Skip to content
Retour au blog
fuites-de-donnéessantécybersécuritédonnées-personnellestiers-payant

Viamedis et Almerys : 33 millions de Français exposés par une faille chez deux opérateurs de tiers payant

En février 2024, les données de santé de 33 millions de Français ont été compromises via Viamedis et Almerys. Chronologie, données volées, conséquences et leçons pour les entreprises.

Thomas Ferreira44 min de lecture

Le 1er février 2024, le nom Viamedis ne dit rien au grand public. Cinq jours plus tard, celui d'Almerys non plus. Pourtant, ces deux entreprises gèrent une opération que des dizaines de millions de Français utilisent chaque semaine sans y penser : le tiers payant. Quand vous présentez votre carte de mutuelle chez le pharmacien et que vous ne payez pas le reste à charge, ce sont des opérateurs comme Viamedis et Almerys qui traitent la transaction entre le professionnel de santé, l'Assurance maladie et votre complémentaire santé.

En février 2024, des attaquants ont compromis les systèmes de ces deux opérateurs en l'espace de quelques jours. Le bilan : les données personnelles de 33 millions de Français - soit près de la moitié de la population - se retrouvent entre les mains de cybercriminels. Numéros de Sécurité sociale, noms, dates de naissance, identifiants des assureurs, détails des contrats de complémentaire santé. Tout est parti.

C'est la plus grande fuite de données de santé de l'histoire de France. Et elle repose sur une faille d'une banalité confondante : des comptes de professionnels de santé sans authentification multifacteur.

Cet article reconstitue l'intégralité de l'affaire : qui sont Viamedis et Almerys, comment l'attaque s'est déroulée, quelles données ont été volées, pourquoi 33 millions de personnes sont touchées, quelles conséquences concrètes pour les victimes, et quelles leçons tirer pour toute organisation qui traite des données sensibles.

Viamedis et Almerys : deux opérateurs méconnus au coeur du système de santé français

Pour comprendre l'ampleur de cette fuite, il faut d'abord comprendre ce que font ces deux entreprises et pourquoi elles détiennent autant de données.

Le tiers payant : comment ça marche

Le tiers payant est le mécanisme qui vous évite d'avancer les frais médicaux. Quand vous allez chez le médecin ou le pharmacien, vous ne payez que le ticket modérateur (ou rien du tout si vous avez une mutuelle qui couvre l'intégralité). Le reste est directement facturé à l'Assurance maladie et à votre complémentaire santé.

Pour que cette mécanique fonctionne en temps réel, il faut un intermédiaire technique. Quand le pharmacien passe votre carte Vitale, le système doit instantanément vérifier : cette personne est-elle couverte par une complémentaire ? Quel est son niveau de garantie ? Quel montant la mutuelle doit-elle prendre en charge ?

C'est exactement le rôle des opérateurs de tiers payant comme Viamedis et Almerys. Ils sont la plateforme technique qui connecte les professionnels de santé aux complémentaires santé. Ils gèrent les flux de données, les vérifications de droits, les remboursements.

Viamedis

Viamedis est une filiale du groupe de protection sociale Malakoff Humanis, le premier groupe paritaire de protection sociale en France. La plateforme gère le tiers payant pour 84 complémentaires santé selon les chiffres communiqués avant l'incident. Parmi ses clients : Malakoff Humanis (évidemment), mais aussi Viasanté Mutuelle, Carte Blanche Partenaires et plusieurs dizaines d'autres mutuelles et institutions de prévoyance.

Concrètement, Viamedis dispose d'un portail en ligne auquel les professionnels de santé (médecins, pharmaciens, opticiens, dentistes) se connectent pour vérifier les droits des patients et effectuer les demandes de prise en charge.

Almerys

Almerys est basée à Clermont-Ferrand et opère un service similaire : la gestion du tiers payant pour des complémentaires santé. L'entreprise compte parmi ses clients la MGEN (Mutuelle Générale de l'Éducation Nationale, 4 millions de bénéficiaires), Harmonie Mutuelle, et plusieurs dizaines d'autres organismes.

Almerys traite chaque année des centaines de millions de flux de tiers payant, selon les chiffres publiés sur son site corporate.

Le problème de concentration

À eux deux, Viamedis et Almerys gèrent le tiers payant complémentaire pour une part massive du marché français. La CNIL a estimé le nombre de personnes concernées à 33 millions - soit environ la moitié de la population française, assurés et ayants droit confondus.

Ce chiffre s'explique par le fait que la quasi-totalité des Français disposent d'une complémentaire santé (95 % de la population selon la DREES), et qu'une proportion très importante de ces complémentaires sont clientes de l'un de ces deux opérateurs. Quand vous souscrivez une mutuelle, vous ne choisissez pas l'opérateur de tiers payant - c'est votre mutuelle qui a fait ce choix pour vous. Vous ne savez probablement pas si votre mutuelle utilise Viamedis, Almerys ou un autre prestataire.

C'est un point fondamental : 33 millions de Français avaient leurs données chez ces deux opérateurs sans le savoir.

Chronologie complète de l'attaque

Janvier 2024 : la phase de reconnaissance

Selon les éléments communiqués par Viamedis et les analyses publiées par la presse spécialisée (Numerama, 01net, Le Monde), les premiers signes d'activité malveillante remontent à fin janvier 2024. Les attaquants auraient ciblé des comptes de professionnels de santé ayant accès au portail Viamedis, probablement via du phishing ou en réutilisant des identifiants compromis lors de fuites antérieures.

La technique est connue sous le nom de credential stuffing : les attaquants testent des combinaisons identifiant/mot de passe récupérées lors de fuites précédentes (LinkedIn, Facebook, bases de données revendues sur le dark web) sur d'autres services, en misant sur le fait que de nombreux utilisateurs réutilisent le même mot de passe partout.

1er février 2024 : Viamedis détecte l'intrusion

Le 1er février 2024, Viamedis détecte des accès anormaux à son portail. L'enquête interne révèle que des comptes de professionnels de santé ont été compromis et utilisés pour accéder massivement aux données des assurés.

Christophe Candé, directeur général de Viamedis, confirme publiquement que l'attaque a exploité des identifiants de professionnels de santé usurpés pour se connecter au portail. « Il ne s'agit pas d'une attaque par ransomware », précise-t-il dans un communiqué repris par Le Monde. Il s'agit d'une exfiltration de données via des accès légitimes détournés.

Viamedis met immédiatement son portail hors ligne, coupant l'accès au tiers payant pour les professionnels de santé qui utilisent sa plateforme. Cette décision d'urgence a des conséquences directes : dans les pharmacies, les cabinets médicaux et les centres d'optique, le tiers payant complémentaire ne fonctionne plus pour les assurés des mutuelles passant par Viamedis. Les patients doivent avancer les frais et demander le remboursement a posteriori.

5 février 2024 : Almerys touché à son tour

Le 5 février 2024, c'est au tour d'Almerys d'annoncer avoir subi une attaque similaire. Les mêmes méthodes - compromission de comptes de professionnels de santé - ont été utilisées pour accéder aux données de ses assurés.

Le fait que les deux opérateurs soient touchés à quelques jours d'intervalle avec la même technique pose une question : s'agit-il du même groupe d'attaquants qui a ciblé les deux plateformes en parallèle, ou de deux attaques distinctes exploitant la même vulnérabilité structurelle (l'absence de MFA sur les comptes de professionnels de santé) ? Au moment de la rédaction de cet article, l'enquête n'a pas tranché publiquement cette question.

7 février 2024 : la CNIL entre en scène

Le 7 février 2024, la CNIL publie un communiqué de presse annonçant qu'elle a été notifiée des violations de données par les deux opérateurs et qu'elle a lancé des investigations. Le communiqué précise l'estimation initiale : 33 millions de personnes sont potentiellement concernées.

La CNIL rappelle que les complémentaires santé ont l'obligation, en tant que responsables de traitement, d'informer individuellement les personnes dont les données ont été compromises. Cette obligation découle de l'article 34 du RGPD, qui impose une notification aux personnes concernées lorsque la violation est « susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique ».

8-9 février 2024 : confirmation de l'ampleur

Au fil des jours, le tableau se précise. La CNIL confirme dans un communiqué mis à jour que le chiffre de 33 millions correspond à l'ensemble des assurés et de leurs ayants droit couverts par les complémentaires santé clientes de Viamedis et Almerys.

Les complémentaires santé commencent à informer leurs assurés. Malakoff Humanis, MGEN, Viasanté, Harmonie Mutuelle, et des dizaines d'autres mutuelles et institutions de prévoyance envoient des notifications par email et par courrier. Le volume est tel que les services clients des mutuelles sont saturés pendant des semaines.

Février-mars 2024 : l'après-crise

Viamedis remet progressivement son portail en ligne après avoir déployé des mesures de sécurité supplémentaires, notamment l'authentification multifacteur sur les accès professionnels. Almerys fait de même.

La CNIL annonce qu'elle mènera des contrôles approfondis sur les deux opérateurs pour évaluer le respect de leurs obligations en matière de sécurité des données.

Le parquet de Paris ouvre une enquête judiciaire, confiée à la sous-direction de la lutte contre la cybercriminalité (SDLC) de la police judiciaire.

Comment les attaquants sont entrés : la mécanique de la faille

L'attaque Viamedis-Almerys est un cas d'école de compromission par account takeover (prise de contrôle de compte). Le schéma est le suivant.

Étape 1 : obtenir des identifiants de professionnels de santé

Les portails de Viamedis et Almerys sont accessibles aux professionnels de santé - médecins, pharmaciens, opticiens, dentistes, kinésithérapeutes - qui s'y connectent pour vérifier les droits des patients et effectuer les demandes de prise en charge au titre du tiers payant complémentaire.

Ces comptes sont protégés par un couple identifiant/mot de passe. En France, les professionnels de santé libéraux gèrent souvent eux-mêmes leurs identifiants informatiques, sans bénéficier du support d'un service informatique dédié. La réutilisation des mots de passe est répandue : selon le rapport Verizon DBIR 2024, le vol ou la réutilisation d'identifiants est impliqué dans 77 % des attaques contre les applications web.

Les attaquants ont vraisemblablement obtenu ces identifiants par l'une des méthodes suivantes (ou une combinaison) :

  • Phishing ciblé : des emails imitant Viamedis ou Almerys, demandant aux professionnels de santé de se reconnecter à leur portail via un faux site. Pour comprendre l'ampleur du phishing en France, consultez notre article sur les statistiques du phishing en entreprise en 2026.
  • Credential stuffing : réutilisation d'identifiants récupérés dans des fuites antérieures (un professionnel de santé qui utilise le même mot de passe pour son portail de tiers payant et pour LinkedIn, par exemple).
  • Achat sur le dark web : des bases de données d'identifiants compromis sont en vente permanente sur les forums cybercriminels. Un lot de 1 000 identifiants de professionnels de santé se négocie quelques centaines d'euros.

Étape 2 : connexion au portail sans obstacle

Une fois en possession d'un couple identifiant/mot de passe valide, les attaquants se connectent au portail. Et c'est là que la faille est la plus grave : aucune vérification supplémentaire n'est demandée. Pas de code SMS, pas d'application d'authentification (TOTP), pas de clé physique (FIDO2/WebAuthn). Un mot de passe suffit.

Le portail ne disposait pas non plus de mécanismes de détection d'anomalies efficaces : connexion depuis une adresse IP inhabituelle, depuis un pays étranger, depuis un appareil inconnu, à des heures atypiques - autant de signaux qui auraient pu déclencher une alerte ou un blocage automatique.

Étape 3 : extraction massive des données

Une fois connectés avec les identifiants d'un professionnel de santé, les attaquants ont accès à l'interface de vérification des droits. Cette interface, conçue pour qu'un pharmacien vérifie les droits d'un patient à la fois, peut être automatisée. Via des scripts, les attaquants ont pu interroger massivement la base de données : requête après requête, ils extraient les informations des millions d'assurés dont les complémentaires santé sont gérées par l'opérateur.

L'absence de rate limiting (limitation du nombre de requêtes par session) a permis cette extraction massive sans déclencher d'alerte.

Pourquoi l'absence de MFA est la cause racine

Si un seul facteur devait être retenu pour expliquer cette fuite, c'est l'absence de MFA. Avec une authentification multifacteur - même basique, comme un code SMS - la compromission d'un mot de passe ne suffit plus. L'attaquant doit aussi disposer du téléphone du professionnel de santé. Le coût de l'attaque monte d'un facteur 10 au minimum, et le taux de réussite s'effondre.

Microsoft publie régulièrement des statistiques sur l'efficacité de la MFA : selon ses données de 2023, la MFA bloque 99,2 % des attaques automatisées par compromission d'identifiants. Google rapporte des chiffres similaires pour son programme Advanced Protection.

Autrement dit : pour un contrôle qui coûte quelques euros par utilisateur par mois à déployer, Viamedis et Almerys auraient probablement pu empêcher l'intégralité de l'attaque.

Les données volées : ce qui a été compromis et ce qui ne l'a pas été

Ce qui a été volé

La CNIL et les deux opérateurs ont confirmé la liste des données compromises. Pour chaque assuré, les attaquants ont eu accès à :

DonnéeExempleRisque principal
État civilNom, prénomUsurpation d'identité
Date de naissance15/03/1985Vérification d'identité frauduleuse
Numéro de Sécurité sociale (NIR)1 85 03 75 108 123 45Usurpation administrative à vie
Nom de l'assureur santéMalakoff HumanisPhishing ciblé crédible
Numéro de contratMH-2024-XXXXXFraude au remboursement
Garanties du contratOptique 450 EUR/an, Dentaire 100 %Ciblage commercial, fraude

La combinaison de ces données est particulièrement dangereuse. Un attaquant qui sait que vous êtes couvert par Malakoff Humanis avec le contrat numéro X et des garanties optiques de 450 EUR/an peut vous envoyer un email parfaitement crédible imitant votre mutuelle, mentionnant des détails que seul votre assureur est censé connaître.

Pourquoi le NIR est la donnée la plus toxique

Le numéro de Sécurité sociale (NIR) mérite un traitement à part. Contrairement à un mot de passe, un numéro de téléphone ou même un IBAN, le NIR est permanent et non modifiable. Il est attribué à la naissance et vous suit toute votre vie. Il n'existe aucune procédure en France pour en obtenir un nouveau (sauf dans des cas exceptionnels de changement d'état civil).

Le NIR est utilisé comme identifiant dans de nombreux systèmes :

  • L'Assurance maladie (Ameli)
  • Les caisses de retraite
  • Les organismes de prestations sociales (CAF, France Travail)
  • Le bulletin de paie et les déclarations sociales
  • Certaines procédures bancaires et assurantielles

Un attaquant qui dispose de votre NIR, de votre nom, de votre date de naissance et de votre adresse peut se présenter à un guichet (physique ou en ligne) en votre nom. La fraude à l'identité via le NIR est particulièrement difficile à détecter et à corriger.

Conséquence concrète : les 33 millions de NIR compromis dans cette fuite sont exploitables par des criminels pendant des décennies. C'est la différence fondamentale avec une fuite de données bancaires : la banque peut émettre une nouvelle carte en 48 heures. La Sécurité sociale ne peut pas émettre un nouveau NIR.

Ce qui n'a PAS été volé

Les deux opérateurs et la CNIL ont confirmé que les données suivantes n'étaient pas présentes dans les systèmes compromis et n'ont donc pas été volées :

  • Données bancaires (IBAN, RIB, numéros de carte)
  • Données médicales (diagnostics, prescriptions, résultats d'analyses, historique de soins)
  • Informations relatives aux remboursements (montants, détails des actes)
  • Adresses postales et emails (non présents dans les bases de données de tiers payant consultées par les professionnels de santé)
  • Numéros de téléphone

Ce périmètre est un point important. Les systèmes de tiers payant de Viamedis et Almerys sont des plateformes de vérification de droits, pas des dossiers médicaux. Ils contiennent l'information nécessaire pour répondre à la question « cette personne a-t-elle le droit au tiers payant, et pour quel montant ? », pas les données cliniques elles-mêmes.

Cela ne diminue pas la gravité de la fuite - le NIR seul suffit à causer des dommages durables - mais cela signifie que les diagnostics médicaux, les traitements et l'historique de soins des 33 millions de personnes ne sont pas entre les mains des attaquants. C'est un moindre mal relatif.

Pourquoi 33 millions : le problème de la concentration

Le chiffre de 33 millions interpelle. Comment deux entreprises que personne ne connaît peuvent-elles détenir les données de la moitié de la population française ?

Un marché hyper-concentré

Le marché français des opérateurs de tiers payant complémentaire est un oligopole. Il n'existe qu'une poignée d'acteurs : Viamedis, Almerys, Actil (opérateur historique racheté par Cegedim), et quelques autres. À eux deux, Viamedis et Almerys couvrent une part de marché majoritaire.

Cette concentration s'explique par la nature du service. Un opérateur de tiers payant doit être interconnecté avec des milliers de pharmacies, cabinets médicaux, centres hospitaliers, et avec des dizaines de complémentaires santé. Construire et maintenir cette infrastructure de flux a un coût élevé, ce qui crée une barrière à l'entrée naturelle. Le marché tend vers la concentration.

L'effet cascade

Quand une complémentaire santé signe un contrat avec Viamedis pour la gestion du tiers payant, ce ne sont pas seulement les assurés directs qui sont concernés. Ce sont aussi les ayants droit : le conjoint, les enfants. Un contrat famille chez une mutuelle passant par Viamedis expose 3 ou 4 personnes d'un coup.

Malakoff Humanis, premier actionnaire de Viamedis, est le premier groupe paritaire de protection sociale en France. À lui seul, il couvre des millions de personnes. Ajoutez les 83 autres complémentaires clientes de Viamedis, puis les dizaines de complémentaires clientes d'Almerys (dont la MGEN avec ses 4 millions de bénéficiaires), et vous atteignez 33 millions de personnes.

Le risque systémique de la sous-traitance

Cette concentration crée un risque systémique. Quand un seul prestataire technique gère les données de dizaines de millions de personnes pour le compte de dizaines d'organisations, la compromission de ce seul prestataire a des conséquences disproportionnées.

C'est le même schéma que l'attaque SolarWinds en 2020 aux États-Unis ou l'exploitation de la faille MOVEit en 2023 : compromettre un maillon de la chaîne d'approvisionnement (supply chain) permet d'atteindre tous les clients de ce maillon.

Le régulateur européen commence à prendre la mesure de ce risque. Le règlement DORA (Digital Operational Resilience Act), entré en application en janvier 2025, impose aux entités financières de cartographier et gérer le risque lié à leurs prestataires de services TIC. Le secteur santé ne dispose pas encore d'un cadre équivalent aussi contraignant.

Les conséquences immédiates : la crise des premières semaines

La panne du tiers payant

La première conséquence tangible pour les Français a été la coupure du tiers payant. Quand Viamedis a mis son portail hors ligne le 1er février 2024, les professionnels de santé utilisant sa plateforme ne pouvaient plus vérifier les droits des patients en temps réel. Résultat : dans les pharmacies, les patients devaient avancer les frais de leur mutuelle et se faire rembourser ensuite.

Cette situation a duré plusieurs jours pour Viamedis et un peu moins longtemps pour Almerys. Pour les patients âgés, pour ceux qui n'ont pas les moyens d'avancer les frais, pour les malades chroniques qui ont besoin de médicaments quotidiens, cette coupure a eu des conséquences concrètes immédiates.

La notification aux assurés

Les complémentaires santé se sont retrouvées dans l'obligation de notifier individuellement leurs assurés. Selon l'article 34 du RGPD, cette notification doit intervenir « dans les meilleurs délais » lorsque la violation est susceptible d'engendrer un risque élevé.

Le problème logistique est immense : notifier 33 millions de personnes demande un effort considérable. Les mutuelles ont envoyé des vagues d'emails, de courriers et de messages dans les espaces personnels en ligne. Certaines ont mis plusieurs semaines à informer l'intégralité de leurs assurés.

Le contenu de ces notifications variait d'une mutuelle à l'autre, ce qui a engendré une confusion chez les assurés. Certains recevaient un message alarmiste, d'autres un simple avertissement. L'absence de communication centralisée (chaque mutuelle communiquant séparément) a rendu la situation difficilement lisible pour le grand public.

La session extraordinaire de la CNIL

La CNIL a tenu une session extraordinaire dans les jours suivant la révélation de l'affaire. L'autorité a publié un communiqué détaillé rappelant les obligations des complémentaires santé et des opérateurs de tiers payant, et a lancé des investigations formelles.

La CNIL a également mis en ligne une page d'information dédiée sur son site, rassemblant les réponses aux questions les plus fréquentes : suis-je concerné ? Quelles données sont touchées ? Que faire ?

La vague secondaire : le phishing qui a suivi la fuite

Si l'attaque initiale a compromis les données de 33 millions de personnes, les conséquences les plus concrètes pour les victimes sont venues dans les semaines et les mois qui ont suivi, sous la forme d'une vague massive de phishing ciblé.

L'exploitation immédiate des données volées

Les données volées chez Viamedis et Almerys sont un kit parfait pour le phishing. Un attaquant qui sait que vous êtes assuré chez Malakoff Humanis, avec un contrat de complémentaire santé numéro X, peut vous envoyer un email qui ressemble à une communication officielle de votre mutuelle. Il connaît votre nom, votre numéro de Sécurité sociale, le nom de votre assureur. L'email peut mentionner : « Suite à l'incident de sécurité chez notre prestataire Viamedis, nous vous invitons à mettre à jour vos informations en cliquant sur le lien ci-dessous. »

Cybermalveillance.gouv.fr, la plateforme gouvernementale d'assistance aux victimes de cybermalveillance, a publié dès février 2024 une alerte spécifique sur les risques de phishing suite à la fuite Viamedis-Almerys. Le message est clair : ne cliquez sur aucun lien dans un email prétendant provenir de votre mutuelle en lien avec cette affaire.

Les formes observées

Numerama et 01net ont documenté plusieurs types de tentatives de phishing exploitant les données Viamedis-Almerys :

Emails imitant les mutuelles. Des emails reprenant la charte graphique de Malakoff Humanis, MGEN ou d'autres mutuelles, demandant aux assurés de « confirmer leurs coordonnées » ou de « mettre à jour leur mot de passe ». L'objectif : récupérer les identifiants de l'espace personnel de la mutuelle, et souvent les coordonnées bancaires.

SMS prétendant provenir de l'Assurance maladie. Des SMS courts du type « Votre carte Vitale arrive à expiration, renouvelez-la sur ameli-renouvellement.fr » (un faux site). Cette arnaque existait avant la fuite Viamedis-Almerys, mais l'exploitation des données volées permet de la personnaliser : « Bonjour [prénom], suite à un incident de sécurité affectant vos données de santé... ».

Appels téléphoniques (vishing). Des individus se faisant passer pour des conseillers Ameli ou des agents de votre mutuelle, citant votre numéro de Sécurité sociale pour prouver leur « légitimité ». L'objectif : obtenir vos coordonnées bancaires ou un virement.

La connaissance du NIR est l'arme la plus redoutable dans cet arsenal. Un appelant qui cite votre numéro de Sécurité sociale gagne immédiatement en crédibilité, car cette information est considérée comme confidentielle. La victime se dit : « Seul mon assureur ou l'Assurance maladie peuvent connaître mon numéro de Sécu, donc c'est bien un appel officiel. » C'est faux - mais c'est la logique qui fonctionne.

Pour un panorama complet des techniques de phishing modernes, y compris le quishing, le vishing et le smishing, consultez notre article sur les statistiques du phishing en entreprise en 2026.

L'ampleur de la vague

Cybermalveillance.gouv.fr a enregistré un pic de signalements dans les semaines qui ont suivi la divulgation de la fuite. La plateforme a publié une fiche spécifique intitulée « Fuite de données de santé Viamedis-Almerys : les risques et les bonnes pratiques ».

Le phishing lié à la santé et à l'Assurance maladie était déjà la première menace signalée sur Cybermalveillance.gouv.fr avant l'affaire Viamedis-Almerys. Après la fuite, le phénomène s'est intensifié de manière documentée.

Pourquoi les données de santé valent plus cher que les données bancaires

L'affaire Viamedis-Almerys s'inscrit dans un contexte plus large : les données liées à la santé sont la cible prioritaire des cybercriminels, devant les données bancaires. Trois raisons structurelles expliquent cette hiérarchie.

La permanence

Votre numéro de carte bancaire est compromis ? Votre banque en émet un nouveau en 48 heures. L'ancien devient inutile. Votre mot de passe est volé ? Vous le changez. Votre email est compromis ? Vous en créez un autre.

Votre numéro de Sécurité sociale est compromis ? Il reste compromis pour le restant de votre vie. Vos informations de couverture santé sont exposées ? Elles restent exploitables tant que vous conservez le même contrat - et même après, le nom de votre ancien assureur et le numéro de contrat restent des informations utiles pour des tentatives de fraude.

Selon le rapport IBM Cost of a Data Breach 2025, les données de santé présentent le coût moyen par brèche le plus élevé tous secteurs confondus : 10,93 millions de dollars. C'est plus du double de la moyenne inter-sectorielle. Cette permanence est le facteur principal.

La polyvalence frauduleuse

Un numéro de carte bancaire volé ne sert qu'à des achats frauduleux. Les données de santé, combinées aux données d'identité (nom, date de naissance, NIR), ouvrent la porte à de multiples types de fraude :

  • Usurpation d'identité : ouvrir des comptes, demander des prestations, contracter des crédits au nom de la victime.
  • Fraude à l'assurance : faux remboursements de soins en utilisant les informations de couverture.
  • Chantage : si des données médicales sont incluses (ce n'est pas le cas dans l'affaire Viamedis-Almerys, mais c'est le cas dans d'autres fuites).
  • Ciblage commercial : revente des données à des officines de démarchage pour des produits de santé, des assurances ou des complémentaires concurrentes.

Le prix sur le dark web

Les chiffres sont constants dans la littérature spécialisée. Trustwave SpiderLabs, Ponemon Institute et Recorded Future publient régulièrement des études sur la valorisation des données volées. L'ordre de grandeur :

Type de donnéePrix moyen sur le dark web
Numéro de carte bancaire (avec CVV)5-10 $
Identifiants bancaires en ligne50-200 $
Dossier médical complet250-1 000 $
Numéro de Sécurité sociale (isolé)1-5 $
NIR + identité complète + mutuelle30-100 $

Le paquet de données volé chez Viamedis et Almerys (NIR + état civil + assureur + contrat + garanties) se situe dans la tranche 30-100 $ par enregistrement. Multiplié par 33 millions d'enregistrements, la valeur théorique de cette base de données sur le marché noir se chiffre en centaines de millions d'euros.

L'enquête de la CNIL et la réponse réglementaire

L'investigation de la CNIL

La CNIL a ouvert des investigations dès la notification des violations par Viamedis et Almerys. Les points examinés portent sur plusieurs axes.

L'obligation de sécurité (article 32 du RGPD). L'article 32 impose aux responsables de traitement et aux sous-traitants de mettre en oeuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». L'absence de MFA sur des accès à une base de données contenant les informations de 33 millions de personnes pose frontalement la question du caractère « approprié » des mesures de sécurité.

La répartition des responsabilités. La chaîne de responsabilité est complexe. Viamedis et Almerys sont des sous-traitants au sens du RGPD : ils traitent les données pour le compte des complémentaires santé (les responsables de traitement). Mais les sous-traitants ont aussi des obligations directes en matière de sécurité (article 28 et 32 du RGPD). La CNIL doit déterminer qui est responsable de quoi : l'opérateur de tiers payant qui n'a pas activé la MFA, ou les complémentaires santé qui n'ont pas exigé cette mesure dans leurs contrats de sous-traitance ?

La conformité de la notification. La CNIL vérifie que les délais de notification (72 heures pour la notification à la CNIL, « meilleurs délais » pour les personnes concernées) ont été respectés, et que le contenu des notifications était conforme.

Les précédents de sanctions CNIL dans la santé

La CNIL a un historique de sanctions dans le domaine de la santé :

  • Dedalus Biologie : 1,5 million d'euros d'amende en avril 2022 pour la fuite de 500 000 dossiers médicaux. La CNIL avait relevé des manquements à la sécurité des données, notamment l'absence de chiffrement et des extractions non autorisées.
  • Doctissimo : 380 000 euros d'amende en mai 2023 pour le traitement de données de santé sans base légale valide et des manquements à la sécurité.
  • Cegedim Santé : 800 000 euros d'amende en septembre 2024 pour traitement illicite de données de santé (transmission de données de santé à des partenaires sans anonymisation conforme).

Ces précédents montrent que la CNIL est disposée à sanctionner les acteurs du secteur santé. Le montant potentiel d'une amende pour Viamedis et Almerys dépendra des conclusions de l'investigation, mais le RGPD autorise des amendes allant jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros (le montant le plus élevé étant retenu).

La réaction du législateur

L'affaire Viamedis-Almerys a relancé le débat sur la sécurité des données de santé en France. Plusieurs initiatives ont émergé dans la foulée :

Le programme CaRE. Le programme Cybersécurité accélération et Résilience des Établissements (CaRE), lancé fin 2023 par le ministère de la Santé avec 750 millions d'euros sur 2023-2027, a pris une urgence nouvelle. Le programme finance des mesures concrètes : MFA, segmentation réseau, sauvegardes hors ligne, exercices de crise cyber, formation du personnel.

Le renforcement des exigences HDS. La certification Hébergement de Données de Santé (HDS), obligatoire pour les hébergeurs de données de santé, a été mise à jour en 2024 avec des exigences renforcées, notamment la localisation des données dans l'Espace économique européen.

La directive NIS 2. La transposition de la directive européenne NIS 2 en droit français (prévue pour 2024, finalement effective en 2025) étend les obligations de cybersécurité à un nombre beaucoup plus large d'entités, y compris dans le secteur santé. Les opérateurs de tiers payant comme Viamedis et Almerys tomberaient vraisemblablement dans le périmètre des « entités essentielles » ou « entités importantes » au sens de NIS 2.

La leçon de la MFA : comment une mesure simple aurait tout changé

Si un seul enseignement devait être retenu de l'affaire Viamedis-Almerys, c'est celui-ci : l'authentification multifacteur aurait vraisemblablement empêché l'attaque.

Ce qu'est la MFA

L'authentification multifacteur (MFA, ou 2FA pour two-factor authentication) ajoute un deuxième facteur de vérification au mot de passe. Au lieu de se connecter uniquement avec un identifiant et un mot de passe (quelque chose que vous connaissez), le système demande aussi quelque chose que vous possédez (un téléphone, une clé physique) ou quelque chose que vous êtes (empreinte digitale, reconnaissance faciale).

Les méthodes les plus courantes :

  • Code SMS : un code à 6 chiffres envoyé par SMS à votre téléphone. Méthode la plus simple mais la moins sécurisée (interception possible par SIM swapping).
  • Application d'authentification (TOTP) : une application comme Google Authenticator, Microsoft Authenticator ou Authy génère un code temporaire toutes les 30 secondes.
  • Clé physique (FIDO2/WebAuthn) : une clé USB ou NFC (YubiKey, Google Titan) que vous branchez sur votre ordinateur. Méthode la plus sécurisée, immunisée contre le phishing.
  • Notification push : une notification envoyée sur votre téléphone que vous validez d'un appui.

Pourquoi la MFA n'était pas en place

La question qui brûle : pourquoi Viamedis et Almerys n'avaient-ils pas activé la MFA sur les comptes de professionnels de santé en 2024 ?

Plusieurs hypothèses, documentées par la presse spécialisée :

La friction utilisateur. Les professionnels de santé libéraux - médecins, pharmaciens, opticiens - se connectent au portail de tiers payant des dizaines de fois par jour. Ajouter une étape d'authentification supplémentaire à chaque connexion est perçu comme une contrainte opérationnelle. L'argument est réel mais ne tient pas face au risque : il existe des solutions de MFA qui ne demandent une vérification qu'à la première connexion depuis un appareil ou un lieu nouveau, sans ralentir les connexions habituelles.

L'héritage technique. Les portails de tiers payant sont souvent bâtis sur des systèmes qui ont 10 ou 15 ans. L'ajout de la MFA sur une architecture ancienne peut nécessiter des modifications significatives. Mais en 2024, des solutions de MFA en mode SaaS peuvent être intégrées en quelques semaines.

L'absence d'obligation réglementaire explicite. Avant l'affaire, aucune réglementation ne contraignait explicitement les opérateurs de tiers payant à déployer la MFA. Le RGPD parle de « mesures techniques et organisationnelles appropriées » sans lister de mesures spécifiques. L'ANSSI recommande la MFA dans ses guides, mais ses recommandations ne sont pas contraignantes pour les opérateurs privés (elles le sont pour les opérateurs d'importance vitale - OIV).

Ce qui a changé depuis

Dans les semaines qui ont suivi l'incident, Viamedis et Almerys ont déployé la MFA sur leurs portails. La CNIL a émis des recommandations explicites aux opérateurs du secteur santé concernant l'authentification renforcée.

Le constat est amer : il a fallu la compromission des données de 33 millions de personnes pour que la MFA soit déployée. Une mesure qui aurait coûté quelques dizaines de milliers d'euros à mettre en oeuvre a été négligée jusqu'à ce qu'une catastrophe la rende inévitable.

Pour vérifier si votre propre organisation est exposée à des failles basiques de sécurité email, testez votre domaine gratuitement avec notre outil de diagnostic.

Le risque supply chain : quand votre prestataire devient votre plus grande vulnérabilité

L'affaire Viamedis-Almerys illustre un problème structurel que toute organisation doit prendre en compte : le risque lié à la chaîne de sous-traitance (supply chain risk).

Vous ne choisissez pas les fournisseurs de vos fournisseurs

Quand vous souscrivez une complémentaire santé chez Malakoff Humanis, vous ne signez pas de contrat avec Viamedis. Vous ne savez probablement même pas que Viamedis existe. Pourtant, vos données transitent par leur système chaque fois que vous présentez votre carte de mutuelle chez le pharmacien.

C'est la réalité de l'économie numérique : chaque organisation dépend de dizaines, parfois de centaines de prestataires techniques. Votre entreprise utilise un logiciel de paie, un outil de gestion RH, un hébergeur cloud, un prestataire d'email - chacun d'entre eux a potentiellement accès à des données sensibles. Et chacun d'entre eux a ses propres sous-traitants.

Les attaques supply chain majeures récentes

L'affaire Viamedis-Almerys s'inscrit dans une série d'attaques ciblant la chaîne d'approvisionnement :

MOVEit (2023). Le groupe cybercriminel Cl0p a exploité une faille zero-day dans le logiciel de transfert de fichiers MOVEit, compromettant plus de 2 600 organisations dans le monde, dont France Travail (alors Pôle emploi - 10 millions de personnes touchées), Shell, British Airways, la BBC.

SolarWinds (2020). Des attaquants (attribués aux services de renseignement russes) ont injecté un malware dans une mise à jour du logiciel de supervision SolarWinds Orion, compromettant 18 000 organisations clientes, dont des agences fédérales américaines.

Kaseya VSA (2021). Le groupe REvil a exploité une faille dans le logiciel de gestion à distance Kaseya VSA pour déployer un ransomware chez plus de 1 500 organisations via les prestataires IT qui utilisaient ce logiciel.

Le schéma est toujours le même : compromettre un maillon de la chaîne d'approvisionnement pour atteindre tous les clients de ce maillon. Plus le maillon est central, plus les dégâts sont massifs.

Comment évaluer le risque supply chain

Le RGPD impose aux responsables de traitement (les complémentaires santé dans le cas Viamedis-Almerys) de s'assurer que leurs sous-traitants offrent des « garanties suffisantes » en matière de sécurité (article 28). En pratique, cela signifie :

Avant la signature du contrat :

  • Demander au prestataire son rapport d'audit de sécurité (SOC 2 Type II, ISO 27001)
  • Vérifier les mesures d'authentification en place (MFA obligatoire ?)
  • Évaluer les procédures de détection d'intrusion et de réponse à incident
  • Comprendre qui a accès aux données et à quel niveau

Pendant la relation :

  • Réaliser des audits réguliers (au moins annuels)
  • Exiger la notification des incidents de sécurité dans des délais stricts
  • Vérifier que les mesures de sécurité sont maintenues et mises à jour
  • Tester les plans de réponse à incident

Dans le contrat :

  • Clauses de sécurité détaillées et contraignantes
  • Droit d'audit
  • Pénalités en cas de manquement
  • Obligation de notification sous 24 heures (le RGPD impose 72 heures, mais rien n'empêche d'exiger un délai plus court contractuellement)

Ce que les entreprises doivent retenir de cette fuite

L'affaire Viamedis-Almerys n'est pas un cas isolé. Elle est le symptôme d'un problème systémique : des organisations qui gèrent des données sensibles à très grande échelle avec des mesures de sécurité insuffisantes. Voici les leçons concrètes.

1. La MFA est un prérequis, pas une option

En 2024, il n'existe aucune excuse acceptable pour ne pas déployer la MFA sur les accès aux systèmes contenant des données personnelles. C'est le contrôle de sécurité au meilleur rapport coût/efficacité qui existe.

Action : activez la MFA sur tous les accès sensibles cette semaine. Commencez par les comptes administrateurs et les accès distants, puis étendez à tous les utilisateurs. Le coût : quelques euros par utilisateur par mois. Le bénéfice : bloquer 99 % des attaques par compromission d'identifiants.

2. Cartographiez vos sous-traitants et évaluez leur sécurité

La plupart des entreprises ne savent pas combien de sous-traitants ont accès à leurs données. Faites l'inventaire. Pour chaque prestataire qui traite des données personnelles ou sensibles : quelles données ? Quelles mesures de sécurité ? Quel est le plan en cas d'incident ?

3. Limitez le volume de données exposées

Plus vous stockez de données, plus le risque est élevé en cas de fuite. Appliquez le principe de minimisation du RGPD : ne collectez et ne conservez que les données strictement nécessaires. Purgez les données obsolètes. Si Viamedis avait limité l'accès à la base de données aux seuls enregistrements nécessaires (les assurés actifs), le nombre de victimes aurait été réduit.

4. Mettez en place une détection des anomalies

Un système qui permet l'extraction de millions d'enregistrements sans déclencher d'alerte est un système aveugle. Investissez dans la surveillance : alertes sur les volumes de requêtes inhabituels, détection des connexions depuis des emplacements ou des appareils inhabituels, analyse comportementale (UEBA).

5. Préparez votre plan de réponse à incident

Quand la fuite arrive (et elle arrivera), la rapidité de la réponse fait la différence. Disposez-vous d'un plan de réponse à incident écrit et testé ? Savez-vous qui notifier, dans quel ordre, dans quel délai ? La CNIL, les personnes concernées, les autorités judiciaires ?

6. Formez vos collaborateurs au phishing

Les identifiants compromis chez Viamedis et Almerys provenaient vraisemblablement de campagnes de phishing ou de réutilisation de mots de passe. La formation régulière des collaborateurs - et en particulier des personnes disposant d'accès à des données sensibles - est la première ligne de défense.

Un programme de sensibilisation combinant formation et simulations de phishing réduit le taux de clic sur les emails malveillants de 60 à 80 % en 12 mois selon les études du SANS Institute.

7. Sécurisez votre configuration email

Votre domaine est-il protégé contre l'usurpation ? SPF, DKIM et DMARC sont trois protocoles DNS qui empêchent les attaquants d'envoyer des emails en usurpant votre nom de domaine. Si un attaquant peut envoyer un email en se faisant passer pour votre entreprise, vos clients et partenaires sont en danger. Pour comprendre et mettre en oeuvre ces protocoles, consultez notre guide sur la sécurité email des PME : SPF, DKIM et DMARC.

Ce que les personnes concernées doivent faire

Si vous êtes ou avez été couvert par une complémentaire santé en France, il y a de fortes chances que vous fassiez partie des 33 millions de personnes concernées. Voici les mesures concrètes à prendre.

Vérifier si vous êtes concerné

Votre complémentaire santé est tenue de vous informer si vos données ont été compromises. Si vous n'avez reçu aucune notification, contactez votre mutuelle pour confirmer si elle utilise les services de Viamedis ou Almerys.

Les principales mutuelles et complémentaires santé touchées incluent (liste non exhaustive) : Malakoff Humanis, Viasanté Mutuelle, MGEN, Harmonie Mutuelle, MACIF, Carte Blanche Partenaires, et plusieurs dizaines d'autres.

Se méfier du phishing ciblé

C'est la menace la plus immédiate et la plus concrète. Les attaquants disposent de suffisamment d'informations pour monter des emails de phishing très convaincants.

Règles absolues :

  • Ne cliquez jamais sur un lien dans un email ou un SMS prétendant provenir de votre mutuelle ou de l'Assurance maladie en lien avec cette fuite.
  • Ne communiquez jamais votre numéro de Sécurité sociale par email, SMS ou téléphone à quelqu'un qui vous contacte (même s'il connaît déjà votre numéro de Sécu - c'est justement parce qu'il l'a volé).
  • Accédez toujours à votre espace mutuelle ou Ameli en tapant l'adresse directement dans votre navigateur, jamais via un lien reçu par email.
  • Vérifiez l'adresse de l'expéditeur : les emails de phishing utilisent souvent des domaines ressemblants (malakoff-humanis-securite.com au lieu de malakoffhumanis.com).

Surveiller ses comptes

  • Relevé Ameli : connectez-vous régulièrement à votre espace Ameli (ameli.fr) pour vérifier que les remboursements affichés correspondent à des soins que vous avez effectivement reçus. Un remboursement inconnu peut être le signe d'une fraude.
  • Relevé mutuelle : même vérification sur l'espace en ligne de votre complémentaire santé.
  • Relevé bancaire : surveillez les prélèvements inhabituels, en particulier ceux provenant d'organismes de santé.

Porter plainte

Le parquet de Paris a mis en place un dispositif simplifié de plainte pour les victimes de la fuite Viamedis-Almerys. Vous pouvez déposer une plainte via le site cybermalveillance.gouv.fr, qui propose un formulaire dédié à cet incident.

La plainte est importante même si vous n'avez pas encore constaté d'utilisation frauduleuse de vos données. Elle permet aux autorités de mesurer l'ampleur des dommages et de concentrer les moyens d'enquête.

Renforcer sa sécurité personnelle

  • Changez vos mots de passe sur les sites de votre mutuelle et d'Ameli, en utilisant des mots de passe uniques et complexes.
  • Activez la MFA partout où c'est possible, en commençant par vos comptes de santé (Ameli, mutuelle) et vos comptes bancaires.
  • Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) pour éviter la réutilisation des mots de passe.
  • Surveillez votre crédit : en France, vous pouvez consulter gratuitement votre dossier de crédit auprès de la Banque de France pour détecter d'éventuels crédits frauduleux.

Rester vigilant dans la durée

C'est le point le plus difficile. Les données volées ne périment pas. Le numéro de Sécurité sociale est permanent. Les tentatives de phishing et de fraude exploitant ces données peuvent survenir des mois, voire des années après la fuite initiale. La vigilance ne doit pas se relâcher après quelques semaines.

L'affaire en perspective : un avant et un après

L'affaire Viamedis-Almerys marque un tournant dans la perception de la cybersécurité en France. Par son ampleur (33 millions de personnes, la moitié du pays), par le type de données compromises (le NIR, un identifiant permanent), et par la simplicité de la faille exploitée (l'absence de MFA), elle condense en un seul incident l'ensemble des dysfonctionnements qui fragilisent la sécurité des données en France.

Ce que l'affaire dit du système de santé numérique français

Le système de santé français est en pleine numérisation. Le Dossier Médical Partagé (DMP, devenu « Mon espace santé »), la carte Vitale dématérialisée (e-carte Vitale en expérimentation), la téléconsultation, les ordonnances électroniques : tout converge vers un système entièrement numérique et interconnecté.

Cette numérisation est un progrès pour les patients et les professionnels de santé. Mais elle augmente mécaniquement la surface d'attaque. Chaque nouvelle interconnexion est un nouveau point d'entrée potentiel. Chaque nouveau système qui stocke ou transmet des données de santé est une cible potentielle.

L'affaire Viamedis-Almerys montre que les intermédiaires techniques - ces entreprises invisibles qui font fonctionner la plomberie du système de santé - sont des maillons aussi sensibles que les hôpitaux ou l'Assurance maladie elle-même. Sécuriser le système de santé numérique ne peut pas se limiter aux acteurs visibles : il faut sécuriser toute la chaîne, y compris les prestataires techniques que personne ne connaît.

L'onde de choc réglementaire

La CNIL a durci le ton dans ses communications publiques après l'affaire. Le déploiement de NIS 2 en France intègre explicitement les opérateurs du secteur santé dans son périmètre. Le programme CaRE du ministère de la Santé accélère les financements vers la MFA et la segmentation réseau.

La tendance réglementaire est claire : les prochaines années verront des exigences de sécurité de plus en plus contraignantes pour les acteurs du secteur santé et leurs prestataires. Les organisations qui n'anticipent pas cette évolution s'exposent à des sanctions et, surtout, à des incidents.

La question de la responsabilité

L'affaire pose une question fondamentale sur la responsabilité dans les chaînes de sous-traitance. Les mutuelles sont responsables de traitement au sens du RGPD. Mais elles ont délégué l'infrastructure technique à Viamedis et Almerys. Si les sous-traitants n'ont pas mis en place les mesures de sécurité nécessaires, la responsabilité est-elle partagée ?

Le RGPD est clair sur ce point : le responsable de traitement reste responsable, même quand il sous-traite. L'article 28 du RGPD impose au responsable de traitement de ne faire appel qu'à des sous-traitants « présentant des garanties suffisantes ». Si une complémentaire santé n'a pas vérifié que Viamedis ou Almerys disposait de la MFA, elle partage la responsabilité.

En pratique, les mutuelles arguent qu'elles ne peuvent pas auditer en détail les mesures de sécurité de chaque prestataire. L'argument est compréhensible mais juridiquement insuffisant. Le RGPD ne fait pas de distinction entre les organisations qui ont les moyens de vérifier et celles qui ne les ont pas.

Et maintenant ?

L'enquête judiciaire est en cours. L'investigation de la CNIL se poursuit. Les conséquences réglementaires continuent de se déployer.

Pour les 33 millions de Français dont les données ont été exposées, la réalité est simple : leur numéro de Sécurité sociale est potentiellement dans la nature pour toujours. Aucune amende, aucune sanction, aucune réforme réglementaire ne changera ce fait. Les données volées ne reviennent pas.

Ce qui peut changer, c'est ce que les organisations font aujourd'hui pour que le prochain incident ne touche pas 33 millions de personnes. La MFA, la segmentation des données, la limitation de la conservation, la formation des utilisateurs, l'évaluation des sous-traitants - ce ne sont pas des mesures de cybersécurité avancée. C'est le minimum. Et ce minimum n'était pas en place chez les deux opérateurs qui gèrent le tiers payant de la moitié du pays.

Ne reproduisez pas cette erreur. Commencez par tester la sécurité de votre configuration email - c'est gratuit, ça prend 30 secondes, et c'est la première étape pour savoir où vous en êtes.

Retrouvez cet incident et plus de 100 autres dans notre base de données des cyberattaques en France.

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

Cegedim Santé : 15 millions de dossiers patients dans la nature, anatomie d'une catastrophe

Fin 2025, une cyberattaque contre le logiciel MLM de Cegedim Santé a exposé les données de 15 millions de patients français, dont 164 000 dossiers contenant des informations sensibles. Chronologie, responsabilités, conséquences concrètes et leçons à tirer.

Cyberattaques sur les hôpitaux français : un bilan alarmant (2019-2026)

Du CHU de Rouen au CH de Cannes, chronologie complète des cyberattaques contre les hôpitaux français. Coûts, conséquences sur les patients, rôle du phishing et réponse de l'État.