Almerys : une nouvelle cyberattaque qui interroge la résilience du tiers payant

Le 26 mai 2026, Almerys a confirmé la compromission de son site de délivrance des prises en charge, après plusieurs alertes adressées aux assurés par des organismes complémentaires. Alan, AG2R La Mondiale et Aesio mutuelle avaient notamment informé leurs bénéficiaires dès le week-end précédent. Le tiers payant permet aux assurés de ne pas avancer certains frais de santé, ce qui impose aux opérateurs concernés de vérifier les droits et les contrats auprès de multiples organismes.

Selon les informations communiquées par les organismes concernés, les données exposées comprennent le nom, le prénom, la date de naissance, le rang de naissance, le numéro de Sécurité sociale, le nom de l’assureur santé, le numéro de contrat ainsi que les dates de début et de fin de couverture. Almerys précise que les coordonnées personnelles, les informations bancaires, les données de santé et les remboursements demeurent hors du périmètre annoncé.

Le site spécialisé FrenchBreaches, à l’origine de l’alerte, fait quant à lui état d’un fichier de plus de 44 millions de lignes contenant environ 15,4 millions de numéros de Sécurité sociale uniques. Il mentionne également plus de 674 organismes potentiellement concernés, sur une profondeur de données qui remonterait à 2010. Ces volumes, présentés par l’attaquant lui-même, appellent la prudence tant qu’une vérification indépendante n’a pas été conduite.

Des données qui peuvent alimenter des opérations de phishing ciblé 

Cette réserve sur les volumes ne diminue pas la portée du dossier. Dans un contexte de fraude documentaire, d’usurpation d’identité et d’hameçonnage ciblé, des données administratives correctement recoupées suffisent à produire des scénarios crédibles. Le nom de l’assureur, le numéro de contrat et les dates de couverture peuvent nourrir des messages frauduleux adressés à des assurés, à des services RH ou à des professionnels de santé. L’exposition concerne donc la confidentialité des informations personnelles, mais aussi la relation de confiance entre bénéficiaires, organismes complémentaires et professionnels de santé.

Rodolphe Barnault, Vice-Président Europe du Sud de Rubrik, élargit l’analyse aux effets induits pour les bénéficiaires et les partenaires. « L’attaque récente visant Almerys rappelle avec force qu’un incident cyber ne s’arrête jamais aux frontières de l’organisation touchée. Lorsqu’une organisation occupe une position centrale au sein d’un écosystème hautement sensible, les données volées peuvent fragiliser les bénéficiaires, exposer les partenaires et instaurer un doute durable tout au long de la chaîne de confiance », souligne-t-il.

Un prestataire au cœur d’une chaîne sensible

L’incident frappe par sa récurrence. Fin janvier 2024, la Commission nationale de l’informatique et des libertés (CNIL) avait recensé, à la suite des attaques visant Viamedis et Almerys, plus de 33 millions de personnes affectées. Deux ans plus tard, Almerys se retrouve de nouveau associé à une fuite de données. Pour les organismes complémentaires, cette chronologie soulève un point sensible : comment apprécier le niveau de sécurité d’un prestataire qui occupe une position d’intermédiation entre assurés, assureurs et professionnels de santé ?

Cette fonction d’interface suppose de traiter des données d’identité, de droits, de contrats et de couverture. Ces flux soutiennent des parcours de soins, des processus de remboursement et des engagements contractuels entre plusieurs acteurs. Leur compromission produit des effets qui débordent la seule notification d’un incident, car elle touche directement les dépendances opérationnelles de l’assurance santé.

Le tiers payant repose précisément sur cette fonction d’interface. Les opérateurs concernés dispensent les bénéficiaires d’avancer certains frais de santé. Pour remplir cette mission, ils manipulent des données d’identité, de droits, de contrats et de couverture. Ces flux dépassent le simple traitement technique. Ils soutiennent des parcours de soins, des processus de remboursement et des engagements contractuels entre plusieurs acteurs. Leur compromission produit des effets qui débordent la seule notification d’un incident.

Le risque ne disparaît pas avec la remise en service du portail concerné. « Ces attaques ne visent pas uniquement à perturber les services. Elles sont conçues pour exploiter la valeur des informations dérobées et provoquent fréquemment un effet domino au sein de l’ensemble des organisations connectées. Les entreprises partenaires sont également exposées à un risque d’atteinte à la réputation, puisqu’elles peuvent être associées à un incident de sécurité, même sans avoir été directement compromises », poursuit Rodolphe Barnault.

Une perturbation qui atteint la continuité de service

La mise hors service du site de délivrance des prises en charge illustre la dimension opérationnelle de l’incident. Almerys a interrompu le service concerné, avec des répercussions sur certaines demandes en optique, en audiologie, en dentaire et en prise en charge hospitalière, avant d’envisager un rétablissement progressif. L’attaque affecte donc l’exécution même du service : traitement des demandes, coordination avec les professionnels de santé et maintien d’une relation lisible avec les bénéficiaires.

Pour les mutuelles et les assureurs, la difficulté tient à la perception du risque. Même lorsque le système d’information d’un partenaire n’a pas été directement compromis, l’assuré rattache souvent l’incident à son organisme de protection sociale. La gestion de crise réclame alors une communication précise, rapide et suffisamment pédagogique pour distinguer le rôle du prestataire, le périmètre des informations exposées et les mesures de vigilance attendues. Cette transparence conditionne la restauration de la confiance.

« La confiance dépend non seulement de la protection des données, mais aussi de la capacité à évaluer rapidement l’impact d’un incident et à communiquer avec transparence. En définitive, ce cas souligne une fois de plus que la cyber-résilience va au-delà de la seule protection technique et repose sur des capacités durables d’analyse, de confinement, de restauration et de gestion de crise », ajoute Rodolphe Barnault.

Les accès, première zone de vigilance

La question des accès prolonge ce diagnostic. Le scénario technique complet n’a pas été rendu public, mais l’entrée par des comptes légitimes compromis place les habilitations au premier rang des points de vigilance. Plusieurs communications d’organismes concernés décrivent un accès non autorisé au portail de prise en charge, obtenu par l’usurpation d’identifiants de comptes légitimes. Le précédent de 2024 reposait déjà sur la compromission de comptes de professionnels de santé. Cette continuité désigne les accès comme une surface d’exposition prioritaire, avant même l’analyse des défenses périmétriques.

La gestion des identités et des accès, ou IAM (Identity and Access Management), doit désormais couvrir l’ensemble du cycle de vie des comptes : création, élévation temporaire des droits, supervision, révocation et traçabilité. Dans un modèle distribué, où des prestataires et des sous-traitants interviennent sur des services sensibles, les habilitations constituent une surface d’exposition à part entière. 

« Les entreprises doivent abandonner les modèles d’accès statiques fondés sur les identifiants au profit d’une autorisation dynamique, centrée sur l’identité et opérée en temps réel », estime Yves Wattel, VP of Sales Central & Southern Europe de Delinea. Cette approche repose, selon lui, sur « le principe du moindre privilège », des accès « just-in-time » accordés uniquement lorsque cela devient nécessaire, des identifiants éphémères à durée de vie courte et des mécanismes de décision fondés sur le contexte, les politiques internes et les signaux de risque.

L’IA agentique, un prolongement du débat sur les accès

Cette lecture peut aussi s’étendre à l’IA agentique, sans établir de lien direct avec Almerys. Le terme désigne des systèmes capables d’exécuter des actions de manière autonome dans des environnements numériques. Rien n’indique à ce stade que l’attaque visant l’opérateur mobilise de tels agents. Le sujet éclaire néanmoins une tendance de fond : les identités non humaines, les comptes techniques, les API et les automatisations accroissent la complexité de la supervision des droits.

« L’IA agentique fonctionne à la vitesse des machines, de manière continue et autonome, tout en exécutant des actions à privilèges au sein de différents environnements. Ces caractéristiques rendent, à elles seules, la gestion des accès beaucoup plus complexe et multidimensionnelle », observe Yves Wattel. L’avertissement vaut pour toutes les organisations qui combinent automatisation, services externalisés et données sensibles.

DORA et le pilotage des prestataires TIC

Le dossier Almerys intervient enfin dans un contexte réglementaire plus exigeant. DORA (Digital Operational Resilience Act), règlement européen sur la résilience opérationnelle numérique, s’applique depuis janvier 2025 au secteur financier, mutuelles et assureurs compris au titre de leur activité d’assurance. Le pilotage de leurs prestataires IT entre donc dans le champ du texte.

« Le pilier 4 du règlement, sur la gestion des risques liés aux prestataires TIC, impose aux entités financières la mise en place de clauses spécifiques pour garantir la sécurité des services portés par des prestataires. La question est maintenant de savoir à quelle étape de la protection de la chaîne il y aurait pu avoir négligence », conclut Yves Wattel.

La conformité ne prémunit pas contre l’incident : elle impose de documenter ses dépendances, d’éprouver des scénarios de crise et d’organiser la continuité. La supervision des prestataires de tiers payant ne peut donc plus se limiter à un contrôle contractuel périodique. Elle doit s’inscrire dans un exercice continu de résilience, articulant gouvernance des accès, cartographie des dépendances et coordination de la communication en situation de crise.