En plus de douze années à analyser des contrats et situations dans le secteur de l’assurance, je constate que la sécurité des données personnelles reste un enjeu majeur et récurrent, notamment dans le cadre des services de tiers-payant. Au printemps 2026, Almerys, un acteur clé de cette infrastructure pour les complémentaires santé, a de nouveau subi une cyberattaque compromettant des données sensibles de ses assurés. Une telle situation illustre les risques permanents auxquels sont exposés les systèmes informatiques dans la gestion des remboursements et prises en charge, impliquant un impact potentiel sur l’ensemble des assurés, qu’il s’agisse des souscripteurs directs ou de leurs ayants droit. La maîtrise et la compréhension de ce genre d’incidents s’avèrent cruciales pour tous les acteurs et bénéficiaires du secteur.
Ce que vous devez retenir
- Le 22 mai 2026, Almerys a confirmé une cyberattaque ciblant son portail de demandes de prise en charge, impactant tous les organismes utilisateurs de ses services de tiers-payant.
- Les données exposées comprennent des informations d’identification (nom, naissance, numéro de sécurité sociale, références contractuelles), mais excluent les données de santé et bancaires, conformément aux communications officielles.
- La plateforme affectée a été suspendue temporairement par Almerys, et des moyens alternatifs sont déployés afin de permettre la continuité des demandes de prise en charge.
- Les assurés sont invités à une vigilance accrue face aux tentatives potentielles d’hameçonnage ou usurpation, ces risques étant classiques dans ce type d’incidents informatiques.
Un incident généralisé aux clients d’Almerys
Vendredi 22 mai 2026, Almerys a officialisé via ses canaux d’information et ceux de partenaires comme Alan la survenue d’une intrusion malveillante sur sa plateforme dédiée aux demandes de prise en charge. Cette attaque, visant spécifiquement l’infrastructure du tiers-payant, a affecté l’ensemble des acteurs utilisant ces services. Outre Alan, la MCEN et CNP Assurances Protection Sociale ont également confirmé leur exposition, tout en précisant qu’aucun accès n’a été constaté sur leurs propres systèmes informatiques. Les investigations techniques sont toujours en cours du côté d’Almerys afin de cerner précisément l’ampleur des données compromises et d’identifier les personnes impactées. En attendant ces résultats, plusieurs organismes clients considèrent par précaution que la totalité des assurés et de leurs ayants droit sont potentiellement concernés.
Données exposées : caractéristiques et limites
La nature des données compromises a été détaillée par les différents acteurs en charge de la communication. On constate que les informations divulguées correspondent exclusivement à des données d’identification : nom, prénom, date et rang de naissance, numéro de sécurité sociale, nom de l’assureur, références contractuelles et période de couverture. En revanche, les informations hautement sensibles telles que les données de santé, les informations bancaires, les coordonnées personnelles, les mots de passe, ainsi que les détails relatifs aux soins ou remboursements, n’ont pas été affectées.
Par exemple, Alan précise que ses données de santé restent hébergées dans ses propres infrastructures, assurant ainsi leur sécurité. La MCEN, de son côté, confirme que ses outils digitaux sont opérationnels et n’ont pas été compromis, tandis que CNP Assurances Protection Sociale indique avoir immédiatement renforcé ses dispositifs de surveillance et de sécurité dès la notification de l’attaque.
Une plateforme suspendue et mesures en cours
Face à cette cyberattaque, Almerys a réagi en mettant hors ligne sa plateforme de gestion des demandes de prise en charge, portail ciblé par les hackers. La remise en service est envisagée pour la semaine du 1er juin 2026, sous réserve de résultats d’enquête satisfyants. Pour assurer la continuité du service, des alternatives ont été déployées qui permettent notamment aux professionnels de santé de continuer à adresser leurs demandes, notamment hospitalières, via des espaces dédiés et sécurisés proposés par certains organismes.
Cadre réglementaire et vigilance recommandée
En conformité avec les obligations légales relatives à la protection des données, Alan a informé l’Autorité de contrôle prudentiel et de résolution (ACPR) de l’incident et prépare une déclaration à la Commission nationale de l’informatique et des libertés (CNIL). CNP Assurances Protection Sociale suit une procédure similaire. Ces démarches s’appuient sur les dispositions du Règlement européen sur la protection des données (RGPD) et des articles du Code des assurances qui encadrent la sécurité des données personnelles.
Les organismes concernés avertissent leurs assurés d’une vigilance renforcée, notamment face aux tentatives d’hameçonnage (phishing) ou d’usurpation d’identité potentielles, qui sont des suites fréquentes d’exfiltrations de données. Il est recommandé de ne jamais transmettre d’identifiants ou informations personnelles en réponse à un message non sollicité et de vérifier systématiquement l’authenticité des sollicitations, que ce soit par téléphone, SMS ou courriel.
- Notification obligatoire à l’ACPR et à la CNIL conformément au RGPD (en vigueur en 2026).
- Exclusion des données de santé et bancaires de la fuite, ce qui limite l’impact potentiel sur la confidentialité médicale.
- Mise hors service temporaire du portail d’Almerys, limitant l’exposition immédiatement après l’attaque.
Dans mon exercice de courtier, je rencontre fréquemment des assurés qui sous-estiment souvent les conséquences d’une fuitede données dans le secteur de la santé. Ce que je constate, c’est que même lorsque les données exposées ne comprennent pas d’informations médicales ou bancaires, le risque d’usurpation reste réel, notamment avec des données d’identité qui peuvent être exploitées à des fins frauduleuses. Mon conseil dans ce contexte consiste à privilégier une vigilance accrue aux sollicitations inhabituelles et à vérifier rigoureusement la provenance des communications reçues, tout en restant attentif aux démarches mises en place par votre assureur ou prestataire.
En synthèse, la cyberattaque dont Almerys a été victime en mai 2026 illustre les défis actuels liés à la protection des infrastructures de tiers-payant. Les données identifiantes des assurés ont été compromises, mais les informations les plus sensibles, comme celles relatives à la santé ou aux coordonnées bancaires, semblent épargnées. En conséquence, la vigilance individuelle reste un levier essentiel pour limiter les risques d’utilisation frauduleuse. ZoomAssurance.fr s’engage à fournir une information claire et accessible pour vous aider à comprendre ce type d’incident et ses implications dans le secteur de l’assurance.
Note éditoriale : Cet article est rédigé à titre informatif par Simo Adrif, co-fondateur de ZoomAssurance.fr et courtier en assurance enregistré à l’ORIAS. Il ne constitue pas un conseil en assurance personnalisé au sens de l’article L521-1 du Code des assurances. Les tarifs, garanties et dispositions réglementaires mentionnés sont ceux constatés ou en vigueur en 2026 et sont susceptibles d’évoluer. Pour une analyse adaptée à votre situation personnelle, consultez un courtier ou un conseiller indépendant.
Retrouvez l’ensemble de nos analyses sur les Assureur — l’information assurance vérifiée, accessible à tous.
