Un important piratage informatique a été révélé ce lundi 25 mai 2026 par BFM - Faits Divers, touchant l’opérateur français de tiers payant Almerys. Selon les informations transmises, plus de 15 millions de numéros de Sécurité sociale auraient été dérobés lors de cette cyberattaque. Cet incident soulève de graves inquiétudes quant à la protection des données médicales des assurés en France, alors que le recours aux plateformes de tiers payant s’est généralisé ces dernières années.
Ce qu'il faut retenir
- 15 millions de numéros de Sécurité sociale concernés par le piratage chez Almerys, un acteur majeur du tiers payant en France.
- Cette cyberattaque met en lumière les failles de sécurité persistantes dans le secteur de la santé numérique.
- Les données volées pourraient inclure des informations personnelles sensibles, liées aux parcours de soins des assurés.
- Almerys n’a pas encore communiqué publiquement sur l’étendue exacte de la fuite ou les mesures correctives mises en place.
- Les autorités compétentes, dont la CNIL, pourraient être saisies pour évaluer la conformité aux réglementations en vigueur.
Un acteur clé du tiers payant touché par une cyberattaque de grande ampleur
Almerys, spécialiste reconnu du tiers payant en France, est au cœur de cette affaire. Selon les informations de BFM - Faits Divers, le groupe a subi un piratage d’envergure ayant permis le vol de données massives. Les numéros de Sécurité sociale, éléments centraux du système de santé français, sont particulièrement sensibles. Leur compromission pourrait avoir des répercussions sur des millions d’assurés, notamment en matière de fraude à l’identité ou d’usurpation de droits.
Les détails techniques de l’attaque restent encore flous. Les experts en cybersécurité soulignent cependant que les opérateurs de tiers payant, qui centralisent des flux financiers et des données médicales, constituent des cibles privilégiées pour les cybercriminels. Almerys, dont le siège est basé en France, n’a pas encore détaillé les méthodes utilisées par les pirates ni les éventuelles protections contournées.
Des conséquences potentielles sur la vie privée et la sécurité des assurés
Le vol de 15 millions de numéros de Sécurité sociale ouvre la porte à de multiples risques. En France, ce numéro, attribué à vie, sert de clé d’accès à de nombreux services publics et privés. Il est notamment utilisé pour les remboursements de soins, les déclarations fiscales ou encore les démarches administratives en ligne. La Commission nationale de l’informatique et des libertés (CNIL) a déjà été saisie à plusieurs reprises pour des incidents similaires, rappelant l’importance du respect du Règlement général sur la protection des données (RGPD).
Les assurés concernés pourraient subir des tentatives d’usurpation, comme la souscription de prêts frauduleux ou l’accès à des prestations sociales non méritées. Les professionnels de santé, quant à eux, pourraient voir leur système de facturation piraté, avec des conséquences financières immédiates. Pour l’heure, aucune fraude avérée n’a été signalée, mais les experts appellent à la vigilance.
Almerys sous le feu des projecteurs : silence et interrogations
À ce stade, Almerys n’a pas communiqué de manière détaillée sur l’incident. Le groupe, qui traite des millions de transactions par an pour le compte de mutuelles et d’assureurs, n’a pas publié de communiqué officiel précisant l’origine de la faille, les données exactes volées ou les actions engagées pour sécuriser ses systèmes. Cette opacité alimente les craintes d’une minimisation de l’impact réel de l’attaque.
Les syndicats de patients et les associations de défense des droits numériques réclament des explications. « On ne peut pas se contenter de vagues déclarations », a réagi un représentant de l’association La Quadrature du Net. « Les assurés méritent une transparence totale sur les risques encourus et les mesures prises pour les protéger. » Les autorités sanitaires et la CNIL devraient, dans les prochains jours, exiger des réponses claires.
Un rappel des enjeux de la cybersécurité dans le secteur de la santé
Cet incident intervient dans un contexte où les cybermenaces contre les infrastructures de santé se multiplient. En 2025 déjà, plusieurs hôpitaux français avaient été la cible de rançongiciels, paralysant temporairement leurs activités. Le secteur, souvent sous-financé en matière de cybersécurité, reste vulnérable. Le ministère de la Santé avait alors lancé un plan de sensibilisation, mais les résultats peinent à se concrétiser.
Avec la généralisation des dossiers médicaux partagés et des plateformes de télémédecine, la question de la protection des données n’a jamais été aussi cruciale. Les opérateurs comme Almerys, qui centralisent des flux sensibles, deviennent des maillons faibles dans cette chaîne. Les pouvoirs publics pourraient donc être amenés à renforcer les obligations légales en matière de cybersécurité pour ces acteurs, sous peine de sanctions financières.
Autant dire que ce piratage ne restera pas sans conséquences. Entre risques individuels pour les assurés et enjeux systémiques pour le système de santé, l’affaire Almerys pourrait bien marquer un tournant dans la gestion des données médicales en France.
Les assurés sont invités à surveiller leurs relevés bancaires et leurs courriers administratifs pour détecter toute anomalie. Il est également recommandé de signaler tout usage suspect de leur numéro de Sécurité sociale via le site Signal Spam ou en contactant leur caisse d’assurance maladie. Une alerte à la fraude peut être déposée sur le site service-public.fr.
Oui, selon le RGPD, toute organisation ayant subi une violation de données personnelles doit informer les personnes concernées « dans les meilleurs délais » si le risque est élevé. Cette notification doit intervenir dans un délai maximal de 72 heures après la découverte du piratage, si possible. Almerys pourrait donc devoir publier une alerte officielle dans les prochains jours.
