33 trois millions de Français sont concernés par un vol de données au tiers payant. Deux sociétés servant d’intermédiaire entre les mutuelles et les médecins ont été victimes d’une cyberattaque au début du mois. Fort heureusement, ces données ne sont pas trop sensibles selon la Cnil, ce qui limite les risques pour les utilisateurs. "Les données concernées sont, pour les assurés et leur famille, l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur santé ainsi que les garanties du contrat souscrit", a précisé dans un communiqué le gendarme de la vie privée en matière numérique, ajoutant que les informations bancaires, les données médicales ou les remboursements de santé "ne seraient pas concernées".
Si vous en êtes victime, vous pourriez recevoir un e-mail frauduleux
Le seul risque si vous avez été touché par ce vol de données est donc de recevoir un faux e-mail dans les prochaines semaines vous invitant à communiquer des informations supplémentaires comme vos coordonnées bancaires par exemple.
Attention, ces messages frauduleux pourraient cette fois être plus vrais que nature, selon Gerome Billois, expert en cybersécurité au cabinet Wave Stone. "Les cybercriminels aiment beaucoup voler des données, car ils peuvent ensuite créer des scénarios de fraudes qui sont très crédibles. Si par exemple, vous recevez un e-mail qui contient votre numéro de sécurité sociale, vous allez vous dire 'Ah tiens, c'est un vrai e-mail, car il a beaucoup d'informations sur moi".
Si vous recevez un message de ce type, il faudra donc redoubler de vigilance. Notez par exemple que la sécurité sociale ne vous demandera jamais directement de communiquer vos coordonnées bancaires ou une quelconque information médicale.
Des investigations menées rapidement par la Cnil
La Cnil, qui va "mener très rapidement des investigations" pour vérifier si les mesures de sécurité de ces opérateurs étaient conformes à leurs obligations, appelle également chacune des complémentaires ayant recours à Viamedis et Almerys à informer "individuellement et directement" l'ensemble de leurs assurés concernés par cette violation de données.
"Le compte d'un professionnel de santé a été hameçonné"
Elle prévient qu'elle s'assurera que ce soit fait "dans les plus brefs délais". Début février, Viamedis, qui a déposé une plainte auprès du procureur de la République, avait indiqué avoir déconnecté sa plateforme de gestion à la découverte de l'intrusion, ce qui n'empêchait pas les assurés sociaux de bénéficier du tiers payant.
Son directeur général, Christophe Candé, avait expliqué qu'il ne s'agissait pas d'une attaque par rançongiciel mais d'une intrusion dans la plateforme. "Le compte d'un professionnel de santé a été hameçonné", avait-il alors révélé.