Piratage massif de données de santé: comment savoir si on est concerné?

Près d’un Français sur deux a été touché par cette attaque. Viamedis et Almerys, deux sociétés servant d’intermédiaires entre les professionnels de santé et les complémentaires de santé ont été la cible d’une cyber-attaque. Différentes informations personnelles, telles que l’Etat civil, le numéro de sécurité sociale et le taux de couverture de la mutuelle ont été subtilisés.
Ce piratage a été réalisé par l’usurpation d’identifiant et mot de passe de professionnels de santé. L’alerte avait été donnée le 1er février par Viamedis qui a détecté une attaque et a averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys avait annoncé avoir également détecté une intrusion.
Pas de données bancaires volées a priori
D’après la Cnil, les données bancaires et les dossiers médicaux ne seraient pas concernés. L’ampleur exacte de piratage n’est pas encore connue. “ll faut toujours beaucoup de précautions face à une cyber-attaque, car le temps de comprendre exactement ce qu’il s’est passé peut être de plusieurs jours voire parfois de plusieurs semaines”, explique Gérôme Billois, expert en cybersécurité au sein du cabinet Wavestone.
D’après lui, les nouvelles sont tout de même plutôt rassurantes, car les pirates n’auraient pas eu accès à ce qui leur permet de déclencher une attaque, à savoir les emails, les numéros de téléphone ou les données bancaires. La situation indique toutefois que la France n’est pas encore totalement préparée à ce genre d’assaut.
“Les investissements en cybersécurité dans l’ensemble du secteur privé, mais aussi dans le public, sont trop faibles depuis des années”, confirme Gérôme Billois. Si la situation s’améliore légèrement, le niveau de maturité en matière d’attaques informatiques seraient “d’à peine 10/20 par rapport à ce que demandent de faire les standards internationaux”
Comment savoir si nos données ont été volées ?
Alors que près de la moitié des Français sont victimes de ce piratage, est-il possible de savoir si nos données ont été subtilisées ? Les mutuelles devraient contacter les personnes concernées pour indiquer quels types de données ont été touchées et comment réagir. Toutefois, la vigilance est de mise. “Tout le paradoxe dans ces cyber-attaques est que, pour alerter, on va contacter par emails, et on sait que les fraudeurs vont faire aussi des emails pour essayer de soutirer encore plus d’informations, voire de l’argent”, ajoute Gérôme Billois.
Pour distinguer le vrai mail de celui envoyé par les pirates, il suffit d’observer la demande. S’il est indiqué qu’il faut faire quelque chose urgemment, de donner encore plus d’informations ou le numéro de la carte bancaire, il s’agit d’une fraude. Le mail officiel informera simplement de la situation.
A ce jour, les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées, d’après l’AFP. Face à l’ampleur de ce piratage, la Cnil va ouvrir une enquête pour vérifier si les mesures de sécurité des opérateurs touchés par la cyber-attaque étaient conformes à leurs obligations de protection des données.