Almerys : fuite de données tiers payant santé
L'opérateur de tiers payant santé Almerys confirme le 25 mai 2026 une fuite exposant plus de 44 millions de lignes et 15,4 millions de numéros de Sécurité sociale.
- Organisation
- Almerys
- Secteur
- Santé
- Pays
- France
- Date des faits
- Compromission découverte le 22 mai 2026, confirmée publiquement le 25 mai 2026
- Ampleur
- env. 15,4 millions de NIR uniques (fichier de plus de 44 millions de lignes)
- Vecteur
- faille API
- Données exposées
- Nom, Prénom, Date de naissance, Rang de naissance, Numéro de Sécurité sociale (NIR), Nom de l'assureur, Numéro de contrat, Dates de début et de fin de couverture
L’opérateur de tiers payant santé Almerys (groupe basé à Clermont-Ferrand, intermédiaire entre assureurs, mutuelles et professionnels de santé) a confirmé le 25 mai 2026, dans un communiqué transmis à l’AFP, avoir été victime d’une cyberattaque ayant exposé des données personnelles de bénéficiaires. Selon l’entreprise, l’attaque a permis un accès non autorisé à sa plateforme de prise en charge (PEC) utilisée par certains professionnels et établissements de santé ; plusieurs sources évoquent le piratage du compte d’un professionnel de santé comme point d’entrée. La compromission aurait été découverte le 22 mai 2026, et la plateforme concernée a été fermée pour neutraliser l’accès.
Les données potentiellement exposées comprennent l’état civil (nom, prénom, date et rang de naissance), le numéro de Sécurité sociale (NIR), le nom de l’assureur, le numéro de contrat ainsi que les dates de début et de fin de couverture. Selon Almerys, les coordonnées bancaires, les coordonnées de contact, les mots de passe et les données de santé (détail des soins et remboursements) ne sont pas concernés. L’ampleur reste à confirmer par l’enquête : un acteur malveillant (pseudonyme « Lagui ») a revendiqué dès le 21 mai 2026, sur un forum cybercriminel, un fichier de plus de 44 millions de lignes contenant environ 15,4 millions de numéros de Sécurité sociale uniques. Ces volumes, largement repris par la presse, doivent être considérés comme allégués tant qu’ils ne sont pas validés officiellement.
Plusieurs mutuelles et assureurs clientes d’Almerys figureraient parmi les organisations touchées, dont Alan, qui a notifié ses assurés par e-mail le 23 mai 2026, la MGEN et AG2R La Mondiale ; d’autres acteurs (Harmonie Mutuelle, Aesio, Intériale) sont cités selon les sources. Almerys indique que « tous ses clients » sont concernés, mais la liste exacte et le périmètre par organisme restent partiellement flous. Les personnes affectées sont des assurés résidant en France, ce qui place clairement l’incident dans le champ des données de personnes en Europe.
Almerys a déposé plainte et saisi la CNIL ainsi que l’ANSSI ; le parquet de Paris a ouvert une enquête préliminaire confiée à la brigade de lutte contre la cybercriminalité. Cet incident intervient après une précédente cyberattaque majeure subie par Almerys en 2024 (environ 33 millions de données concernées), pour laquelle des investigations de la CNIL étaient encore en cours. Compte tenu de la nature des données (NIR, état civil, lien avec un organisme d’assurance), le principal risque pour les assurés porte sur l’usurpation d’identité et les campagnes d’hameçonnage ciblé ; aucune décision ni sanction de la CNIL n’a été publiée à ce stade.