Les données de 33 millions d'assurés de santé ont été dérobées à l'issue d'une cyberattaque sans précédent

Entre le 1^er et le 5 février, les données personnelles de plus de 33 millions d'usagers ont été dérobées auprès des prestataires de gestion du tiers payant Viamedis et Almerys. Cette attaque d'une ampleur sans équivalent met une nouvelle fois en lumière les vulnérabilités et les défis cruciaux que rencontre le secteur de la santé en matière de sécurité des données.

Selon la Commission nationale de l'informatique et des libertés (CNIL), les données compromises incluant l'état civil, la date de naissance, le numéro de Sécurité sociale, ainsi que les détails relatifs à l'assureur santé et aux garanties des contrats souscrits de plus de 33 millions de Français ont été dérobées par des pirates entre le 1^er et le 5 février derniers. Cette intrusion spectaculaire dans les systèmes de Viamedis et Almerys, deux prestataires importants qui assurent la gestion du tiers payant de près de 150 complémentaires santé, a été perpétrée par une méthode désormais classique mais redoutablement efficace : l'usurpation d'identifiants et de mots de passe, en l'occurrence de professionnels de santé. Cette tactique, connue sous le nom de « credential stuffing », a permis aux cyberattaquants d'accéder aux portails dédiés de ces opérateurs, mettant en péril des données d'une portée considérable. Concernant les données exposées, bien que les informations bancaires, médicales ou encore les détails de remboursement de santé aient été épargnées, les éléments compromis restent hautement sensibles. Ils forment une base potentiellement exploitable pour diverses activités malveillantes, comme l'usurpation d'identité.

Extrême vigilance

Face à ces incidents, la CNIL a promptement réagi en annonçant des enquêtes pour évaluer la conformité des mesures de sécurité mises en place par Viamedis et Almerys avec leurs obligations légales. En outre, l'instance a rappelé les obligations légales des entreprises face à de telles situations. Les mutuelles sont légalement contraintes de prévenir l'ensemble de leurs clients dont les données ont été dérobées. À ce titre, les victimes recevront individuellement et directement, comme le prévoit le cadre légal, un courrier d'information. Il est alors important d'agir avec la plus grande rigueur, en commençant par changer les mots de passe de l'ensemble des comptes et services sensibles. La surveillance des comptes est également une étape indispensable. Il est même vivement recommandé d'entrer en contact avec son établissement bancaire afin de mettre en place une surveillance accrue des mouvements bancaires. Il convient également d'augmenter son niveau de vigilance vis-à-vis des e-mails et des échanges numériques qui viendront dans les prochaines semaines. Ayant accès à des informations très précises, les pirates pourront élaborer des scénarios complexes et redoutablement vraisemblables pour arriver à leur fin à travers une campagne de phishing d'autant plus élaborée qu'elle comprendra ces données cruciales. Il est donc indispensable d'être particulièrement attentif aux e-mails, appels ou messages suspects vous demandant des informations personnelles ou financières. Plus généralement, cette violation met en exergue la sophistication croissante des cyberattaques ciblant le secteur de la santé, un domaine où la digitalisation rapide et l'accumulation massive de données personnelles font de la sécurité informatique un enjeu de premier ordre. Les systèmes d'information y sont souvent complexes et interconnectés, impliquant une multitude d'acteurs, y compris des prestataires de soins de santé, des assureurs et des patients. Cette complexité crée de multiples points de vulnérabilité. Le volume énorme de données générées et stockées, combiné à leur nature sensible, fait des bases de données de santé des cibles privilégiées pour les cyberattaques. Visiblement, un grand audit et une remise à niveau s'imposent.