Le SDA réagit à la cyberattaque affectant les opérateurs de tiers-payant Viamedis et Almerys
Une cyberattaque massive visant les opérateurs de tiers-payant Viamedis et Almerys a exposé les données de 33 millions d’assurés français. Le Syndicat des Audioprothésistes met en garde contre une vague massive de tentatives d'hameçonnage et plaide une nouvelle fois pour la mise en place d’une plateforme universelle de gestion du tiers payant.
Ce sont 33 millions d’assurés qui sont concernés par la cyberattaque qui a affecté les opérateurs de tiers-payant Viamedis et Almerys et entraîné une violation de données, a indiqué la Commission nationale de l’informatique et des libertés (CNIL). Informée de la fuite par les deux opérateurs, l’autorité a déclaré que « les données concernées comprennent, pour les assurés et leur famille, l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit. » À noter toutefois que les informations bancaires, médicales, les remboursements santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail ne seraient pas concernés.
L’autorité administrative a ouvert une enquête afin de déterminer si Viamedis et Almerys ont mis en place des mesures de sécurité suffisantes et conformes au Règlement général sur la protection des données (RGPD) de l’Union européenne. Il revient aux complémentaires santé utilisant les services de Viamedis et Almerys d’informer les assurés dont les données ont fuité. La CNIL a de son côté, invité les Français à contrôler l’activité sur leurs comptes et à rester vigilants si d’aventure ils recevaient des sollicitations concernant des remboursements de santé. Par précaution, plusieurs organismes, comme Carte Blanche Partenaires et Génération, ont lancé des campagnes de maintenance sur leurs plateformes.
Une plateforme universelle de gestion du tiers payant ?
Les réactions ne se sont pas fait attendre du côté des professionnels de santé. Et le secteur de l’audition ne fait évidemment pas exception. Le SDA a mis en garde contre une probable vague « massive » de tentatives d’hameçonnage par courriels et SMS, rendant plus crédibles les usurpations d’identité de par la qualité des données exposées.
Brice Jantzem, Président du SDA, a tiré la sonnette d’alarme sur LinkedIn, rappelant que : « n’importe quelle société, identifiée comme distributrice de matériel médical auprès de l’Assurance Maladie, peut facturer des aides auditives avec simplement les noms, prénoms et n° de sécu des personnes… même en l’absence de l’audioprothésiste. » Il plaide, au passage, pour une facturation uniquement basée sur la carte des professionnels de santé et en leur présence. Interrogé par Le Parisien, le vice-président du SDA a, quant à lui, défendu la mise en place d’une plateforme universelle de gestion du tiers payant. « Aujourd’hui, il y a une multiplicité de systèmes qui cohabitent et, on le voit, ils sont vulnérables », a-t-il justifié.
L’Assurance maladie dispose d’un système unique de tiers-payant pour assurer les remboursements. Les complémentaires santé quant à elle, en compte des dizaines. Citons : SP Santé, Viamedis, Almerys, iSanté, Actil, Carte Blanche… « qui gèrent le tiers-payant de 80 % des bénéficiaires et de nombreux autres systèmes coexistent pour couvrir les 20 % restants », a fait remarquer le SDA dans un communiqué. Cette multiplicité des acteurs, parfois vulnérables, fait mathématiquement augmenter la surface d’attaque. D’autant que s’ajoutent les systèmes d’interrogation de droits des patients. Centraliser la gestion du tiers-payant dans un système universel permettrait, selon le SDA, de renforcer la sécurité et limiter le risque d’intrusion, tout en réalisant des économies d’échelles au bénéfice des assurés.