Révélée fin mai 2026, la cyberattaque visant l’opérateur de tiers payant Almerys continue d’avoir des répercussions pour de nombreux assurés. TPE Actu a pu consulter un courrier adressé aux adhérents de Vivinter, l’un des gestionnaires concernés. Le document confirme que certaines données personnelles ont été exposées après une intrusion informatique détectée par Almerys et invite les bénéficiaires à redoubler de vigilance face aux tentatives de fraude.
Les cyberattaques visant les acteurs de la santé continuent de se multiplier. Cette fois, c’est Almerys, l’un des principaux opérateurs français de tiers payant, qui a été la cible d’une intrusion informatique ayant conduit à l’exposition de données personnelles de nombreux assurés.
Parmi les organismes impactés figure Vivinter, qui a informé ses adhérents de l’incident dans un courrier adressé ces derniers jours.
Quelles données ont été exposées ?
Selon les informations communiquées par Vivinter, les données susceptibles d’avoir été consultées ou récupérées par les cybercriminels concernent :
- le nom et le prénom ;
- la date de naissance ;
- le rang de naissance ;
- le numéro de Sécurité sociale ;
- le nom de l’organisme complémentaire santé ;
- un numéro de référence interne ;
- les dates de début et de fin de couverture.
En revanche, les informations les plus sensibles sur le plan financier ou médical n’auraient pas été compromises.
Ainsi, ne sont pas concernées :
- les données bancaires ;
- les données de santé ;
- les remboursements médicaux ;
- les adresses postales ;
- les numéros de téléphone ;
- les adresses électroniques.
Une attaque qui touche indirectement les entreprises
Même si les systèmes d’information de Vivinter n’ont pas été directement compromis, l’incident concerne les entreprises ayant souscrit une complémentaire santé collective auprès d’un organisme utilisant Almerys pour la gestion du tiers payant.
Pour les employeurs, l’enjeu est double :
- D’une part, les salariés peuvent s’inquiéter de l’exposition de leurs données personnelles et solliciter leur service RH pour obtenir des informations complémentaires.
- D’autre part, la fuite pourrait être exploitée par des cybercriminels pour mener des opérations de fraude ciblées.
Quels sont les risques pour les salariés ?
Les experts en cybersécurité alertent principalement sur deux menaces.
Le phishing renforcé
Les fraudeurs disposent désormais d’informations permettant de rendre leurs messages plus crédibles.
Un salarié pourrait ainsi recevoir un courriel, un SMS ou un appel téléphonique mentionnant son nom, sa date de naissance ou son organisme de complémentaire santé afin de l’inciter à communiquer des informations supplémentaires.
L’objectif est généralement d’obtenir des identifiants, des mots de passe ou des coordonnées bancaires.
L’usurpation d’identité
La combinaison du nom, de la date de naissance et du numéro de Sécurité sociale peut également être utilisée dans des tentatives d’usurpation d’identité.
Même si ces données ne suffisent pas à elles seules à ouvrir un compte bancaire ou contracter un crédit, elles peuvent servir à élaborer des fraudes plus sophistiquées.
Que doivent faire les employeurs ?
Les entreprises concernées ont intérêt à informer rapidement leurs collaborateurs afin de limiter les risques.
Plusieurs mesures peuvent être mises en œuvre :
- relayer l’information transmise par l’assureur ou le gestionnaire ;
- sensibiliser les salariés aux tentatives d’hameçonnage ;
- rappeler qu’aucun organisme sérieux ne demande un mot de passe ou des coordonnées bancaires par e-mail ;
- inviter les collaborateurs à signaler tout message suspect au service informatique ou au référent cybersécurité ;
- renforcer temporairement la vigilance sur les demandes de modification de coordonnées bancaires ou administratives.
Les employeurs peuvent également encourager leurs salariés à surveiller attentivement leurs relevés administratifs et à signaler rapidement toute anomalie.
Les autorités ont été saisies
À la suite de l’incident, Almerys a déclaré l’attaque à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), notifié la violation à la Commission nationale de l’informatique et des libertés (CNIL) et déposé plainte auprès du procureur de la République.
De son côté, Vivinter indique avoir également réalisé les notifications réglementaires nécessaires auprès de la CNIL et de l’Autorité de contrôle prudentiel et de résolution (ACPR).
Les services de remboursement, de tiers payant et les espaces adhérents restent opérationnels.
Une nouvelle illustration de la vulnérabilité du secteur de la santé
Cette attaque rappelle que les organismes de santé et leurs sous-traitants demeurent des cibles privilégiées des cybercriminels. Même lorsqu’aucune donnée médicale n’est compromise, les informations administratives détenues par ces acteurs constituent une ressource précieuse pour les fraudeurs.
Pour les employeurs, la meilleure protection reste aujourd’hui l’information des salariés et la sensibilisation régulière aux risques numériques.