Cyber-attaque Viamedis/Almerys : Quels risques suite au vol de données ?

Usurpation d’identité, hameçonnage, augmentation du risque de fraude, gestion dégradée… quels sont les risques liés à la cyber-attaque qui a affecté Viamedis et Almerys ?

La Cnil a confirmé le 7 février que la cyber-attaque de Viamedis et Almerys concerne plus de 33 millions de personnes, soit un Français sur deux. Leurs données relatives à l’identité, l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé et les garanties qu’il a souscrites sont potentiellement dans les mains de cyber-criminels. Quels sont les risques pour le secteur de l’assurance et pour les Français concernés ?

Alerter les assurés

Chaque complémentaire travaillant avec Viamedis et Almerys se doit d’« informer individuellement et directement l’ensemble des personnes concernées », signale la Commission nationale informatique et liberté. La Cnil a également lancé des investigations « afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l’incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD ».

Dans un monde largement digitalisé, la data est l'objet de convoitises. « Les organismes complémentaires doivent être préparés à déclencher une communication et gestion de crise, faire preuve d’une grande réactivité face à une situation de cyber-attaque et informer rapidement les assurés des risques d’hameçonnage et usurpation d’identité associés », signale Frédéric Nguyen-Kim, senior advisor chez Talan Consulting.

Hameçonnage et usurpation d'identité

Est-ce grave, docteur ? Pour les assurés, le principal risque lié à la violation des données personnelles concerne l’usurpation d’identité. Les cyber-criminels n’ont pas les numéros de téléphone ni les adresses mails, mais ils peuvent recouper les informations dérobées avec d’autres bases de données. Ils peuvent ensuite entamer des démarches au nom des assurés, se connecter à la plateforme France Connect, sur le compte Ameli de la personne et même souscrire un crédit à la consommation ! A l’heure où le hacking est devenu une industrie, les criminels se spécialisent sur une partie de la chaîne de piratage, font preuve de beaucoup d’imagination et les données peuvent être vendues sur le Dark Web pour des fins illicites. En outre, s’il est possible de changer son adresse mail ou son mot de passe, le numéro de sécurité sociale, lui, est le même pendant toute la vie de la personne. Le risque d'usurpation d'identité peut donc perdurer pendant des années.

Le deuxième risque concerne le phishing ou hameçonnage. Les cybercriminels peuvent se faire passer pour un organisme officiel, voir par l’organisme complémentaire de l’assuré, lui écrire et l’inciter à fournir des données complémentaires, comme des données bancaires. La prudence est donc de mise et les complémentaires ont un rôle important à jouer pour sensibiliser les assurés.

Le risque de fraude augmente

La cyber-attaque n’a pas été de nature à perturber profondément l’activité de gestion des organismes complémentaires. Et le détail des remboursements n'a pas fuité. L'attaque s'est cantonnée à détourner des données personnelles. Le système de tiers-payant d'Almerys continue à être opérationnel. Cependant, les organismes qui travaillent avec Kalixia/Viamedis sont encore dans l’impossibilité de pratiquer le tiers-payant. Les assurés doivent donc avancer les frais et les ocam retourner à un remboursement de l'assuré en aval du paiement. Cette situation a pu créer des effets de sursaturation dans la gestion des prestations optiques ou auditives. Avec un flux plus important de prestations à traiter, les mécanismes de détection de fraude sont moins performants. D'autant plus qu'en temps normal les complémentaires délèguent la lutte contre la fraude aux tiers-payeurs. Dans ce contexte de vigilance dégradée, la fraude risque donc de passer sous les radars et quelques individus malveillants pourraient profiter de cet effet d’aubaine.

A l’aune du règlement Dora

Pour le secteur de l’assurance, cette cyber-attaque soulève la problématique du partage de données personnelles avec un organisme prestataire. « Cela pose la question de la vulnérabilité qu’il peut y avoir au regard des vols de données qui ont été confiées aux assureurs mais qui sont utilisées par des prestataires. Il y a là un risque évident. Le règlement européen Dora qui entre en vigueur l’année prochaine impose aux organismes d’assurance d’adopter une stratégie de surveillance et de gestion des risques liés aux prestataires de services, pointe Frédéric Nguyen-Kim, senior advisor de Talan Consulting. Les hackers se sont introduits dans le système via le piratage de comptes de professionnels de santé et ont pu accéder aux données de millions de personnes. Cela pose des questions en termes de cloisonnement des données. Dans un système qui n’est pas en vase clos, comment protège-t-on les données en réduisant au maximum les risques et la surface d’attaque ? ».

La crainte d'un tiers payant intégral

Enfin, les mauvaises langues craignent que l’Assurance Maladie se saisisse de cette cyber-attaque pour remettre sur la table son projet de créer un tiers payant intégral et unique, gérée par l’Assurance Maladie. Cette menace pèse sur les organismes complémentaires depuis 2022. La cyber-attaque pourrait-elle donc être l’occasion rêvée par l’administration pour remettre en question le tiers payant complémentaire ? D'autres observateurs trouvent cette éventualité peu probable. « La Sécurité sociale a également été victime de piratage de données ces dernières années. Qu’ils soient privés ou publics, tous les opérateurs sont exposés au même risque. Le fait d’avoir pas un seul mais plusieurs opérateurs de tiers payant a permis de siloter les informations et de circonscrire l’attaque », avance un observateur.