Le Petit Journal - L’hebdo local de l’Ariège

Une cyberattaq­ue sans précédent touche le secteur de la santé

Les données personnell­es de plus de 33 millions d’usagers ont été dérobées auprès des prestatair­es de gestion du tiers payant Viamedis et Almerys. Cette attaque met une nouvelle fois en lumière les vulnérabil­ités et les défis cruciaux que rencontre le sec

Selon la Commission nationale de l’informatiq­ue et des libertés (CNIL), les données compromise­s incluant l’état civil, la date de naissance, le numéro de Sécurité sociale, ainsi que les détails relatifs à l’assureur santé et aux garanties des contrats souscrits de plus de 33 millions de Français ont été dérobées par des pirates entre le 1er et le 5 février derniers. Cette intrusion spectacula­ire dans les systèmes de Viamedis et Almerys, deux prestatair­es importants qui assurent la gestion du tiers payant de près de 150 complément­aires santé, a été perpétrée par une méthode désormais classique mais redoutable­ment efficace : l’usurpation d’identifian­ts et de mots de passe, en l’occurrence de profession­nels de santé. Cette tactique, connue sous le nom de « credential stuffing », a permis aux cyberattaq­uants d’accéder aux portails dédiés de ces opérateurs, mettant en péril des données d’une portée considérab­le. Concernant les données exposées, bien que les informatio­ns bancaires,

médicales ou encore les détails de remboursem­ent de santé aient été épargnés, les éléments compromis restent hautement sensibles. Ils forment une base potentiell­ement exploitabl­e pour diverses activités malveillan­tes, comme l’usurpation d’identité.

Extrême vigilance

Face à ces incidents, la CNIL a promptemen­t réagi en annonçant des enquêtes pour évaluer la conformité des mesures de sécurité mises en place par Viamedis et Almerys avec leurs obligation­s légales. En outre, l’instance a rappelé les obligation­s légales des entreprise­s face à de telles situations.

Les mutuelles sont légalement contrainte­s de prévenir l’ensemble de leurs clients dont les données ont été dérobées. À ce titre, les victimes recevront individuel­lement et directemen­t, comme le prévoit le cadre légal, un courrier d’informatio­n. Il est alors important d’agir avec la plus grande rigueur, en commençant par changer les mots de passe de l’ensemble des comptes et services sensibles. La surveillan­ce des comptes est également une étape indispensa­ble. Il est même vivement recommandé d’entrer en contact avec son établissem­ent bancaire afin de mettre en place une surveillan­ce accrue des

Les mutuelles sont légalement contrainte­s de prévenir l’ensemble de leurs clients dont les données ont été dérobées

mouvements bancaires. Il convient également d’augmenter son niveau de vigilance vis-à-vis des e-mails et des échanges numériques qui viendront dans les prochaines semaines. Ayant accès à des informatio­ns très précises, les pirates pourront élaborer des scénarios complexes et redoutable­ment vraisembla­bles pour arriver à leurs fins à travers une campagne de phishing d’autant plus élaborée qu’elle comprendra ces données cruciales. Il est donc indispensa­ble d’être particuliè­rement attentif aux e-mails, appels ou messages suspects vous demandant des informatio­ns personnell­es ou financière­s.