Securise - experts certifiés en cybersécurité pour les PME

Almerys : quand l'attaque d'un prestataire expose des millions d'assurés

Le spécialiste du tiers payant Almerys victime d'une cyberattaque touchant l'ensemble de ses clients. Numéros de sécurité sociale exposés : ce que ça révèle pour les PME.

Fin mai 2026, le spécialiste du tiers payant Almerys a confirmé une cyberattaque ayant entraîné l’exposition de données personnelles. Particularité : Almerys est le prestataire de nombreuses mutuelles françaises (Alan, Harmonie Mutuelle, AG2R…). Une seule faille, des millions de personnes potentiellement concernées.

Ce qui s’est passé

L’attaque, qui concerne « l’ensemble des clients » selon l’entreprise, a permis un accès non autorisé au site de délivrance des prises en charge (PEC) utilisé par certains professionnels de santé.

C’est l’assureur Alan qui, le premier, a alerté ses adhérents le 23 mai. Almerys a confirmé l’incident le 25 mai. L’entreprise avait déjà été victime d’un vol massif de données début 2024.

Quelles données sont concernées

Données potentiellement exposées :

  • Nom, prénom, date de naissance
  • Numéro de sécurité sociale
  • Nom de l’assureur santé et numéro de contrat
  • Dates de début et de fin de couverture

Données non concernées : informations bancaires, données de santé, remboursements, coordonnées postales, téléphone, e-mail et mots de passe.

La réaction d’Almerys

  • Fermeture immédiate du site PEC pour stopper l’atteinte
  • Dépôt de plainte auprès du procureur de la République (enquête confiée à la brigade spécialisée)
  • Information de la CNIL et de l’ACPR

La fermeture du site a eu des répercussions concrètes sur les prises en charge en optique, audiologie, dentaire et certaines hospitalisations.

L’effet domino du prestataire

Cet incident illustre un risque majeur : votre sécurité dépend de celle de vos prestataires. En piratant un seul fournisseur de services, un attaquant accède aux données de tous ses clients. Sous le RGPD, le responsable de traitement et le sous-traitant sont responsables (articles 28 et 33).

Ce que votre PME doit en retenir

  1. Auditez la sécurité de vos prestataires avant de signer : certifications (ISO 27001), politique de sécurité, historique d’incidents.
  2. Exigez des clauses contractuelles : notification d’incident sous 24-72 h, droit d’audit, pénalités.
  3. Segmentez les accès : ne donnez à chaque prestataire que les accès strictement nécessaires.
  4. Si vous êtes vous-même prestataire, votre niveau de sécurité conditionne vos contrats commerciaux.

Sources : Le Figaro - Fuite Almerys / Alan, TF1 Info - Almerys confirme la fuite.