- Cybersecurite
Almerys : 15 millions de numéros de sécurité sociale exposés dans une cyberattaque
L'opérateur de tiers payant Almerys a subi le 22 mai 2026 une cyberattaque exposant 15,4 millions de numéros de sécurité sociale et 44 millions de lignes de données, touchant les assurés de grandes mutuelles françaises.
Équipe ASN
Application Santé Numérique
Le 22 mai 2026, l’opérateur de tiers payant Almerys a découvert une cyberattaque ayant entraîné une fuite de données massive. L’incident est l’un des plus importants jamais enregistrés dans le secteur de la complémentaire santé en France, avec des répercussions potentielles sur des millions d’assurés.
Un acteur systémique au cœur du tiers payant complémentaire
Almerys occupe une position centrale dans l’écosystème de la santé numérique française en tant que gestionnaire de tiers payant complémentaire. La société coordonne les flux de remboursements entre les assureurs et les professionnels de santé pour les prestations audio-visuelles, optiques et hospitalières. Parmi ses clients figurent de grands acteurs de l’assurance complémentaire : MGEN, Harmonie Mutuelle, AG2R La Mondiale, Aesio Mutuelle, Intériale et Alan.
44 millions de lignes de données exposées
L’attaque a été rendue possible par la compromission du compte d’un professionnel de santé, permettant un accès non autorisé à la plateforme PEC (Prise En Charge), dédiée à l’édition de prises en charge pour les remboursements. Cette plateforme a été immédiatement fermée dès la découverte de la brèche.
L’ampleur de la violation est considérable :
- 15,4 millions de numéros de sécurité sociale (NSS) uniques compromis
- 44 millions de lignes de données exposées au total
- 674 organismes de santé potentiellement affectés
Les données exfiltrées comprennent les noms, prénoms, dates de naissance, numéros de sécurité sociale, noms des assureurs, numéros de contrats ainsi que les dates d’ouverture et de clôture des droits. En revanche, les données bancaires, dossiers médicaux, adresses postales et mots de passe n’ont pas été affectés.
Réponse de l’entreprise et calendrier de rétablissement
Almerys a déposé une plainte auprès du parquet et notifié la CNIL conformément à ses obligations légales sous 72 heures. Les services annexes de la plateforme — gestion des opérations, mises à jour des bases, transactions et paiements — sont restés opérationnels. Une remise en service progressive de la plateforme PEC était prévue pour la semaine du 1er juin 2026.
Un deuxième incident qui interroge la gouvernance
Cet incident n’est pas isolé : Almerys avait déjà subi une violation de données en 2024, ayant déclenché une enquête de la CNIL. La récidive soulève des questions sérieuses sur la maturité de la gouvernance de la sécurité chez un acteur dont la position systémique — en lien direct avec les grandes mutuelles françaises — amplifie considérablement l’impact de chaque incident.
La combinaison d’un numéro de sécurité sociale avec des informations sur la couverture complémentaire constitue un vecteur potentiel d’usurpation d’identité et de fraude à l’assurance. Pour les 15 millions d’assurés concernés, la vigilance s’impose face aux tentatives de phishing ciblé.
Ce qu’il faut retenir
- 22 mai 2026 : découverte de la cyberattaque via un compte professionnel compromis
- 15,4 millions de NSS uniques exposés, 44 millions de lignes de données au total
- CNIL notifiée ; plainte déposée auprès du parquet
- Second incident pour Almerys en moins de deux ans
- Plateforme PEC fermée ; rétablissement progressif prévu début juin 2026
Sources
Contactez un expert en santé numérique
Vous avez un projet d'application santé ? Notre équipe d'experts vous accompagne dans la conception et le développement de solutions numériques innovantes.