Viamedis et Almerys 2024 : 33 millions de données de santé compromises
Deux opérateurs, un même problème
Fin janvier 2024 : Viamedis et Almerys, deux opérateurs de tiers payant qui gèrent le remboursement des soins pour de nombreuses mutuelles françaises, sont victimes de cyberattaques quasi simultanées.
1er février 2024 : Viamedis confirme l'intrusion. Le 2 février, Almerys suit.
6 février 2024 : la CNIL publie un communiqué indiquant que les données de plus de 33 millions de personnes sont potentiellement concernées.
Données compromises
Pour les assurés et leurs familles : état civil, date de naissance, numéro de sécurité sociale, nom de l'assureur santé et garanties du contrat. Les données bancaires, les données médicales (diagnostics, traitements) et les coordonnées (adresse, téléphone, email) ne sont pas concernées selon les opérateurs.
Le numéro de sécurité sociale combiné aux informations d'assurance santé est particulièrement sensible. Il permet de construire des attaques de phishing très ciblées (faux remboursements, fausses mutuelles).
Vecteur d'attaque
L'attaque a exploité les identifiants de professionnels de santé. Les attaquants ont compromis des comptes de praticiens qui avaient accès aux portails de gestion du tiers payant. Avec ces accès, ils ont pu interroger les systèmes et extraire les données des assurés.
Points critiques :
Le contexte réglementaire
Les données de santé bénéficient d'une protection renforcée sous le RGPD (article 9). Leur traitement est en principe interdit sauf exceptions. Les opérateurs de tiers payant sont soumis à des obligations de sécurité renforcées, notamment dans le cadre de l'Hébergement de Données de Santé (HDS).
La CNIL a lancé des investigations pour vérifier si les mesures de sécurité en place étaient conformes aux obligations réglementaires.
Impact sur les victimes
33 millions de personnes concernées, soit près de la moitié de la population française. Les données volées permettent des campagnes de phishing exploitant le thème de la santé (faux remboursements, fausses convocations). Le numéro de sécurité sociale, combiné à l'état civil, facilite l'usurpation d'identité.
Leçons
L'authentification multi-facteurs pour les professionnels de santé n'est pas négociable. Un simple couple login/mot de passe pour accéder à 33 millions de dossiers est insuffisant.
La segmentation des accès est critique. Un praticien parisien n'a pas besoin d'accéder aux dossiers des assurés de Marseille.
La surveillance en temps réel des accès aux données de santé est une obligation, pas un bonus. Un volume d'extraction anormal doit déclencher une alerte et un blocage automatique.
Le tiers payant est un maillon critique souvent négligé. Les organisations se concentrent sur la sécurité de leurs propres systèmes mais oublient que des intermédiaires comme Viamedis et Almerys ont accès à des volumes considérables de données.
Un audit de sécurité de vos systèmes de santé doit couvrir l'ensemble de la chaîne, y compris les prestataires tiers. CleanIssue identifie ces points faibles lors de ses évaluations.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
France Travail 2024 : 43 millions de Français touchés, analyse de la fuite
Retour technique sur la fuite de données de France Travail en 2024 : comment 43 millions de dossiers ont été exposés, chronologie et leçons.
Equifax 2017 : 147 millions d'Américains exposés par une CVE Apache Struts
Comment une CVE connue et non corrigée dans Apache Struts a permis la plus grande fuite de données financières de l'histoire américaine.
Les 5 vulnérabilités que nous trouvons chez 90% des startups healthtech
APIs exposant des données patients, buckets publics, RLS manquants. Les erreurs récurrentes en e-santé.
Sources
Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.