Cyberattaque chez Almerys : des numéros de sécurité sociale exposés après une fuite de données encore non chiffrée… tiers payant perturbé et assurés ciblés

Almerys, spécialiste du tiers payant pour plusieurs complémentaires santé, confirme une fuite de données après une cyberattaque. L’entreprise évoque un accès non autorisé à un site utilisé pour délivrer des prises en charge, sans donner, à ce stade, le nombre de personnes concernées. Point important, l’incident touche un périmètre précis, le site de délivrance des prises en charge, et non l’ensemble des services de tiers payant.

Les données potentiellement exposées portent sur l’identification des bénéficiaires, dont le numéro de sécurité sociale, et sur des éléments de contrat, mais pas sur les données bancaires ni sur les informations médicales, selon les éléments communiqués. Dans les jours qui suivent, des mutuelles et assureurs, dont Alan, appellent leurs adhérents à la vigilance face au risque de messages frauduleux. Sur le terrain, la fermeture du site impacte des demandes en optique, dentaire, audiologie et certaines prises en charge hospitalières.

Almerys ferme le site PEC après l’accès non autorisé

La chronologie décrite par l’entreprise est nette, une cyberattaque a permis un accès non autorisé au site de délivrance des prises en charge, souvent désigné comme le site PEC. Ce service sert à certains professionnels et établissements à obtenir une validation ou une prise en charge avant de réaliser une prestation. Pour contenir l’incident, Almerys explique avoir pris des mesures immédiates pour identifier et neutraliser les accès concernés.

Décision lourde de conséquences opérationnelles, le site PEC a été fermé. Concrètement, cela ne veut pas dire que tout s’arrête, l’entreprise affirme que les services essentiels de tiers payant continuent d’être assurés. Mais la fermeture d’un maillon de la chaîne suffit à créer des frictions, surtout dans les parcours où l’accord préalable conditionne la suite, par exemple pour certaines prises en charge hospitalières ou des équipements coûteux.

Dans les cabinets et les centres, l’impact se traduit par des délais et des procédures manuelles. Un audioprothésiste, Marc, résume la situation de façon très simple, quand l’outil de PEC tombe, tu passes du clic au téléphone, puis au mail, puis à la relance, et le patient attend. Ce type de contournement n’a rien d’exceptionnel en période d’incident, mais il augmente les risques d’erreur, et il rallonge la durée entre la prescription et la délivrance.

Almerys parle d’une phase transitoire et de solutions de contournement pour les professionnels et établissements concernés. C’est un point central, parce que l’économie du tiers payant repose sur la fluidité, moins il y a de ressaisie, moins il y a de litiges, et plus le patient voit sa dépense rester invisible au comptoir. Quand un outil de PEC est indisponible, l’optique, le dentaire et l’audiologie, secteurs déjà très administrés, se retrouvent vite sous tension.

Nom et numéro de sécurité sociale parmi les données exposées

Sur la nature des informations concernées, l’entreprise liste des données d’identité et de contrat. Figurent notamment le nom, le prénom, la date de naissance et le numéro de sécurité sociale, mais aussi le nom de l’assureur santé, le numéro de contrat, et les dates de début et de fin de couverture. Ce sont des éléments suffisants pour bâtir des scénarios d’usurpation d’identité ou de fraude sociale, même sans accès à des comptes bancaires.

Point de clarification, les données bancaires, les mots de passe, les coordonnées postales, les numéros de téléphone, les adresses e-mail, les données de santé et les remboursements de soins ne seraient pas concernés, selon les informations communiquées. Ce détail compte, parce qu’il réduit certains risques immédiats, comme un débit frauduleux direct. Mais il ne supprime pas le risque d’arnaques ciblées, au contraire, un fraudeur peut s’appuyer sur des données exactes pour gagner la confiance.

Dans les exemples typiques, un escroc peut appeler un assuré en citant son assureur et une période de couverture, puis demander un complément d’information, une pièce d’identité, un RIB, ou une confirmation de coordonnées. Tu vois le piège, tu entends numéro de contrat et tu te dis que l’interlocuteur est légitime. C’est pour cette raison que des acteurs comme Alan ont demandé à leurs adhérents de redoubler de vigilance face à une possible multiplication de messages frauduleux.

La taille exacte de la fuite reste un angle mort, l’entreprise ne chiffre pas le nombre de personnes touchées. Cette absence de volumétrie complique la gestion côté assurés, parce qu’on ne sait pas si l’incident est limité à quelques flux ou s’il touche plus largement. Une nuance s’impose aussi, certaines mutuelles indiquent ne pas être concernées, comme la MGEN qui a assuré ne pas être touchée, ce qui suggère un impact variable selon les usages du site PEC.

Optique, dentaire et audiologie confrontés à des délais de prise en charge

La fermeture du site PEC touche des demandes de prise en charge en optique, en dentaire, en audiologie et certaines prises en charge hospitalières. Dans ces secteurs, la PEC sert souvent à sécuriser le reste à charge, à valider un devis, ou à confirmer qu’un contrat couvre bien un équipement. Quand l’outil est indisponible, les professionnels basculent sur des procédures dégradées, et le patient peut devoir avancer des frais ou reporter.

Dans un magasin d’optique, par exemple, l’équipe peut avoir besoin d’une validation rapide pour un équipement avec verres spécifiques. Sans PEC automatisée, le vendeur imprime, envoie, attend une réponse, et garde le dossier ouvert. Même si le tiers payant essentiel continue, le ressenti côté client peut être celui d’un blocage, parce que la promesse, vous ne payez pas, dépend d’un accord en amont.

Dans le dentaire, les devis et les actes prothétiques s’accompagnent souvent de validations. Marc, gestionnaire administratif en clinique, décrit une situation classique, tu as un patient programmé, tu veux éviter l’avance de frais, et tu te retrouves à expliquer qu’il faut patienter ou accepter une solution temporaire. Ce n’est pas une catastrophe systématique, mais c’est un irritant, et il suffit de quelques jours de retard pour désorganiser un planning.

Ce type d’incident rappelle aussi une fragilité structurelle, la dépendance à un prestataire unique pour une brique critique. Quand un acteur comme Almerys sert plusieurs complémentaires, l’effet domino peut toucher un grand nombre de professionnels, même si tous les assurés ne sont pas concernés. C’est là qu’une critique est légitime, l’écosystème a empilé des couches numériques pour gagner en efficacité, mais la résilience opérationnelle n’est pas toujours au même niveau que l’ambition de dématérialisation.

Alan alerte sur les arnaques, plaintes et signalements en cours

Du côté des complémentaires, la réaction la plus visible est l’appel à la prudence. Alan a invité ses assurés à la vigilance après l’attaque visant son prestataire de tiers payant. Le message est simple, dans les semaines qui suivent une fuite, les tentatives de phishing augmentent souvent, parce que les fraudeurs exploitent l’actualité et la confusion. Même sans e-mail ou téléphone exposé, des campagnes peuvent viser large, en espérant toucher les bonnes personnes.

Alan indique aussi qu’un dépôt de plainte et des signalements aux autorités compétentes sont en cours, notamment auprès de la Cnil et de l’ACPR, l’autorité de contrôle du secteur des assurances. Ce type de démarches sert à enclencher la chaîne réglementaire et à documenter l’incident. Pour les assurés, ce n’est pas très concret au quotidien, mais c’est un marqueur, l’affaire est traitée comme un événement de sécurité sérieux.

Dans la pratique, l’alerte se traduit par des consignes, ne pas cliquer sur des liens reçus par SMS, vérifier l’origine d’un appel, et ne jamais transmettre un document sensible à un interlocuteur non authentifié. Marc, expert cybersécurité en entreprise, le formule de façon directe, si on te demande ton numéro de sécu pour confirmer ton numéro de sécu, c’est déjà louche. Ce genre de rappel paraît basique, mais il fonctionne, parce que la fraude joue sur l’urgence.

Autre élément à garder en tête, Almerys avait déjà été visé par une fuite de données en 2024 après une précédente cyberattaque, selon les informations relayées par Alan. Ce rappel ne prouve pas une répétition mécanique des mêmes failles, mais il alimente une question de fond sur la maturité sécurité des prestataires au cur des flux santé. Les acteurs du secteur vont devoir démontrer, preuves à l’appui, que les mesures correctives vont au-delà du simple redémarrage.

Le parquet de Paris ouvre une enquête, l’ampleur reste inconnue

L’affaire prend aussi un volet judiciaire, le parquet de Paris a ouvert une enquête. C’est un signal classique dans les dossiers où des données personnelles sensibles sont exposées, surtout quand le numéro de sécurité sociale fait partie des informations potentiellement compromises. L’objectif est d’identifier les auteurs, de qualifier les infractions, et de déterminer la réalité de l’exfiltration, au-delà d’un simple accès.

Le point qui complique tout, c’est l’absence de chiffre sur le nombre de personnes touchées. Tant que l’entreprise ne communique pas d’estimation, les complémentaires, les professionnels et les assurés naviguent à vue. Dans les incidents de ce type, l’analyse forensique peut prendre du temps, recouper des journaux, vérifier des traces, reconstruire une chronologie. Mais l’attente crée une zone d’incertitude, et elle nourrit les rumeurs, ce qui n’aide ni les patients ni les professionnels.

Sur le plan des risques, il faut distinguer l’immédiat du long terme. Immédiatement, la menace la plus probable reste la fraude par ingénierie sociale, appels, SMS, faux conseillers. À moyen terme, des données d’identité peuvent circuler, être recoupées, et servir à des démarches frauduleuses. Même si les données de santé ne sont pas concernées selon l’entreprise, l’identité et l’affiliation à un assureur suffisent à fabriquer des scénarios crédibles.

Pour les assurés, la meilleure défense reste la vérification systématique, et le refus de transmettre des informations sensibles sans canal officiel. Pour les professionnels de santé, l’enjeu est de maintenir la continuité de service pendant la phase transitoire, sans créer de nouvelles failles via des échanges improvisés. Le cas Almerys rappelle que la santé n’est pas seulement un sujet médical, c’est aussi une chaîne administrative et numérique, et quand un maillon est attaqué, tout le monde perd du temps, parfois de l’argent, et souvent de la confiance.