skip to content
Gravité critique confirmée

Almerys : fuite de données tiers payant santé

L'opérateur de tiers payant santé Almerys confirme le 25 mai 2026 une fuite exposant plus de 44 millions de lignes et 15,4 millions de numéros de Sécurité sociale.

Organisation
Almerys
Secteur
Santé
Pays
France
Date des faits
Compromission découverte le 22 mai 2026, confirmée publiquement le 25 mai 2026 ; notifications des organismes clients à leurs assurés en vagues successives de fin mai à fin juin 2026
Ampleur
env. 15,4 millions de NIR uniques (fichier de plus de 44 millions de lignes)
Vecteur
Usurpation d'identité d'un compte donnant accès au portail de prise en charge (PEC) : compte « gestionnaire » selon les communiqués de mutuelles, compte d'un collaborateur d'Almerys ou d'un professionnel de santé selon d'autres sources
Données exposées
Nom, Prénom, Date de naissance, Rang de naissance, Numéro de Sécurité sociale (NIR), Nom de l'assureur, Numéro de contrat, Dates de début et de fin de couverture

L’opérateur de tiers payant santé Almerys (groupe basé à Clermont-Ferrand, intermédiaire entre assureurs, mutuelles et professionnels de santé) a confirmé le 25 mai 2026, dans un communiqué transmis à l’AFP, avoir été victime d’une cyberattaque ayant exposé des données personnelles de bénéficiaires. Selon l’entreprise, l’attaque a permis un accès non autorisé à sa plateforme de prise en charge (PEC) utilisée par certains professionnels et établissements de santé. Les sources convergent vers l’usurpation d’identité d’un compte donnant accès à ce portail, mais divergent sur sa nature : les communiqués de mutuelles (MGP, Mutuelle Entrain) évoquent un « compte gestionnaire », les alertes de FrenchBreaches un compte de collaborateur d’Almerys, et certaines analyses juridiques un compte de professionnel de santé, sans qu’Almerys ait tranché publiquement. La compromission aurait été découverte le 22 mai 2026, et la plateforme concernée a été fermée pour neutraliser l’accès.

Les données potentiellement exposées comprennent l’état civil (nom, prénom, date et rang de naissance), le numéro de Sécurité sociale (NIR), le nom de l’assureur, le numéro de contrat ainsi que les dates de début et de fin de couverture. Selon Almerys, les coordonnées bancaires, les coordonnées de contact, les mots de passe et les données de santé (détail des soins et remboursements) ne sont pas concernés. L’ampleur reste à confirmer par l’enquête : un acteur malveillant (pseudonyme « Lagui ») a revendiqué dès le 21 mai 2026, sur un forum cybercriminel, un fichier de plus de 44 millions de lignes contenant environ 15,4 millions de numéros de Sécurité sociale uniques. Ces volumes, largement repris par la presse, doivent être considérés comme allégués tant qu’ils ne sont pas validés officiellement.

Les notifications des organismes clients à leurs assurés se sont étalées en vagues successives de fin mai à fin juin 2026 : Alan dès le 23 mai, la MGP le 27 mai (communiqué évoquant un compte gestionnaire usurpé et la notification CNIL), puis le 28 mai une série d’alertes concernant Lamie Mutuelle, Vivinter, Mutame Plus, VIASANTÉ Mutuelle, la Camieg et Sanergie IEG, suivies d’Aésio Mutuelle, de la CPAMIF et d’Intérimaires Santé début juin, de la Macif, d’Apivia et de Generali le 7 juin, et enfin de Solly Azar et de la Mutuelle Entrain le 18 juin ; la MGEN et AG2R La Mondiale sont également citées, et le rattachement d’Intériale et de la Mutuelle LMP, plausible, reste à confirmer par une alerte dédiée. FrenchBreaches recense jusqu’à 674 organismes potentiellement concernés, chiffre non validé officiellement ; Almerys indique que « tous ses clients » sont concernés, mais le périmètre par organisme reste partiellement flou. Les personnes affectées sont des assurés résidant en France, ce qui place clairement l’incident dans le champ des données de personnes en Europe. À noter que la notification adressée début juin par Sofinco à ses clients relève d’un incident distinct, sans lien documenté avec Almerys.

Almerys a déposé plainte et saisi la CNIL ainsi que l’ANSSI ; le parquet de Paris a ouvert une enquête préliminaire confiée à la brigade de lutte contre la cybercriminalité. Cet incident intervient après une précédente cyberattaque majeure subie par Almerys en 2024 (environ 33 millions de données concernées), pour laquelle des investigations de la CNIL étaient encore en cours. Compte tenu de la nature des données (NIR, état civil, lien avec un organisme d’assurance), le principal risque pour les assurés porte sur l’usurpation d’identité et les campagnes d’hameçonnage ciblé ; aucune décision ni sanction de la CNIL n’a été publiée à ce stade.