Le piratage d’Almerys, prestataire de tiers-payant utilisé par des mutuelles et assureurs santé, expose une faiblesse majeure de la chaîne administrative de la sécurité sociale : même sans données bancaires ni dossier médical, un numéro de sécurité sociale associé à une identité, un contrat et une couverture santé peut devenir un outil redoutable pour des arnaques ciblées.
Tiers-payant : pourquoi le piratage d’Almerys inquiète les assurés
By
Last modified on 25 mai 2026 5h52
57%Plus de la moitié des Français (57%) indiquent avoir déjà été victimes d'une tentative d'arnaque aux données bancaires
Le nom d’Almerys ne dit pas grand-chose à la plupart des assurés. Pourtant, cette société occupe une place sensible dans l’écosystème de la santé en France. Elle intervient dans la gestion du tiers-payant, c’est-à-dire dans les échanges qui permettent à un assuré de ne pas avancer certains frais chez un professionnel de santé, ou de faire prendre en charge une partie de ses dépenses par sa complémentaire.
L’affaire a pris une tournure publique après la communication d’Alan, l’un des clients d’Almerys. « Vendredi 22 mai, Almerys, notre prestataire en charge du tiers-payant, nous a informés avoir subi une cyberattaque ayant entraîné une fuite de données affectant ses clients », a indiqué l’assureur santé. Alan précise toutefois que le volume exact de personnes et de données concernées n’est pas connu à date. Cette prudence est essentielle : le chiffre le plus spectaculaire, celui de plus de 15 millions de numéros de sécurité sociale uniques, provient d’une revendication analysée par French Breaches, et non d’une confirmation publique complète d’Almerys.
Le tiers-payant et le numéro de sécurité sociale au centre du piratage d’Almerys
Almerys agit comme un rouage technique entre assurés, professionnels de santé, mutuelles, assureurs et organismes complémentaires. Ce rôle d’intermédiaire rend l’entreprise particulièrement exposée : elle manipule des informations nécessaires à la prise en charge, à la vérification des droits et aux demandes transmises par les professionnels de santé.
Alan indique que les données concernées comprennent l’état civil, le numéro de sécurité sociale, le numéro de contrat, le nom de l’assureur, le numéro de contrat de l’assureur et les dates de début et de fin de couverture. CNP Assurances Protection Sociale, autre acteur ayant communiqué sur l’incident, confirme une liste très proche : nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, numéro de contrat, nom de l’assureur et dates de couverture.
Cette convergence est importante. Elle permet de cerner la nature de la fuite. Les données bancaires, les mots de passe, les coordonnées de contact et les informations de santé liées aux soins ou remboursements ne sont pas déclarés comme concernés. Ce point ne rend pas l’incident bénin. Un numéro de sécurité sociale, en France, est un identifiant durable. Il ne se change pas comme une carte bancaire. Relié à un nom, une date de naissance, une couverture santé et un contrat, il peut servir à crédibiliser des messages frauduleux, à alimenter des tentatives d’usurpation d’identité ou à enrichir d’autres bases de données déjà compromises.
Données personnelles : ce que l’on sait vraiment de la fuite Almerys
Le chiffre le plus marquant vient de French Breaches, qui évoque 44 074 042 lignes et 15 452 549 numéros de sécurité sociale uniques dans une base attribuée à Almerys. Le média spécialisé mentionne aussi 674 organismes de santé potentiellement exposés. Mais il faut écrire ces données avec précaution : French Breaches indique lui-même que l’authenticité complète et l’exhaustivité de la base revendiquée n’ont pas été officiellement confirmées publiquement.
La prudence s’impose d’autant plus qu’Alan écrit ne pas disposer de la liste détaillée des personnes concernées. En attendant, l’assureur a choisi une communication large : il considère, par mesure de précaution, que l’ensemble de ses assurés et ayants droit peuvent être touchés. CNP Assurances Protection Sociale va plus loin dans la qualification de l’incident en indiquant que « les investigations menées par Almerys indiquent que cette intrusion frauduleuse a entraîné l’accès à certaines données de bénéficiaires ». L’organisme affirme aussi avoir suspendu toutes les demandes de prise en charge venant d’Almerys après avoir été informé d’une suspicion de violation de données, tout en préparant une notification auprès de la CNIL et de l’ACPR.
La plateforme touchée semble liée aux demandes de prise en charge. Alan indique qu’elle a été mise hors service afin de stopper l’atteinte aux données et que l’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys. Cette interruption peut avoir des conséquences pratiques : certains professionnels de santé, notamment dans l’optique, l’audioprothèse ou les établissements hospitaliers, peuvent rencontrer des difficultés pour transmettre des demandes.
Le précédent de 2024 pèse lourd. La CNIL avait annoncé en février 2024 que plus de 33 millions de personnes étaient concernées par une violation de données touchant Viamedis et Almerys, deux opérateurs de tiers-payant. Les informations alors compromises concernaient l’état civil, la date de naissance, le numéro de sécurité sociale, le nom de l’assureur santé et les garanties du contrat. Deux ans plus tard, l’affaire actuelle montre que le tiers-payant reste un point sensible de la cybersécurité santé.
Sécurité sociale et arnaques : les risques concrets après la fuite
Le risque immédiat n’est pas forcément un prélèvement bancaire frauduleux, puisque les sources consultées indiquent que les coordonnées bancaires ne sont pas concernées. Le risque le plus crédible est l’hameçonnage, ou phishing, sous une forme beaucoup plus personnalisée que les campagnes classiques.
Un escroc disposant d’un nom, d’une date de naissance, d’un numéro de sécurité sociale, d’un nom d’assureur et de dates de couverture peut construire un message très plausible. Il peut prétendre agir pour une mutuelle, un service de tiers-payant, une plateforme de remboursement ou l’Assurance maladie. Plus le message contient de détails exacts, plus il semble légitime. C’est précisément ce qui rend ce type de fuite dangereux pour le grand public.
L’Assurance maladie rappelle que les fraudes peuvent prendre la forme de courriers, d’appels, d’e-mails ou de SMS. Elle alerte notamment sur les messages demandant un paiement pour une carte Vitale : « L’Assurance Maladie ne facture jamais de frais de livraison et la création et l’envoi d’une nouvelle carte Vitale sont gratuits. » Cette précision est essentielle, car une fuite liée à la sécurité sociale peut ensuite être exploitée pour donner une apparence officielle à une fausse démarche.
Cybermalveillance.gouv.fr décrit de longue date les mécanismes d’hameçonnage aux couleurs d’Ameli ou de la carte Vitale. Les scénarios sont connus : faux remboursement en attente, prétendue mise à jour de carte Vitale, faux formulaire de régularisation, demande de coordonnées bancaires ou de mot de passe. Dans le contexte Almerys, ces messages peuvent devenir plus convaincants encore, parce qu’ils peuvent s’appuyer sur des informations administratives réellement volées.
L’autre risque est l’usurpation d’identité. Un numéro de sécurité sociale ne suffit pas toujours à lui seul à ouvrir une démarche frauduleuse, mais il peut compléter un dossier déjà constitué à partir d’autres fuites. La CNIL avait d’ailleurs prévenu, lors de la fuite Viamedis-Almerys de 2024, que les données compromises pouvaient être couplées à d’autres informations issues de fuites antérieures. Le danger est donc cumulatif : chaque fuite enrichit les outils des cybercriminels.
Les bons réflexes après le piratage d’Almerys
La première règle est simple : ne jamais répondre dans l’urgence à un message évoquant une mutuelle, un remboursement, une carte Vitale, une sécurité sociale ou un contrat santé. Un message frauduleux cherche souvent à créer une pression : compte bloqué, remboursement suspendu, carte à renouveler, dossier incomplet. Cette urgence est un signal d’alerte.
La deuxième règle consiste à ne pas cliquer sur un lien reçu par SMS ou par e-mail lorsque le message demande une connexion ou une vérification. En cas de doute, il faut rouvrir soi-même l’application ou le site officiel de l’organisme concerné, sans passer par le lien reçu. Cybermalveillance.gouv.fr résume le réflexe à adopter en une formule claire : « Au moindre doute, contactez l’organisme concerné. »
Il faut aussi surveiller ses comptes. Le compte Ameli, l’espace mutuelle, la messagerie principale et les comptes bancaires doivent faire l’objet d’une attention renforcée dans les prochaines semaines. Cela ne signifie pas que tous ces comptes sont compromis, mais qu’ils peuvent devenir des cibles d’approche. Un e-mail de réinitialisation inattendu, une tentative de connexion inconnue, un appel demandant un code ou une pièce justificative doivent être traités avec méfiance.
L’activation de la double authentification est fortement recommandée lorsque le service le permet. Elle ne supprime pas le risque d’arnaque, mais elle limite les conséquences d’un vol de mot de passe. Il est également utile d’utiliser des mots de passe différents pour chaque service, afin qu’un identifiant compromis sur un site ne permette pas d’accéder à d’autres espaces personnels.
En cas de tentative d’arnaque, il faut conserver les preuves : captures d’écran, SMS, e-mails, adresses de sites, numéros appelants, éventuels échanges. Si des données sont utilisées frauduleusement, Cybermalveillance.gouv.fr et le site Ma Sécurité recommandent de déposer plainte auprès de la police ou de la gendarmerie avec les éléments disponibles. Le dépôt de plainte devient indispensable dès lors qu’il y a usurpation d’identité, usage frauduleux ou préjudice financier.