Une base de données attribuée à Almerys, acteur majeur du tiers payant et de la gestion des flux de données santé en France, est actuellement proposée sur un forum cybercriminel.
Le fichier contiendrait plus de 44 millions de lignes et surtout 15,4 millions de numéros de sécurité sociale uniques, ce qui en ferait l’une des plus importantes fuites de données santé françaises de ces dernières années.
Almerys, un acteur clé du tiers payant santé
Créée à Clermont-Ferrand, Almerys est spécialisée dans la gestion du tiers payant pour de nombreuses mutuelles, complémentaires santé et organismes d’assurance. L’entreprise traite quotidiennement des flux liés aux remboursements médicaux et aux droits des assurés.
La société revendique travailler avec plus de 300 000 professionnels de santé et des millions d’assurés via son infrastructure de gestion des prestations santé et de tiers payant.
Des numéros de sécurité sociale et des données familiales
D’après l’annonce publiée sur le forum, la base contiendrait :
- numéros de sécurité sociale (NIR) ;
- noms et prénoms des bénéficiaires ;
- dates de naissance ;
- numéros de contrats santé ;
- noms des organismes complémentaires ;
- dates de début et fin de couverture.
Le cybercriminel affirme également que plusieurs membres d’une même famille peuvent être rattachés à un seul numéro de sécurité sociale, permettant potentiellement de reconstituer des structures familiales complètes.
Des mutuelles françaises apparaissent dans les échantillons
Les exemples publiés mentionnent plusieurs organismes complémentaires santé français comme :
- Viasanté ;
- MMJ ;
- Viasanté Groupe.
Les données semblent principalement liées à des contrats de complémentaire santé et de gestion du tiers payant.
Une fuite particulièrement sensible
Les numéros de sécurité sociale font partie des données personnelles les plus sensibles en France. Associés à des informations de santé ou de couverture mutuelle, ils peuvent être utilisés dans des fraudes administratives, des usurpations d’identité ou des campagnes de phishing ciblées.
À ce stade, Almerys n’a pas publiquement confirmé l’authenticité de la base revendiquée sur le forum cybercriminel.