Piratage du tiers payant : nos données personnelles sont-elles efficacement protégées ?

Généralement, ces deux opérateurs assurant la gestion du tiers payant des complémentaires santé restent inconnus du grand public. Mais Viamedis et Almerys ont fait la une des journaux après avoir dû reconnaître une cyberattaque affectant leur infrastructure informatique.

Si ces deux entreprises restent très discrètes sur la technique employée par les attaquants, des fuites dans la presse évoquent un procédé bien classique : l’hameçonnage ou le phishing. Des professionnels de la santé auraient mordu à l’hameçon des pirates et dévoilé leurs informations d’identification pour accéder à ses systèmes. Une fois en possession de ses précieux sésames, les attaquants auraient profité de vulnérabilités pour s’introduire dans le réseau et accéder aux bases de données.

Cette importante fuite de données inclut, pour les assurés et leur famille, l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit.

La CNIL et les deux plates-formes de tiers payant ont indiqué que ni les informations bancaires ni les données strictement médicales, pas plus que les numéros de téléphone ou les emails n’avaient été volés.

Mais le plus gênant est que les cyberattaquants disposent de notre numéro de sécurité sociale. Si une fuite de données concernant des identifiants et des mots de passe peut voir son impact limité, dans la mesure où les personnes concernées réagissent rapidement en modifiant leur mot de passe, c’est une autre affaire avec le numéro de sécurité sociale.

Impossible de le changer ! Pire, cette information est indispensable pour accéder à de nombreuses plates-formes en ligne via le service France Connect : impôts, retraite, allocations, chômage, renouvellement des papiers d’identité, immatriculation d’un véhicule…

Une amende de 1,5 million d’euros

« Si vous êtes une personne concernée, la CNIL vous conseille d’être prudent sur les sollicitations que vous pourrez recevoir, en particulier s’ils concernent des remboursements de frais de santé et de vérifier périodiquement les activités et mouvements sur vos différents comptes ». Ne cliquez pas sur des messages (SMS et emails) usurpant des organismes de santé (Ameli, complémentaires santé) qui vous réclament des coordonnées de cartes bancaires sous différents prétextes : panne informatique, cyberattaque, mise à jour…

Ce type d’escroquerie n’a pas attendu la cyberattaque touchant Viamedis et Almerys pour se multiplier. Qui n’a en effet pas reçu un SMS envoyé soi-disant par Ameli et vous demandant de payer une dizaine d’euros pour mettre à jour votre carte Vitale ?

Le plus inquiétant dans cette affaire est que la protection de nos données personnelles ne semble pas être très renforcée et, surtout, surveillée en temps réel pour repérer les moindres signaux d’une infiltration en cours. La France a pourtant un arsenal juridique imposant vis-à-vis de la confidentialité des données personnelles.

La loi française sur la protection des données personnelles est la loi n° 2018-493 du 20 juin 2018. Elle adapte la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés au cadre juridique européen entré en vigueur le 25 mai 2018. Au niveau européen, le Règlement Général sur la Protection des Données (RGPD) est exécutoire depuis 2019 pour protéger les citoyens contre ces fuites. Et malgré ces mesures, les incidents se multiplient. Pôle Emploi a été victime d’une importante violation de données en août 2023.

Heureusement, des entreprises sont sanctionnées. Suite à une fuite massive de données de santé divulguée concernant près de 500 000 personnes en février 2021, la CNIL avait condamné la société Dedalus Biologie à une amende de 1,5 million d’euros notamment pour manquement à son obligation de sécurité des données.

Crédit image de une : freepik