Un air de déjà-vu (très, très désagréable)
Pour rappel, Almerys n’en est pas à son coup d’essai. En janvier 2024, l’entreprise, aux côtés de son concurrent Viamedis, avait déjà subi une cyberattaque d’ampleur, exposant les données de plus de 33 millions de personnes, selon la CNIL. Même mode opératoire à l’époque : usurpation d’identifiants de professionnels de santé pour accéder au portail dédié. La CNIL avait ouvert une enquête, annoncé des conclusions « courant 2026 » (on attend toujours), et tout le monde avait hoché la tête gravement avant de passer à autre chose.
Dix-sept mois plus tard, rebelote. Le site spécialisé French Breaches alerte le premier, vendredi 22 mai 2026 : un fichier contenant plus de 44 millions de lignes, dont 15 452 549 numéros de sécurité sociale uniques, serait en vente sur le dark web, attribué à Almerys. 674 organismes de santé potentiellement exposés. Almerys confirme l’attaque le lundi 26 mai. L’assureur Alan, client d’Almerys, avait déjà mis en garde ses adhérents le week-end précédent. Dans la chaîne de l’information aux victimes, tout le monde a pris soin de laisser les autres passer en premier.
Le tiers-payant, c’est quoi ce bazar ?
Pour comprendre pourquoi cette fuite est particulièrement difficile à avaler, il faut saisir ce qu’Almerys fait exactement. L’entreprise est un opérateur technique de tiers-payant : elle est le nœud entre votre mutuelle ou complémentaire santé (MGEN, AG2R, Alan, Camieg et des centaines d’autres) et les professionnels de santé qui réclament leur remboursement. Chaque fois que votre pharmacien swipe votre carte vitale sans vous demander l’avance de frais, quelque part dans un datacenter, Almerys a les mains dans le cambouis de vos données. On vous explique d’ailleurs comment fonctionnent ces infrastructures numériques dans notre dossier sur les datacenters.
Le mode opératoire de mai 2026 est identique à celui de 2024 : usurpation d’un compte gestionnaire, accès au portail de prises en charge, exfiltration en silence. Almerys a précisé que « l’attaque n’est pas la même qu’en 2024 ». Ce qui, en termes de rassurance, équivaut à peu près à dire que la deuxième inondation de votre cave n’emprunte pas exactement les mêmes fissures que la première. C’est exactement le type de faille que notre guide sur les identifiants de connexion compromis documente depuis des mois.
15 millions de sécu sur le dark web, mais « pas de données médicales » (ouf, hein)
Almerys a communiqué sur les données « potentiellement exposées » avec la précision d’un chirurgien sous Xanax. Sont concernés : nom, prénom, date de naissance, numéro de sécurité sociale, nom de l’assureur santé, numéro de contrat, dates de début et fin de couverture. Pas d’adresses, pas de téléphone, pas d’email, pas de données médicales, pas d’informations bancaires, l’entreprise tient à le répéter dans chaque paragraphe de son communiqué, ce qui est une façon assez transparente de demander aux assurés de relativiser.
En réalité, un numéro de sécurité sociale couplé à l’état civil et au nom de l’assureur, c’est un kit de base pour le phishing ciblé, l’usurpation d’identité administrative, la fraude aux remboursements. La CNIL le dit depuis 2024 sans ambages : ces données peuvent être couplées à d’autres informations provenant de fuites antérieures pour des attaques sophistiquées. Et des fuites antérieures, la France en a eu quelques-unes ces derniers mois : Cegedim Santé en février 2026 (15 millions de patients), l’ANTS en avril 2026 (12 millions de comptes). À force d’additionner les fuites, on finit par avoir le profil complet de tout le monde. Comprendre comment ce type de données circule et se monnaye, c’est aussi l’objet de notre article sur les illusions du faux piratage et les vraies conséquences des brèches numériques.
La notification individuelle, enfin, avec une semaine de retard et sans chiffres
C’est l’annonce du 29 mai 2026 qui a mis le feu aux poudres : Almerys indique avoir « adressé à l’ensemble » de ses clients assureurs « la liste » des personnes concernées, ce qui doit permettre aux mutuelles et complémentaires de faire une « communication directe à leurs bénéficiaires ». Autrement dit, ce n’est pas Almerys qui vous prévient, c’est votre mutuelle, et encore, quand elle aura eu le temps de traiter la liste. La Camieg, par exemple, communiquait dès le 25 mai 2026 qu’elle attendait toujours « la liste détaillée » pour contacter ses affiliés.
Combien de victimes au total ? Almerys refuse de le chiffrer. Un professionnel de l’assurance santé évoque, sous couvert d’anonymat, une « vingtaine de millions de personnes ». French Breaches parle de 15 millions de numéros de sécu uniques. La CNIL, contactée, confirme avoir été notifiée mais ne communique aucun chiffre. Dans ce contexte de transparence absolue, les assurés font ce qu’ils peuvent : se morfondre en attendant un email que personne ne sait encore quand il arrivera.
La France, championne toutes catégories de la fuite de données santé
Le rapport annuel 2025 de la CNIL, publié en mai 2026, enfonce le clou avec une élégance particulière : 6 167 violations de données personnelles ont été recensées en France sur l’année 2025, en hausse de 9,5% par rapport à 2024. Le secteur santé concentre une part structurellement disproportionnée de ces incidents, et pour cause : il cumule données sensibles, multiplicité d’acteurs techniques intermédiaires, et une culture de la cybersécurité qui reste, diplomatiquement, perfectible. Notre dossier sur les dernières cyberattaques qui font trembler le monde numérique en dresse un panorama glaçant.
L’affaire Almerys illustre un péché originel du système : externaliser la gestion technique des données de dizaines de millions de personnes à un opérateur privé, sans que les assurés concernés aient aucun moyen de s’y opposer ou même d’en être informés en temps réel. Almerys gère le tiers-payant de mutuelles qui couvrent potentiellement la quasi-totalité de la population active française. C’est la poule aux œufs d’or du pirate : une seule intrusion, des millions de profils. La deuxième tentative, visiblement, c’était pour voir si la sécurité avait progressé depuis 2024. La réponse est connue.
Si vous voulez comprendre les mécanismes techniques qui rendent ce genre d’attaque possible, notre article sur le rôle des hackers éthiques dans la détection des failles donne des clés concrètes. Et pour ceux qui gèrent des données personnelles en entreprise, notre guide sur les fondamentaux de la sécurité des données reste d’une actualité brûlante.
En attendant, si vous avez une mutuelle qui fait appel à Almerys, et il y a pas mal de chances que ce soit le cas, la CNIL recommande de se rendre sur cybermalveillance.gouv.fr et de rester vigilant face aux emails, SMS ou appels téléphoniques qui vous demanderont, dans les semaines à venir, de « confirmer vos informations » pour telle ou telle raison très sérieuse. Vous voilà prévenus. Almerys, elle, mettra peut-être un peu plus de temps.
Un journaliste citoyen depuis plus de 20 ans qui alimente de nombreuses thématiques de magazine en ligne.
