Deux semaines après la cyberattaque des deux opérateurs de tiers payant, les 33 millions d’assurés concernés sont toujours dans le flou quant aux conséquences du vol massif de leurs données personnelles. Le temps éloignera les craintes, mais les risques d’usurpation d’identité et de phishing vont planer très longtemps… ou bien disparaître.
Le RGPD (règlement européen sur la protection des données) contraint les entreprises victimes de fuites de données à informer leurs clients. C’est ce qui explique que nous ayons eu connaissance de la cyberattaque d’ampleur inédite dont ont été victimes Viamedis et Almerys entre le 21 janvier et le 4 février dernier. Il faut dire que ces deux opérateurs de tiers payants ont en leur possession les données personnelles de 33 millions d’assurés (leur rôle est de gérer pour le compte des mutuelles les avances de frais et la télétransmission de nos actes médicaux). Voilà donc les victimes informées que leur numéro de Sécurité sociale, leur état civil, leurs nom et prénom et leur date de naissance sont dans la nature. Les garanties couvertes par le tiers payant et le numéro de contrat de leur mutuelle, aussi. Dès lors, que faire ? Changer les mots de passe de son compte Ameli, de l’accès à l’espace client de sa mutuelle ? Cette précaution d’usage habituelle ne changera rien : les données ont fuité. Changer régulièrement ses mots de passe reste un basique d’une bonne hygiène numérique.
Un risque d’usurpation d’identité plus que de phishing
Les opérateurs de tiers payants n’ont pas cité les adresses e-mail, ni les numéros de téléphone parmi les données dérobées. Ceci éloigne un peu les risques de tentatives de phishing, à moins que les pirates ne parviennent à associer ces informations à celles de leurs propriétaires en recoupant plusieurs sources. « Cela demanderait beaucoup de temps et d’énergie à un pirate que de regrouper d’autres données, via les réseaux sociaux par exemple. Pas sûr que l’opération soit rentable pour lui », décrypte Damien Bancal, expert en cybersécurité et auteur du très instructif site Zataz.com. Ne baissez pas pour autant votre vigilance en cas d’appels téléphoniques et d’e-mails suspects.
Cette fuite massive de données fait davantage planer un risque élevé d’usurpation d’identité. Mais là, reste à croiser les doigts pour ne pas en être victime, car il est impossible de s’en prémunir.
