Cyberattaque d’Almerys : plus de 15 millions de numéros de Sécurité sociale en fuite, mutuelles et assurés sous tension.

Almerys confirme une nouvelle cyberattaque, et l’addition est lourde: plus de 15 millions de numéros de Sécurité sociale seraient partis dans la nature, avec un fichier qui atteindrait 44 millions de lignes. On parle d’un prestataire central du tiers payant, celui qui fait le lien entre mutuelles, professionnels de santé et assurés au moment de la prise en charge. Quand ce type d’intermédiaire tombe, l’impact dépasse largement une seule entreprise.

Le pire, c’est la répétition. Cette fuite survient environ 27 mois après un précédent incident majeur, et plusieurs assureurs et mutuelles ont commencé à prévenir leurs clients. Les premières informations disponibles décrivent une extraction rendue possible par l’usurpation d’un compte gestionnaire sur une plateforme destinée aux professionnels. La plateforme de prise en charge a été coupée, et les autorités compétentes ont été notifiées, pendant que les clients tentent surtout de comprendre ce qui circule réellement, et ce que des fraudeurs peuvent en faire.

Almerys confirme une fuite touchant 15 452 549 NIR

Le chiffre qui revient, c’est 15 452 549 numéros uniques de Sécurité sociale, le NIR, mentionnés comme présents dans un fichier proposé à la vente dans des cercles cybercriminels. À ce volume s’ajouteraient au total 44 millions d’enregistrements, ce qui suggère des doublons, des historiques ou des rattachements multiples. Dans les faits, un NIR n’est pas un simple identifiant technique, c’est une clé qui permet d’assembler des informations administratives et contractuelles.

Les données décrites comme compromises concernent surtout l’état civil et la relation à une complémentaire: nom, prénom, date de naissance, rang de naissance, numéro de contrat, nom de l’organisme assureur, dates de couverture. Plusieurs articles insistent sur un point, les données bancaires, les mots de passe et les données de santé ne seraient pas concernées dans ce lot précis. C’est une nuance importante, mais ce n’est pas rassurant pour autant, parce que l’usurpation d’identité ne nécessite pas un dossier médical complet.

Le périmètre touche potentiellement une grande partie de l’écosystème, parce qu’Almerys opère comme prestataire de tiers payant pour de nombreuses complémentaires. Des noms reviennent dans les communications envoyées aux assurés, comme Alan, mais aussi des acteurs cités dans les informations publiques comme la MGEN, Harmonie Mutuelle ou AG2R. L’enjeu, c’est que la fuite ne se limite pas à une base client d’une seule marque, elle traverse un réseau de partenaires.

Sur le terrain, les conséquences sont déjà pratiques. Une consigne a circulé côté assurés, attendre avant de déposer de nouvelles demandes de prise en charge, pour éviter des délais et des blocages pendant la gestion de crise. C’est typiquement le genre de détail qui montre que le sujet ne reste pas cantonné au numérique. Quand une plateforme centrale est coupée, des remboursements peuvent ralentir, des pharmacies et des cabinets doivent parfois contourner, et les assurés s’inquiètent, pas seulement pour leur identité, mais pour leur accès fluide aux soins.

Une usurpation de compte gestionnaire évoquée dans l’extraction

Les éléments disponibles pointent une méthode qui parle à tous ceux qui suivent les incidents récents: une usurpation d’un compte gestionnaire sur une plateforme réservée aux professionnels de santé. Dit autrement, au lieu de casser un serveur à la hache, l’attaquant passe par une porte déjà existante, un compte avec des droits élevés, puis il extrait. Et là, la question n’est pas seulement qui a piraté, c’est aussi pourquoi ce compte donnait accès à autant.

Dans ce type de scénario, il suffit parfois d’un identifiant compromis, d’un mot de passe réutilisé, ou d’un accès mal protégé pour déclencher une fuite massive. Les détails techniques complets ne sont pas publics, mais le schéma est cohérent avec des attaques où l’objectif est la revente de bases. Le fait que le fichier soit décrit comme disponible à l’achat renforce l’idée d’une opération orientée monétisation, plus que sabotage.

Ce point pose une critique simple, et pas agréable: si l’accès gestionnaire est la clé, alors la sécurité dépend énormément de l’hygiène des comptes, des droits, et des contrôles. Les professionnels du secteur répètent souvent que la sécurité n’est pas qu’un pare-feu, c’est aussi la gestion des identités, l’authentification forte, la segmentation. Si un compte permet d’aspirer des millions de lignes, c’est qu’il y a un sujet d’architecture, pas seulement un sujet de vigilance individuelle.

Dans l’urgence, la réaction visible a été la coupure du service de prise en charge, une façon de stopper l’hémorragie, au prix d’une dégradation du service. Et dans le même temps, l’incident a été signalé aux autorités compétentes, dont la CNIL et l’ACPR. C’est la procédure, mais on sait aussi ce que ça signifie pour les victimes, une enquête, des notifications, et une période où les fraudeurs, eux, n’attendent pas la fin des audits pour tenter des coups.

Alan, MGEN et Harmonie Mutuelle alertent leurs assurés

Quand une fuite concerne un prestataire, la communication devient un puzzle: qui prévient, qui explique, qui est responsable de quoi. Plusieurs organismes ont commencé à notifier leurs clients, et Alan a pris la parole pour préciser ce qui est touché et ce qui ne l’est pas. Son message insiste sur le fait que ses propres serveurs n’ont pas été attaqués, mais que la fuite vient du prestataire. Pour l’assuré, la nuance juridique est réelle, mais le risque, lui, est concret.

Ce qui ressort des informations communiquées, c’est aussi la liste des éléments potentiellement compromis: numéro de Sécurité sociale, état civil, informations contractuelles, dates de couverture. Alan affirme ne pas partager des éléments comme l’adresse e-mail, l’adresse postale, le téléphone ou l’IBAN avec les prestataires de tiers payant. C’est un point important, parce que ça limite certains scénarios de fraude directe, mais ça n’empêche pas des attaques de type phishing, fondées sur des données crédibles.

La fuite inquiète d’autant plus qu’elle semble large, avec des références à 674 organismes potentiellement exposés. Ce chiffre, s’il se confirme dans les investigations, montre un effet domino: un acteur central agrège et traite des flux pour des centaines d’entités, donc un incident unique éclabousse tout le monde. C’est aussi ce qui rend la réponse difficile, chaque mutuelle doit vérifier ses périmètres, ses clients, ses contrats, et ses propres messages.

Dans les échanges entre assurés, un exemple revient souvent: un mail ou un appel qui mentionne votre mutuelle, votre date de naissance, et votre couverture, puis vous demande une vérification. C’est la mécanique classique, et c’est là que la fuite devient dangereuse. Un fraudeur n’a pas besoin de votre dossier médical, il a besoin de vous convaincre qu’il est légitime. Avec des données d’état civil et de contrat, il peut construire un discours très crédible, et vous pousser à livrer le reste.

Usurpation d’identité et phishing: pourquoi le NIR change la donne

Le NIR est une pièce maîtresse de l’administration française. Combiné à un nom, un prénom et une date de naissance, il augmente fortement la capacité à monter des dossiers frauduleux. Les risques mis en avant sont clairs: usurpation d’identité, phishing ciblé, fraudes administratives. Ce n’est pas spectaculaire comme un ransomware qui bloque un hôpital, mais c’est insidieux, parce que les conséquences peuvent apparaître des semaines plus tard, sous forme de démarches que vous n’avez jamais lancées.

Un cas typique, c’est l’arnaque au faux conseiller. Vous recevez un SMS ou un appel qui dit venir de la Sécurité sociale, de votre mutuelle, ou d’un service de tiers payant. La personne connaît déjà des éléments vrais, donc elle gagne votre confiance, puis elle vous demande un code ou un accès. C’est précisément ce que recommandent d’éviter les consignes de prudence, ne pas cliquer, ne pas transmettre de codes, et reprendre la main en rappelant soi-même l’organisme via un canal officiel.

Autre scénario, la fraude administrative. Avec des informations de couverture et un identifiant, un fraudeur peut tenter de créer des démarches parasites, de rediriger des échanges, ou de multiplier des tentatives de connexion sur des portails. Même si les mots de passe n’ont pas fuité, la fuite facilite les attaques par ingénierie sociale. Et si plusieurs membres d’une même famille sont rattachés dans les données, la capacité à reconstituer un foyer devient un levier supplémentaire pour rendre un récit frauduleux crédible.

Les organismes et les sites publics rappellent aussi un réflexe simple: signaler toute tentative suspecte via cybermalveillance. gouv. fr. Ce n’est pas un gadget, c’est une façon de documenter les campagnes et d’obtenir des conseils. Là où il faut être lucide, c’est que la prévention repose encore beaucoup sur l’individu. On vous dit soyez vigilants, mais quand une base de cette taille circule, la vigilance devient une charge permanente, et tout le monde n’a pas le temps ou les réflexes pour filtrer chaque message.

CNIL, ACPR et coupure du service: la gestion de crise sous pression

Dans une fuite de données de santé ou para-santé, la mécanique institutionnelle se met en route vite: notification aux autorités, collecte d’éléments, vérification du périmètre, puis communication aux personnes concernées. Ici, la CNIL et l’ACPR ont été informées, et le service de prise en charge a été coupé pour limiter l’impact. Cette coupure est une mesure forte, parce qu’elle touche le quotidien des assurés et des professionnels, mais elle peut être nécessaire pour éviter de nouvelles extractions.

Ce qui alimente la colère, c’est la répétition. Almerys avait déjà subi une cyberattaque majeure en janvier 2024, et cette nouvelle affaire intervient environ 27 mois plus tard. Dans l’opinion, ça se traduit par une question brutale: qu’est-ce qui a changé depuis la première alerte? Sans préjuger des résultats d’enquête, le simple fait qu’une seconde fuite massive survienne donne l’impression d’un secteur qui court derrière les attaquants, avec des mesures qui arrivent après les dégâts.

La comparaison avec d’autres incidents récents aide à comprendre le climat. On a vu des fuites toucher des administrations ou de grandes entreprises, avec parfois des données financières comme des IBAN, parfois des comptes de fidélité vidés, parfois des dossiers clients entiers. Ici, la spécificité, c’est la centralité du tiers payant: un prestataire agrège des flux pour de multiples acteurs. Un spécialiste de la cybersécurité résume souvent le problème de manière sèche: plus un système est interconnecté, plus une brèche unique devient un multiplicateur de risque.

Côté assurés, la question pratique reste la même: que faire maintenant. Les recommandations de prudence sont concrètes, se méfier des SMS, e-mails et appels, ne pas cliquer sur les liens, contacter soi-même l’organisme, ne jamais transmettre de codes. Et surveiller les démarches administratives qui apparaissent sans raison. Ce n’est pas une solution magique, mais c’est ce qui réduit le risque immédiat pendant que les investigations avancent, et que les organismes clarifient, client par client, l’exposition réelle.

• À propos
• Articles récents

Melwynn

Rédacteur chez Mobilités Urbaines

Animé par les défis de la mobilité durable, je rédige pour Mobilicités des articles et des analyses approfondies sur les innovations technologiques et les politiques publiques qui redéfinissent le futur du transport écoresponsable.

Les derniers articles par Melwynn (tout voir)

• Cyberattaque d’Almerys : plus de 15 millions de numéros de Sécurité sociale en fuite, mutuelles et assurés sous tension. - mai 29, 2026
• Comment obtenir la prime grand rouleur 2026 : 3 conditions à cocher, simulateur impots.gouv.fr, formulaire en ligne - mai 27, 2026
• Mulhouse, Belchamp, Leapmotor : Stellantis déploie une stratégie électrique XXL face à la concurrence chinoise - mai 27, 2026