Viamedis et Almerys, deux spécialistes majeurs du traitement du tiers payant de santé, ont été victimes au niveau national d'une cyberattaque d'envergure, exposant des informations sensibles à des personnes malveillantes. "Ces données sont d'une importance capitale, car elles peuvent être utilisées à des fins d'usurpation d'identité, de fraude financière et d'autres activités criminelles" note l'Observatoire de la cybersécurité de l'océan Indien (OCOI) dans un communiqué publié ce mercredi matin 7 février 2024. L’organisme se dit" profondément préoccupé" par ces attaques "qui pourraient avoir un impact pour la population de l’Océan Indien" en général et de La Réunion en particulier (Photo d'illustration www.imazpress.com)
Almerys a été victime d’un piratage ayant exposé des données de ses assurés, a annoncé l’entreprise lundi 5 février, seulement cinq jours après qu’une cyberattaque a visé son concurrent Viamedis.
Selon les informations transmises par la société à Almerys, le mode opératoire ayant mené au piratage, très classique, est le même que pour Viamedis : l’usurpation d’identifiants et de mots de passe de "certains professionnels de santé clients du service a compromis leur compte et [a] facilité l’accès" au portail Almerys, "qui leur est dédié"
Le spécialiste du tiers payant a expliqué que des données personnelles d’assurés sociaux ont été "exposées" pendant l’intrusion, mais sans donner d’informations complémentaires sur le nombre de victimes.
À La Réunion, la mutuelle Aésio qui sous-traite la gestion du tiers payant de la complémentaire santé avec Viamedis et Almerys, a adressé un mail à ses adhérents ce lundi pour les informer de cette cyberattaque et leur recommander "la plus grande vigilance dans les prochaines semaines"
Aésio précise ensuite à ses adhérents : "votre espace adhérent et vos demandes de remboursement ne sont pas impactés et restent accessibles. Vous pouvez également continuer à utiliser sans aucun risque votre carte Vitale et votre carte de tiers payant".
La mutuelle indique aussi à ses adhérents : "les données personnelles exposées sont limitées et sont les suivantes pour vous-même et votre famille : nom, prénom, date de naissance, numéro de Sécurité sociale, nom de votre assureur santé, numéro et garanties de votre contrat."
De faits, selon Almerys, parmi les données potentiellement concernées, on trouve le nom, le prénom, la date de naissance, le rang de naissance (pour les jumeaux), le numéro de Sécurité sociale, le nom de l’assureur santé, le numéro de contrat de l’assureur et une "référence interne".
- Grande vigilance -
Les informations bancaires, les données médicales, les détails de remboursement de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail "ne sont en aucun cas concernés par cette compromission", a précisé la société.
Le portail d’accès d’Almerys destiné aux professionnels est pour l’heure fermé, mais l’entreprise assure que "les services d’Almerys fonctionnent normalement".
Le site de son concurrent Viamedis était quant à lui toujours fermé mardi matin.
Jeudi 1er février, Viamedis, concurrent d’Almerys qui gère le tiers payant de 20 millions d’assurés sociaux, avait annoncé avoir été victime d’une cyberattaque exposant des données, sans là encore préciser combien de personnes étaient victimes de ce vol de données.
Jeudi, Viamedis annonçait dans un communiqué avoir déposé une plainte auprès du procureur de la République, ainsi qu’avoir adressé une notification à la Commission nationale de l’informatique et des libertés (CNIL).
"Ce site permet de vérifier si votre assurance santé est gérée par l'un de ces deux prestataires concernant le tiers payant" ajoute l'OCOI.
Par mesures de précaution, l'Observatoire et Aésio recommandent aux assurés sociaux :
- de changer immédiatement les mots de passe potentiellement concernés et donc de modifier le code personnel, des comptes Ameli, de la mutuelle, France Connect, et tous les autres sites qui demandent les numéros de sécurité sociale pour identification
- Ne jamais transmettre votre identifiant et votre mot de passe par email, SMS ou par téléphone.
- d'activer la double authentification (MFA) sur les comptes de santé en ligne
- de surveillez attentivement ses comptes en ligne pour détecter toute activité suspecte aux fins de signalement aux autorités
- vérifier les coordonnées de votre interlocuteur au téléphone
- ne pas répondre à un email inconnu ni cliquer sur les liens
- ne rien communiquer par téléphone
Pour tout renseignement, consulter le site internet www.cybermalveillance.gouv.fr
Pour rappel, les services sociaux et les mutuelles ne demandent jamais les coordonnées bancaires par téléphone.
www.imazpress.com avec l'AFP / redac@ipreunion.com
Le tout numérique creuse le tombeau de nos libertés.