Vous l’avez toutes et tous lu ces dernières semaines, Viamédis et Almérys, deux opérateurs de tiers payants ont été victimes consécutivement de cyberattaques et de vols de données. Les identifiants de connexion d’un professionnel de santé auraient été volés par hameçonnage (attaque consistant à récupérer des informations en faisant croire qu’il s’agit d’une demande légitime) ; ils ont ensuite été utilisés pour se connecter aux plateformes de ces opérateurs destinées aux professionnels de santé, et aspirer par ce biais une masse considérable de données personnelles.
Tout d’abord, pourquoi ce type d’acteur (moins connu du grand public) a été la cible de cette cyberattaque ?
Les opérateurs de tiers payants sont apparus dans le paysage au cours des années 2000, dans le but de permettre le paiement des actes et consultations médicales par un intermédiaire de confiance en lieu et place de l’assuré. A l’époque, chaque organisme complémentaire voulait son tiers payant personnalisé, considéré comme un élément de différenciation. Puis les progrès technologiques associés à la mise en place de nouvelles réglementations (tiers payant généralisé par exemple), la banalisation du service, la nécessité de l’offrir auprès du plus large panel d’établissements et de professionnels de santé possible pour faciliter au maximum la vie de l’assuré ont fait évoluer les enjeux autour de celui-ci , la priorité n’étant plus d’ouvrir ce service mais de déterminer comment l’offrir de façon qualitative sans que cela pèse sur les finances de la compagnie le proposant.
Mais tout le monde ne peut s’improviser maître du traitement des données et du fonctionnement entre les professionnels de santé, la sécurité sociale et les complémentaires. Des opérateurs spécialisés ont vu le jour, forts du soutien de poids de certaines complémentaires. La centralisation des opérations s’est doucement dessinée et à présent ils ne sont moins de 10, voici les 5 plus connu du marché.
- Viamédis (Malakoff Humanis)
- Almérys
- SP Santé
- Actil (Apicil)
- Korelio (ProBTP)
Alors pourquoi eux ?
La réponse est relativement simple, si vous êtes un acteur central d’un processus impliquant le transit de millions de données confidentielles, pourquoi ne seriez-vous pas une cible de hackers ?
C’est tout l’enjeux de ces opérateurs, ils sont peu nombreux, centraux dans le paysage assurantiel et détiennent des bases de données très importantes sur un panel très complet de la population française et de leur foyer.
Cible facile ?
Pas forcément, mais cible très intéressante. D’après les informations révélées, si aucunes données bancaires n’ont été dérobées, les données suivantes l’ont bel et bien été : état civil, nom, prénom, date de naissance, numéro de Sécurité sociale, nom de l’assureur santé, garanties couvertes par le tiers payant et numéro de contrat de mutuelle pour un total de 33 millions de personnes potentiellement impactées.
D’après le site : https://www.privacyaffairs.com/dark-web-price-index-2023/ les données volées, même si elles ne sont pas parmi les plus recherchées, sont une source de profit très intéressante pour les hackers, d’autant plus que les futures campagnes d’hameçonnage (comme ce qui a permis l’attaque Almérys) ne permettront pas de savoir si les données ont été volées lors de cette attaque, lors d’une autre attaque non détectée il y a 1 an ou 5 ans, remonter la piste semble difficile.
Place à l’enquête et à la prévention.
L’enquête en cours permettra de déterminer les zones d’ombres, les impacts, les coûts liés à la sécurisation des données et à l’amélioration des systèmes.
Quant aux particuliers, ils sont invités à rester vigilant vis-à-vis du phishing, de ne pas cliquer sur des liens, de ne pas communiquer d’informations bancaires, etc… le lot de mesures habituelles préconisées pour éviter de se faire voler des informations en ligne et bien entendu ils sont fortement invités à changer le mot de passe de leur espace particulier au niveau de la sécurité sociale et de leur complémentaire santé.
Les professionnels de santé ont connu quelques déboires avec cette cyberattaque. Pas de quoi remettre en cause les soins apportés aux patients mais par exemple certains réseaux audioprothésistes ne pouvaient plus accéder au système de demande de cotation pour connaître les remboursements et plus aucune validation de prise en charge (PEC) pour la facturation.
Quelques jours dans le flou qui ont engendré des retards jusqu’au paiement. Il est depuis possible de réutiliser les services mais les retards ne sont toujours pas résorbés.
Et pour la suite ?
Une enquête a été ouverte auprès des autorités judiciaires, de plus l’ANSSI et la CNIL se sont elles aussi saisies du dossier compte tenu de l’ampleur du vol effectué et gardent une surveillance active afin de détecter tout comportement suspect.
Pour les particuliers, un modèle de plainte a spécialement été créé et mis en ligne sur le site cybermalveillance.gouv.fr pour centraliser les retours.
Enfin, tous les organismes gérant des données personnelles devraient redoubler de prudence et revoir leurs procédures de sécurité, d’autant plus s’ils gèrent des données de santé.