Vendredi 22 mai 2026, un fichier de 44 millions de lignes apparaît sur un forum du dark web. Parmi elles, 15 452 549 numéros de sécurité sociale attribués à l’opérateur de tiers payant Almerys. L’alerte provient du site French Breaches, confirmée trois jours plus tard par l’entreprise : une nouvelle cyberattaque a réussi là où les correctifs post-2024 étaient censés solidifier l’infrastructure. Alan, l’un des assureurs clients, devance les annonces officielles pour prévenir ses adhérents, illustrant la cacophonie d’une chaîne de communication trop longue face à la vitesse d’une fuite de données. Les experts observent déjà les premières reventes de jeux de données croisés avec d’autres brèches récentes (Cegedim Santé, ANTS) : un cocktail idéal pour l’ingénierie sociale. Pendant ce temps, les victimes attendent toujours un courriel de leur mutuelle. Entre enjeux réglementaires, inertie organisationnelle et sophistication du piratage informatique, l’affaire Almerys révèle la fragilité chronique du tiers payant français.
- 🔍 Découverte : fichier mis en vente le 22 mai 2026, confirmé le 26 mai.
- 🆔 Volume : 15,4 M de numéros de sécurité sociale uniques, 44 M de lignes.
- 🏥 Organismes touchés : 674 mutuelles et complémentaires santé.
- ⏱️ Délai de notification : une semaine avant le premier message aux assurés.
- 🛡️ Données concernées : état civil, NIR, assureur, période de couverture ; pas de dossiers médicaux selon Almerys.
Chronologie de l’attaque informatique contre Almerys
L’attaque de mai 2026 reproduit le schéma de la brèche de janvier 2024 : usurpation d’identifiants d’un compte professionnel, accès au portail de prises en charge, exfiltration silencieuse. Seule nuance : les assaillants ont cette fois automatisé la collecte, ce qui explique le fichier massif découvert.
La réactivité des acteurs reste perfectible : l’assurance Alan alerte le public avant l’émetteur du sinistre, tandis que certaines mutuelles attendent encore la « liste consolidée » pour agir. Cette lenteur contraste avec la rapidité des ventes sur les places de marché clandestines, où les numéros de sécurité sociale se négocient à prix d’ami pour le cybercrime.
Dates clés et rappels réglementaires
- 📅 22 mai 2026 : annonce French Breaches.
- 📅 26 mai 2026 : confirmation officielle Almerys.
- 📅 29 mai 2026 : début des notifications individuelles… par les mutuelles.
- ⚖️ Obligation CNIL : notification sous 72 h, mais transfert de responsabilité possible vers les partenaires.
Chronologie de la cyberattaque Almerys
Cliquez sur un événement pour afficher/masquer les détails. Recherchez ou réordonnez à votre guise.
Quelles données ont été exfiltrées ? Risques et scénarios 🎯
Les informations volées se limitent, d’après l’entreprise, au « socle administratif ». Pourtant, couplées à d’autres brèches, elles deviennent un composant redoutable pour :
- 📩 Phishing ciblé vers l’assuré (usurpation de mutuelle).
- 💳 Fraude aux remboursements via création de faux bénéficiaires.
- 🛂 Usurpation d’identité pour démarches en ligne.
Le guide NIST 800-53, détaillé sur cette ressource, classe ces données dans la catégorie « modérées à élevées » quant à l’impact potentiel sur la vie privée.
Tableau de criticité des attributs exposés
| 📌 Attribut | Impact isolé | Impact couplé |
|---|---|---|
| Numéro de sécurité sociale | ⚠️ Moyen | 🚨 Élevé |
| Nom + prénom | ⚠️ Faible | ⚠️ Moyen |
| Date de naissance | ⚠️ Faible | 🚨 Élevé |
| Assureur & contrat | ⚠️ Faible | 🚨 Élevé |
Le tiers payant : un écosystème vulnérable
Almerys orchestre les flux entre plus de 670 organismes et des dizaines de milliers de professionnels de santé. Chaque connexion se traduit par un couple identifiant/mot de passe, donc un point d’entrée potentiel. Sans démarche d’IAM robuste, le risque d’attaque informatique à grande échelle se maintient.
Pourquoi les opérateurs restent des cibles faciles ?
- 🔑 Héritage applicatif et protocoles obsolètes.
- 🔄 Rotation des identifiants professionnels trop peu fréquente.
- 💼 Sous-traitance en cascade diluant les responsabilités.
- 📉 ROI perçu faible sur les investissements en cybersécurité.
En miroir, les pirates disposent d’outils prêts à l’emploi pour industrialiser le malware, rendant la défense toujours plus coûteuse.
Mesures immédiates de protection des données pour les assurés
En attendant des pénalités réglementaires, la vigilance individuelle reste la ligne de front.
- 🔒 Activer l’authentification forte sur les comptes Ameli, mutuelle et services bancaires.
- 📮 Vérifier l’expéditeur avant de cliquer sur un lien d’email ou SMS.
- 🖨️ Consulter son historique de remboursements et signaler toute anomalie.
- 🌐 Sécuriser sa connexion Wi-Fi comme décrit ici : protéger son réseau domestique.
Comment savoir si mes données figurent dans la fuite ?
Vous recevrez un courrier ou un email de votre mutuelle dès qu’elle aura traité la liste transmise par Almerys. Surveillez également les alertes de la CNIL et les plateformes de signalement comme Have I Been Pwned.
Puis-je changer mon numéro de sécurité sociale ?
Non, le NIR est attribué à vie. En cas d’usurpation, déposez plainte et conservez les preuves. Votre caisse d’assurance maladie pourra activer un dispositif de suivi renforcé.
Les données médicales sont-elles concernées ?
Almerys affirme que les dossiers médicaux ne sont pas inclus. Toutefois, l’association du NIR, de l’état civil et de l’assureur peut suffire à orchestrer des fraudes ou du phishing médical.
Que risque Almerys sur le plan légal ?
La CNIL peut infliger jusqu’à 4 % du chiffre d’affaires annuel mondial. Des actions collectives d’assurés restent également possibles si la faute est avérée.
Quels réflexes adopter face à un email suspect ?
Ne cliquez sur aucun lien, vérifiez l’adresse d’expédition, recherchez des fautes d’orthographe et comparez le contenu avec les communications officielles publiées sur le site de votre mutuelle.