Cyberattaque Almerys : des numéros de Sécurité sociale exposés, les assurés alertés face aux arnaques en 2026

Almerys, acteur central du tiers payant utilisé par de nombreuses complémentaires santé, a confirmé une cyberattaque en mai 2026 ayant entraîné l’exposition de données personnelles de bénéficiaires. L’entreprise n’a pas communiqué de chiffre global sur le nombre de personnes concernées, mais l’incident touche l’ensemble des clients via un accès non autorisé au site de délivrance des prises en charge (PEC), utilisé par des professionnels et établissements de santé.

Ce qui circule, ce sont des éléments d’identité et d’affiliation, pas des informations médicales. Dans les jours qui suivent, plusieurs assureurs et mutuelles préviennent leurs assurés d’un risque classique après ce type d’événement, la hausse des messages frauduleux qui exploitent la peur et l’urgence. Et sur le terrain, la fermeture du site PEC se traduit par des blocages concrets, notamment en optique, en dentaire ou en audiologie, là où les demandes de prise en charge sont fréquentes.

Almerys ferme le site PEC après l’accès non autorisé

L’attaque confirmée vise un point névralgique, le site de délivrance des PEC, un outil qui sert à vérifier des droits et à obtenir des accords de prise en charge pour certains actes. Almerys explique avoir pris des mesures immédiates pour identifier et neutraliser les accès concernés. La décision la plus visible, c’est la mise hors ligne du site PEC, une mesure de confinement qui limite la poursuite d’un accès non autorisé, mais qui désorganise aussi une partie des parcours de soins.

Concrètement, la fermeture du site PEC impacte des demandes de prise en charge dans plusieurs secteurs cités par l’entreprise, optique, audiologie, dentaire, et certaines prises en charge hospitalières. Dans ces domaines, les professionnels s’appuient souvent sur une validation rapide pour éviter l’avance de frais ou pour sécuriser un devis. Quand l’outil tombe, la question devient très opérationnelle, qui valide, par quel canal, et sous quel délai.

Almerys insiste sur un point, l’incident est circonscrit à ce site de délivrance des prises en charge, tandis que d’autres activités restent opérationnelles. Sont cités comme fonctionnant normalement la gestion, la mise à jour des bases, le traitement des flux et le paiement des prestations. Dit autrement, le cur administratif et financier du tiers payant continuerait de tourner, mais une brique de front office, celle qui sert à délivrer des accords, est stoppée pour contenir l’attaque.

Pour éviter l’arrêt complet, l’entreprise évoque une phase transitoire avec des solutions de contournement à destination des professionnels et établissements concernés. Sur le papier, c’est la réponse attendue, remettre un circuit temporaire, plus manuel, plus contrôlé, le temps de reprendre la main. Dans la vraie vie, ça veut dire plus d’appels, plus de justificatifs, plus de délais, et parfois des patients coincés entre un devis et une confirmation qui n’arrive pas dans la minute.

Numéro de sécurité sociale et contrat mutuelle figurent parmi les données exposées

Sur la nature des informations, Almerys et les communications relayées par des complémentaires santé décrivent des données personnelles potentiellement exposées qui ressemblent à une fiche d’identité administrative. On parle de nom, prénom, date de naissance, et surtout du numéro de sécurité sociale. S’ajoutent des éléments d’affiliation, le nom de l’assureur santé, un numéro de contrat, et des dates de début et de fin de couverture.

Ce type de fuite ne donne pas accès à un diagnostic ou à un compte rendu médical, mais il offre une base solide pour l’usurpation. Un fraudeur qui connaît votre identité, votre organisme, et la période de couverture peut fabriquer des messages très crédibles. Marc, consultant en cybersécurité interrogé dans ce contexte, résume le mécanisme, avec un numéro de Sécu et un assureur, tu peux écrire un mail qui sonne vrai, et pousser la personne à cliquer sur un faux portail ou à transmettre des pièces.

À l’inverse, plusieurs précisions sont martelées dans les notifications relayées par une mutuelle, certaines données ne sont pas stockées sur la plateforme et ne seraient donc pas impactées. Sont citées comme non concernées les données bancaires, les données médicales, les remboursements de santé, les coordonnées postales, les numéros de téléphone et les adresses e-mail. C’est un point important, parce qu’il réduit certains risques directs, mais il ne supprime pas le risque de fraude par ingénierie sociale.

Dans la pratique, le danger le plus probable devient le message piégé, SMS, appel, ou mail, qui se fait passer pour un assureur, une mutuelle, ou un opérateur de tiers payant. Le scénario typique, c’est mise à jour de votre dossier, régularisation, nouvelle carte, avec une demande de documents. Même sans coordonnées dans la base, un attaquant peut acheter des fichiers ailleurs et recouper. Là, on touche une réalité moins confortable, une fuite s’insère souvent dans un écosystème de données déjà très exposées.

Alan alerte ses assurés, CNIL et ACPR saisies après l’incident

Du côté des complémentaires, la réaction la plus visible vient d’Alan, qui appelle ses assurés à la prudence après l’attaque survenue le 22 mai. Le message est clair, il faut s’attendre à une multiplication possible de sollicitations frauduleuses dans les semaines qui suivent. Ce n’est pas une formule de communication, c’est un schéma observé après la plupart des fuites, les données servent de carburant à des campagnes d’arnaques, parfois très ciblées.

Alan précise qu’un dépôt de plainte et un signalement aux autorités compétentes sont en cours, avec mention de la CNIL et de l’ACPR, l’autorité qui contrôle le secteur des assurances. Le fait de citer l’ACPR rappelle que l’affaire ne relève pas seulement de l’informatique, mais touche un secteur régulé, où la protection des données et la continuité de service sont scrutées. Pour l’assuré, ça ne change pas le quotidien à court terme, mais ça structure l’enquête et le suivi.

Almerys indique aussi avoir notifié l’incident à la CNIL et fait une déclaration à l’ANSSI, l’agence nationale de la sécurité des systèmes d’information. Dans ce type de crise, la chaîne institutionnelle a deux objectifs, documenter l’événement et encadrer la remédiation, mais aussi qualifier les risques pour les personnes. La question qui revient vite, c’est l’ampleur. Et sur ce point, l’entreprise ne chiffre pas le nombre de bénéficiaires potentiellement concernés.

BFM TV indique que l’étendue de la fuite reste inconnue à ce stade, tout en confirmant que l’exposition est réelle. On retrouve aussi la mention de mutuelles et groupes qui utilisent Almerys, comme AG2R, tandis que la MGEN a déclaré ne pas être concernée par cette fuite de données. Ce type de précision compte, parce que l’écosystème est vaste. Mais pour le public, c’est parfois illisible, on peut utiliser le même prestataire, sans être touché de la même manière selon les flux, les plateformes, ou les périmètres.

L’usurpation de comptes de professionnels de santé rappelle l’incident de 2024

Ce n’est pas la première fois qu’Almerys est associée à une fuite. Un précédent incident en février 2024 est décrit comme lié à l’usurpation d’identifiants et mots de passe de professionnels de santé. Une mutuelle évoque une cyberattaque sophistiquée reposant sur l’usurpation d’identité de comptes sur un portail dédié aux professionnels. Le détail compte, parce que ça renvoie à une vulnérabilité fréquente, l’accès via des comptes légitimes compromis.

Dans ce précédent épisode, un chiffre a marqué les esprits, 33 millions de victimes, soit près d’un Français sur deux, selon les informations rapportées. Même si chaque incident a son périmètre, le rappel de 2024 pèse sur la perception de 2026. Marc, qui accompagne des organisations de santé, formule une critique nette, quand tu as déjà eu un choc de cette taille, tu es attendu au tournant sur l’authentification forte et la détection d’accès anormaux, sinon la confiance s’érode vite.

La mécanique d’usurpation est redoutable parce qu’elle contourne parfois les défenses classiques. Si un compte de professionnel est compromis, l’attaquant peut naviguer comme un utilisateur autorisé, et extraire des données sans déclencher d’alerte immédiate. C’est aussi pour ça que la fermeture du site PEC est un signal, on coupe l’accès pour stopper l’hémorragie, mais on reconnaît au passage que l’accès non autorisé s’est produit sur un outil utilisé au quotidien par des acteurs légitimes.

L’épisode 2026 s’inscrit dans un contexte plus large d’explosion des violations de données en France. Un chiffre circule dans les analyses sectorielles, 8 613 violations notifiées en un an, en hausse de 45%, soit près de 24 fuites par jour. C’est vertigineux, et ça rappelle une réalité, même si chaque organisation renforce ses défenses, l’industrialisation des attaques et la revente de données alimentent une pression constante, particulièrement sur la santé et l’assurance.

Les assurés face aux arnaques, et les professionnels face aux blocages

Pour les assurés, le risque immédiat ne se limite pas à une ligne dans un communiqué. Ce qui arrive souvent après une fuite de données d’identité, ce sont des tentatives d’arnaques qui jouent sur le stress, dossier incomplet, remboursement suspendu, carte tiers payant à renouveler. Les messages peuvent se faire passer pour une mutuelle, pour un assureur, ou pour un acteur du tiers payant. Et si le numéro de sécurité sociale est dans la fuite, l’argument d’autorité devient très convaincant.

La recommandation la plus utile reste la vigilance sur les demandes de documents et les liens. Un assureur comme Alan invite ses usagers à redoubler de prudence face à des messages frauduleux. L’idée n’est pas de faire peur, mais d’éviter les réflexes automatiques, cliquer vite, répondre vite, transmettre une pièce d’identité. Et il faut le dire franchement, même sans coordonnées e-mail dans la plateforme, les attaquants savent trouver des canaux, via des bases achetées ou des campagnes larges.

Pour les professionnels de santé, la fermeture du site de délivrance des PEC est un problème de flux. Dans un cabinet d’optique ou en audiologie, la prise en charge peut conditionner la livraison d’un équipement. Si l’outil est indisponible, il faut basculer sur des solutions de contournement annoncées par Almerys, ou accepter des délais. Certains patients avancent les frais, d’autres reportent. C’est là que l’incident devient visible, pas seulement en cybersécurité, mais dans l’organisation des soins.

Il y a aussi une nuance à garder en tête, tout n’est pas à l’arrêt. Almerys affirme que les services essentiels de tiers payant continuent d’être assurés, et que les activités de paiement fonctionnent normalement. C’est un point rassurant, mais il ne règle pas la zone grise, les demandes de prise en charge qui passent par le site PEC mis hors ligne. Tant que l’outil n’est pas rétabli ou remplacé, le système tourne avec une béquille, et cette béquille, c’est souvent plus de friction pour les patients et les soignants.