Cyberattaque sur Almerys et Viamedis gestionnaires du tiers payant

Ce qu'il s'est passé

Le vendredi 2 février, nous avons pris connaissance d'événements perturbateurs affectant la sécurité de deux principales plateformes en charge de la gestion du tiers-payant Almerys et Viamedis pour une grande partie des compagnies d'assurance françaises. Viamedis est notamment le partenaire de SideCare pour le tiers-payant des contrats avec un réseau de soins Itelis ou Kalixia.

Aucune cyberattaque n'a eu lieu sur la plateforme de SideCare. Almerys et Viamedis sont des sous traitants permettant le bon fonctionnement du tiers payant pour quelques réseaux de soins. Aucun accès non autorisé n'a été enregistré dans notre réseau informatique de SideCare. L'accès à votre compte personnel SideCare demeure intact, sécurisé, permettant la continuation fluide du traitement de vos remboursements.

Nous avons été informés par Viamedis des catégories de données affectées, qui incluent : le nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, l'identité de l'assureur, et le numéro d'assuré. Il est important de noter que les informations bancaires, données médicales, détails de remboursements de santé, adresses postales, numéros de téléphone, adresses email et mots de passe n'ont pas été compromis.

Les équipes d'Almerys et de Viamedis, en collaboration avec l'ANSSI, s'emploient à évaluer précisément l'ampleur de cette situation et à identifier les assurés potentiellement impactés par cet incident, ainsi que les conséquences pour les clients de SideCare. Nous nous engageons à vous tenir informés des développements ultérieurs. Almerys, Viamedis ainsi que les gestionnaires du traitement de vos soins ont pris les mesures appropriées en alertant les autorités réglementaires (CNIL, ANSSI) et en déposant des plaintes auprès du procureur de la République. 

L 'attaque proviendrait de comptes de professionnels de santé qui ont été piratés et qui ont pu accéder à de nombreuses informations sur les patients présents sur les plateformes de tiers-payant Almerys et Viamedis.

Pourquoi un professionnel de santé a accès à ces données ? Certains profesionnel de santé qui pratiquent le tiers payant (opticien, dentiste notamment) peuvent accéder à la base des assurés grâce à ses plateformes de tiers payant afin de vous éviter d'avancer des frais. C'est depuis ce type de compte que provient la cyberattaque touchant Almerys et Viamedis.

Comment savoir si mon tiers payant utilise Viamedis ou Almerys ?

Il faut distinguer 2 utilisations du tiers payant : 

- L'acteur qui est responsable du bon fonctionnement de votre carte de tiers payant. Vous pouvez le voir sur votre carte TP. Pour les assurés de SideCare les cartes de tiers payant sont édités par SP santé qui n'est pas affecté par la fuite de données.

- Les acteurs qui sont responsables du fonctionnement de certains réseaux de soins. Viamedis et Almerys sont des acteurs qui s'occupent des réseaux de soins Kalixia et Itelis. C'est pour cette raison que certains assurés chez SideCare sont potentiellement impactés car ils bénéficient de ces réseaux de soins. Leurs données au moment de l'affiliation est donc envoyée à ces réseaux de soins.

Même si vous n'avez pas utilisé le tiers-payant durant toute votre affiliation ou ces derniers mois vos données sont à risque. En effet pour tous les acteurs de la complémentaire santé, les données sont envoyées au moment de l'affiliation et non au moment de la consommation. Donc même si vous n'allez jamais chez le médecin, vos données sont potentiellement compromises si vous avez une carte de tiers-payant.

Comment savoir si je fais partie des personnes avec des des données volées ? 

Il est impossible pour le moment de savoir précisément la liste des personnes affectées. Il est égalemetn impossible de savoir parmi les assurés SideCare lesquels sont précisement affectés par la fuite de données. Viamedis et Almerys n'ont pas encore communiqué la liste des personnes affectées. 
Néanmoins les premières informations ne sont pas bonnes car il semble que ce soit une fuite massive (plus de 33 millions de Français), il est donc très probable que vos données aient été compromises.

Les conséquences pour les assurés SideCare

Nous attendons d'avoir plus d'informations sur la nature précise des données. Néanmoins en attendant les services des 2 gestionnaires sont coupés et donc le tiers payant est suspendu pour tous les assurés des réseaux de soins de Itelis et Kalixia. La télétransmission fonctionne toujours. Généralement la plupart des assurés de Axa sont sur le réseau Itelis et les assurés de Malakoff sont sur le réseau de soins Kalixia. Si vous avez des soins vous pouvez toujours nous adresser les demandes de remboursement (factures, ordonnances...) vous serez remboursé après traitement de votre demande. 

Quelles sont les mesures de sécurité mises en place par SideCare ?

SideCare et ses partenaires ont bloqué tous les accès direct aux systèmes de Almerys et de Viamedis pour le moment. Certains actes de tiers-payant se trouvent affectés par cette coupure provisoire.

SideCare a renforcé ses mesures de sécurité en interne pour éviter toute tentative d'usurpation d'identité. Nos gestionnaires ont des consignes renforcées pour des actes sensibles.

Nous allons installer et généraliser la double authentification pour les salariés dans les prochaines semaines.

Nos recommandations pour se protéger

Nous vous conseillons de rester vigilant dans les jours à venir et de scruter tout message inhabituel (SMS, appels vocaux, ou emails) prétendant émaner de SideCare ou d'autres entités. En cas de suspicion, nous vous incitons à prendre directement contact avec le service en question.

Pour toute interrogation relative à la protection de vos données, notre équipe reste à votre disposition à l'adresse suivante : [email protected].