des données appartenant à 20 millions d’assurés sociaux menacées par le piratage de Viamedis

des données appartenant à 20 millions d’assurés sociaux menacées par le piratage de Viamedis


La société Viamedis, qui assure la gestion du tiers payant de 84 complémentaires santé, soit 20 millions d’assurés sociaux, a annoncé jeudi 1er février avoir été victime d’une cyberattaque qui a exposé aux intrus des données d’assurés sociaux.

Les données personnelles potentiellement concernées sont sensibles. Il s’agit de « l’état civil, [la] date de naissance, [le] numéro de sécurité sociale, [le] nom de leur assureur santé et [les] garanties ouvertes au tiers payant », a expliqué l’entreprise dans un communiqué. « Ni information bancaire, ni coordonnée postale, ni numéro de téléphone, ni e-mail ne sont concernés par cet acte malveillant », a-t-elle cependant précisé.

Le directeur général de Viamedis, Christophe Candé, a annoncé à l’Agence France-Presse qu’il ne connaissait pas encore le nombre d’assurés sociaux dont les données avaient pu être vues. La société était « toujours en cours d’investigation » jeudi en milieu de journée, selon son directeur général.

Munis de ce type de données, les pirates peuvent concevoir des courriels d’hameçonnage, en se faisant passer de manière très crédible pour des organismes de santé ou des banques.

Déconnexion totale de la plate-forme

A la découverte de l’intrusion, Viamedis a déconnecté sa plate-forme de gestion. Cette déconnexion n’empêche pas les assurés sociaux de bénéficier du tiers payant : « Les bénéficiaires pourront continuer à utiliser leur carte vitale et leur carte de tiers payant, et la déconnexion temporaire de [la] plate-forme n’aura d’impact que pour certains professionnels de la santé, notamment opticiens, et audioprothésistes » a affirmé Viamedis dans son communiqué.

Christophe Candé a précisé qu’il ne s’agissait pas d’une attaque par rançongiciel, mais d’une intrusion dans la plate-forme. « Le compte d’un professionnel de santé a été hameçonné », a-t-il expliqué sans plus de précision.

Une plainte a été déposée auprès du procureur de la République, selon le communiqué. Une notification à la Commission nationale de l’informatique et des libertés, obligatoire en cas de violation de données personnelles, ainsi qu’une déclaration à l’Agence nationale de sécurité des systèmes d’information, coutumière lors d’une attaque informatique, ont été effectuées, selon la même source.

Le Monde avec AFP



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.