Comme un air de déjà vu plane sur l’annonce de la mutuelle Alan d’un incident de sécurité touchant son prestataire de tiers-payant Almerys ayant entraîné un vol de données. Ce dernier avait déjà subi une cyberattaque en 2024 exposant des données personnelles de mutuelles comme Malakoff Humanis. Dans l’affaire présente, Alan précise que plusieurs informations sont concernées : État-civil (nom, prénom, date de naissance, rang de naissance), numéro de sécurité sociale, de contrat, nom de l’assureur, dates et débuts de fin de couverture.

La société se veut rassurante en soulignant que les informations bancaires, de santé et les mots de passe des clients ne sont pas touchés par ce vol de données. Elle précise avoir notifié l’incident à l’ACPR (Autorité de régulation des assurances) et prépare une notification à la Cnil. Selon nos confrères de BFM, la section de lutte contre la cybercriminalité du parquet de Paris a ouvert une enquête et qui saisi la brigade spécialisée de la préfecture de police.

Un pirate revendique le vol de 44 millions de données

Dans son communiqué, la mutuelle précise que l’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys et que la plateforme compromise a été mise hors service. Si elle ne connait pas le nombre de données dérobées, le site FrenchBreaches évoque 44 millions de données dont 15 millions de numéros de sécurité sociale touchant plusieurs mutuelles. Pour mémoire, l'incident de 2024 concernait 33 millions de données.

Comme toujours, la vigilance est de mise pour les assurés et les ayants droits touchés par ce piratage. Les cybercriminels peuvent s’en servir pour mener des campagnes de phishing, de SMS ou d’appels frauduleux. Dans le doute, un changement de mot de passe est aussi requis.