Almerys confirme une nouvelle cyberattaque ayant entraîné l’ exposition de données personnelles de bénéficiaires, sans donner de chiffre. Le point d’entrée identifié concerne le site de délivrance des prises en charge, le site PEC, utilisé par des professionnels et établissements de santé. Mesure immédiate, ce service a été fermé, ce qui perturbe des demandes de prise en charge, notamment en optique, en audiologie, en dentaire et pour certaines prises en charge hospitalières.

Dans le même temps, l’entreprise affirme que ses services essentiels de tiers payant continuent de fonctionner, avec une activité de gestion, de mise à jour des bases, de traitement des flux et de paiement des prestations santé maintenue. Le dossier est sensible parce qu’Almerys intervient pour plusieurs acteurs du secteur, et parce que l’entreprise avait déjà été associée à une fuite massive de données en 2024. Cette répétition interroge sur la pression cyber qui vise les intermédiaires du système de santé, là où l’effet domino peut vite toucher les assurés et les praticiens.

Almerys ferme le site PEC après un accès non autorisé

Le cur de l’incident, d’après la communication d’Almerys, se situe sur le site PEC, la plateforme de délivrance des prises en charge. L’entreprise décrit un accès non autorisé et dit avoir engagé des mesures immédiates pour identifier et neutraliser les accès concernés. Dans ce type d’attaque, la priorité opérationnelle est souvent la même, couper le service exposé pour éviter une propagation, puis isoler les environnements concernés. Ici, la fermeture du site PEC est la décision la plus visible.

Cette fermeture n’est pas neutre, parce que le PEC sert à valider des prises en charge au fil de l’eau. Concrètement, quand un opticien, un audioprothésiste ou un cabinet dentaire vérifie une couverture et demande une validation, une indisponibilité peut ralentir le parcours. Almerys reconnaît un impact sur des demandes en optique, en audiologie, en dentaire et sur certaines prises en charge hospitalières. Pour les professionnels, cela peut se traduire par des dossiers en attente et des délais supplémentaires.

Almerys insiste sur un point, les autres services restent opérationnels. Le tiers payant continue d’être assuré, tout comme la gestion des flux et le paiement des prestations santé. Cette distinction est importante, parce qu’elle évite l’idée d’un arrêt général du système. Mais, sur le terrain, la nuance peut être difficile à percevoir, surtout pour un patient qui se retrouve face à une demande de prise en charge reportée. Dans les faits, un seul maillon bloqué suffit à créer de la friction.

L’entreprise dit travailler à une phase transitoire avec des solutions de contournement pour les professionnels et établissements concernés. Traduction, il faut maintenir un canal de traitement pendant que le service principal est hors ligne. Ce type de bascule se fait souvent via des procédures dégradées, plus manuelles, plus lentes, donc plus coûteuses en temps. Et c’est là qu’on voit la vraie facture d’une cyberattaque, pas seulement la donnée exposée, mais la désorganisation concrète d’un service utilisé au quotidien.

Les données potentiellement exposées selon Almerys

Sur la nature des informations, Almerys détaille les données potentiellement exposées pour chaque assuré. On parle de l’identité, nom, prénom, date de naissance, et d’identifiants administratifs comme le numéro de sécurité sociale. S’ajoutent des éléments liés à la couverture, nom de l’assureur santé, numéro de contrat, dates de début et de fin de couverture. Même sans information médicale, cet ensemble constitue un profil très exploitable pour des fraudeurs.

Almerys affirme, à l’inverse, que plusieurs catégories ne sont pas concernées, les données bancaires, les données de santé, les remboursements de soins, les coordonnées postales, les numéros de téléphone, les adresses e-mail et les mots de passe. Ce point vise à réduire l’inquiétude immédiate, notamment sur les risques de prélèvements ou d’accès direct à des comptes. Mais il faut être clair, une fuite d’identité et d’affiliation suffit à alimenter des scénarios de fraude et d’usurpation.

Le scénario le plus probable dans les jours qui suivent, c’est l’augmentation de tentatives de phishing ciblées. Avec un nom, une date de naissance, un numéro de Sécurité sociale et le nom d’une mutuelle, un message frauduleux peut paraître crédible, et pousser une victime à compléter des informations manquantes. Le danger n’est pas seulement ce qui a été pris, mais ce que cette base permet d’aller chercher ensuite, en jouant sur la confiance et l’urgence.

Dans ce contexte, plusieurs mutuelles ont appelé leurs adhérents à la vigilance après la révélation de l’attaque. L’une d’elles, Alan, a relayé des consignes de prudence, notamment face à des sollicitations invitant à se connecter à un site web ou à transmettre des informations. Le message implicite est simple, si quelqu’un vous contacte en se présentant comme un acteur santé et qu’il demande des données, il faut lever le pied. Les fraudeurs misent sur le réflexe inverse, répondre vite pour débloquer un dossier.

Alan, MGEN, AG2R: l’effet réseau chez les mutuelles

Almerys intervient comme prestataire pour plusieurs mutuelles, ce qui amplifie l’impact potentiel de l’incident. Les noms cités dans l’actualité autour de cette affaire incluent Alan, MGEN et AG2R. Ce n’est pas un détail, parce que l’intermédiation technique crée un effet réseau, un seul prestataire peut concentrer des flux et des données de multiples organismes. Pour un attaquant, viser un intermédiaire peut offrir un rendement supérieur à une attaque isolée.

Dans ce dossier, un point mérite d’être dit sans détour, l’ampleur exacte de la fuite n’est pas chiffrée à ce stade. Almerys parle d’exposition de données, mais ne donne pas de nombre de bénéficiaires concernés. Cette absence de quantification peut être liée à l’enquête technique en cours, mais elle laisse aussi les assurés dans l’incertitude. Or, en matière de cybersécurité, le flou est un carburant pour les rumeurs et les arnaques, parce que chacun se demande s’il est dans la liste.

Autre élément, certaines organisations cherchent à clarifier leur périmètre. La MGEN a indiqué ne pas être concernée par cette fuite de données, selon des déclarations relayées dans l’actualité. Là encore, on voit la difficulté de communication, un prestataire peut travailler avec une mutuelle sur certains flux, mais pas sur tous les services, pas pour tous les produits, pas pour tous les publics. Résultat, le grand public retient surtout les noms, et l’anxiété peut toucher plus large que le périmètre réel.

Ce type d’affaire rappelle un mécanisme déjà observé dans d’autres incidents, l’attaque d’un acteur technique crée une onde de choc chez des partenaires qui doivent, en urgence, informer, rassurer, et gérer les appels. Pour les assurés, le risque est de recevoir des messages contradictoires, ou de tomber sur des faux messages imitant une charte graphique. Et là, petite nuance qui fâche, la meilleure communication du monde ne compense pas un système trop dépendant d’un point unique, la mutualisation apporte de l’efficacité, mais aussi une fragilité structurelle.

Le précédent de 2024 et la répétition des fuites

Le fait marquant, c’est la répétition. Almerys rappelle avoir déjà été victime d’un vol massif de données en 2024, et se retrouve de nouveau confronté à une attaque en 2026. Deux épisodes rapprochés, dans un secteur à forte sensibilité, cela pèse sur la confiance. Même si les incidents ne sont pas forcément identiques, le public retient l’idée d’une cible récurrente, et les attaquants, eux, retiennent qu’il existe un intérêt à insister.

Il faut aussi regarder le contexte, les acteurs liés à la santé sont devenus des cibles régulières, parce qu’ils combinent des données d’identité et des contraintes opérationnelles fortes. Quand un service est bloqué, la pression pour rétablir est immédiate, ce qui crée un terrain favorable aux attaques, qu’il s’agisse de vol de données ou de perturbation de service. Et quand la chaîne implique plusieurs entreprises, la surface d’exposition augmente, un prestataire, des mutuelles, des professionnels, des établissements.

Dans l’actualité récente, d’autres structures ont aussi subi des cyberattaques avec des données dérobées, comme une plateforme publique de cours pour adultes à Paris, citée dans des articles de décryptage sur la hausse des fuites. Le point commun, ce n’est pas le secteur, c’est la mécanique, une base de données avec des identifiants, puis une exploitation via des campagnes de fraude. L’industrialisation des arnaques, dopée par des messages de plus en plus crédibles, fait que chaque fuite devient un stock réutilisable.

La critique, ici, doit rester factuelle, mais elle existe. Quand une entreprise est touchée à répétition, la question n’est pas seulement qui a attaqué, c’est aussi comment réduire la probabilité du prochain incident. Le public n’a pas accès aux détails techniques, mais il observe les conséquences, fermeture d’un service, flou sur l’ampleur, appels à la vigilance. Dans un secteur où l’identité administrative est la clé d’accès à de nombreux droits, la répétition des fuites finit par banaliser le risque, et ça, c’est dangereux.

Quels risques concrets et quels réflexes pour les assurés

Le risque immédiat le plus concret, c’est l’arnaque personnalisée. Avec un numéro de sécurité sociale et le nom de l’assureur, un escroc peut envoyer un message qui ressemble à une relance de prise en charge, ou à une mise à jour de dossier. Même si les adresses e-mail et téléphones ne sont pas annoncés comme exposés, les fraudeurs peuvent croiser des informations issues d’autres fuites, ou viser large, en espérant que la bonne personne se reconnaisse.

Autre risque, l’usurpation d’identité administrative. Les données citées, identité, date de naissance, affiliation, peuvent servir à convaincre un interlocuteur, ou à passer des contrôles faibles. Les victimes peuvent se retrouver à devoir prouver qu’elles n’ont pas initié une démarche, ou à gérer des tentatives d’ouverture de droits. Là, il ne faut pas dramatiser sans preuve, mais il faut être lucide, une fuite d’identité n’est pas anodine, même sans données de santé ni informations bancaires.

Les consignes de vigilance relayées par des acteurs du secteur vont dans le même sens, ne pas cliquer sur des liens reçus par message, ne pas communiquer d’informations complémentaires, et éviter de se connecter à un site proposé dans une sollicitation non attendue. Alan a aussi suggéré, quand c’est possible, d’attendre avant de soumettre une nouvelle demande de prise en charge, pour éviter d’éventuels délais supplémentaires. C’est frustrant, mais c’est cohérent quand un service est en mode dégradé.

Enfin, il y a l’impact côté professionnels. Si le site PEC est fermé, les opticiens, audioprothésistes, dentistes et certains services hospitaliers doivent composer avec des procédures de contournement. Dans la vraie vie, ça veut dire plus d’échanges, plus de vérifications, et parfois des patients qui reportent un achat ou un soin faute de validation immédiate. La cybersécurité, ce n’est pas qu’un sujet de DSI, c’est un sujet de service public au sens large, parce qu’au bout de la chaîne, c’est l’accès aux soins et la fluidité du parcours qui prennent des coups.