Cyberattaque : ces bons réflexes à avoir après le vol de données de 33 millions de Français

Etat civil, numéro de sécurité sociale, informations sur la mutuelle, mais pas les informations bancaires ou médicales... Une enquête a été ouverte par la Commission nationale de l'informatique et des libertés (Cnil) après un vol de données massif dans le secteur des complémentaires santé : plus de 33 millions de personnes sont touchées. "C'est la première fois qu'il y a violation d'une telle ampleur", a assuré jeudi 8 février sur franceinfo l'avocat spécialiste de la protection des données numériques et ancien secrétaire général de la Cnil, Yann Padova.

Les données volées via ces plateformes regroupent des états civils, des dates de naissance, des numéros de Sécurité sociale, le nom de l'assureur santé et les garanties du contrat souscrit, mais pas d'informations bancaires ou de données médicales, précise la Cnil. Pas de numéros de téléphone ou de mails, non plus, ce qui réduit la valeur de ces données sur le marché noir, mais qui peut quand même faciliter par la suite des tentatives d’hameçonnage.

Selon Yann Padova, "c'est la plus grosse faille de sécurité en France". "Le risque pour les personnes est assez important, notamment les escroqueries, le phishing par exemple, ou l'usurpation d'identité", a-t-il alerté.

Vigilance au moment d'ouvrir un mail

Deux opérateurs différents ont en fait été visés par une cyberattaque, à cinq jours d'intervalle. Ce ne sont pas des mutuelles directement, mais deux opérateurs chargés de gérer pour elles le tiers payant, qui ont subi fin janvier une attaque informatique : Viamedis (détenue notamment par les complémentaires Malakoff Humanis et Vyv) et Almerys. Ce qui ajoute une "difficulté" supplémentaire aux yeux de l'avocat spécialiste de la protection des données numériques, car les assurés ne peuvent pas savoir s'ils sont concernés ou non par ces fuites de données. Les deux sociétés servent d'intermédiaires entre les complémentaires et les professionnels de santé.

"Si vous trouvez qu'il y a un mail curieux qui vous est arrivé et qui a l'air de venir de votre mutuelle alors appelez-la."

Yann Padova, ancien secrétaire général de la Cnil

sur franceinfo

"Votre première démarche doit être d'appeler votre mutuelle ou votre complémentaire pour savoir si elles étaient en relation avec ces deux entreprises qui ont fait l'objet de la faille de sécurité", conseille Yann Padova. Il précise que les entreprises "ont l'obligation en droit européen d'informer les personnes" et appelle à faire preuve "de vigilance et de précaution" au moment d'ouvrir un mail notamment. 

La Cnil appelle les deux plateformes à informer rapidement les assurés touchés, et ces derniers à être prudents, en cas de futures sollicitations pour des remboursements de frais de santé.