Deux entreprises de gestion du tiers payant ont fait récemment l'objet d'intrusions dans leurs systèmes informatiques, exposant de grandes quantités de données de santé.
Les sociétés Viamedis et Almerys ont informé la CNIL (Commission Nationale de l'Informatique et des Libertés) de ces attaques informatiques dont les premiers éléments suggèrent que la fuite de données concerne potentiellement quelque 33 millions de personnes.
La CNIL lance une investigation
Les données en fuite concernent l'état civil, la date de naissance, le numéro de sécurité sociale , le nom de l'assureur santé ainsi que les garanties des contrats souscrits.
En revanche, d'autres informations, comme les informations bancaires, les adresses postales, les numéros de téléphone ou les remboursements santé n'auraient pas fait l'objet d'accès frauduleux.
La CNIL indique lancer une investigation "afin de déterminer notamment si les mesures de sécurité mises en oeuvre préalablement à l'incident et en réaction à celui-ci étaient appropirées au regard des obligations du RGPD".
Des conséquences encore difficiles à cerner
Elle souligne ne pas être en mesure de savoir qui est concerné par cette fuite d'informations et ce sera aux entreprises touchées de mettre en place les moyens pour informer les personnes concernées, "individuellement et directement". Elle s'assurera toutefois que les assurés seront contactés "dans les plus brefs délais".
La cyberattaque n'a pas fait intervenir de moyens de type rançongiciels mais semble plutôt être passée par un accès frauduleux à un compte professionnel, peut-être à la suite d'un hameçonnage ayant permis de récupérer les identifiants.
En l'état, la CNIL recommande aux assurés une certaine prudence sur les sollicitations concernant des remboursements de frais de santé et la vérification régulière des activités sur leurs comptes.