campagnes d’hameçonnage (ou phishing). Les personnes les ayant récupérées peuvent en effet les croiser avec d’autres informations, vous envoyer un courriel ou vous téléphoner en se faisant passer pour votre complémentaire santé ou un autre organisme, et même pour l’un de vos professionnels de santé, pour tenter de vous soutirer des renseignements tels que des identifiants et mots de passe, un RIB, un numéro de carte bancaire… En clair, ces données permettent aux hackers de lancer des tentatives d’escroquerie plus ciblées et plus crédibles, donc plus dangereuses.
Quelles sont les démarches à suivre ?
Une enquête préliminaire a été ouverte le 9 février sur instruction du parquet de Paris pour les chefs d’atteintes à des systèmes de traitement automatisé des données, collecte frauduleuse de données à caractère personnel et recel de biens provenant d’un délit. Elle est confiée à la Brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. En complément des plaintes déposées par les mutuelles et les deux gestionnaires de tiers payant, vous avez la possibilité de déposer plainte en utilisant le formulaire électronique disponible à l'adresse suivante, à renvoyer via France transfert ou par voie postale : www.masecurite.interieur.gouv.fr/fr/actualites/lettre-plainte-vol-donnees-personnelles-viamedis-almerys.
Quelles précautions prendre ?
La vigilance est de mise si vos données sont concernées par ces cyberattaques. Le ministère de l’Intérieur appelle à la prudence face à toute sollicitation non désirée, téléphonique ou par mail, dans les jours et semaines à venir, en particulier si elles concernent des remboursements de frais de santé. La CNIL recommande également de surveiller ses comptes ou espaces personnels sur sa mutuelle ou sur ameli.fr, afin de s’assurer qu’aucune modification suspecte n’est intervenue, par exemple un changement de mot de passe ou d’informations personnelles.
Comment se protéger ?
Face à un courriel, SMS ou appel qui vous semble suspect, vérifiez toujours les coordonnées de votre interlocuteur. Ne pas répondre à l’e-mail ni cliquer sur les liens qu’il contient et ne jamais communiquer vos données personnelles par téléphone. Dans tous les cas, aucun organisme ne vous demandera jamais vos coordonnées bancaires par mail ou par téléphone. Si une telle demande vous est faite, il s’agit d’une arnaque. Au moindre doute, contactez directement l’organisme en utilisant sa messagerie interne ou le numéro de téléphone publiquement accessible.
Par ailleurs, prenez l’habitude de modifier régulièrement vos mots de passe qui doivent être différents d’un service à l’autre, et faites le choix d’un mot de passe robuste (8 caractères minimum, majuscules et minuscules, caractères spéciaux, chiffres).