Les deux principaux opérateurs de gestion de Tiers-Payant français Viamedis* et Almerys ont été victimes de plusieurs cyberattaques coordonnées, du 31 janvier au 5 février 2024. D’une ampleur inédite, ces attaques ont impacté l’ensemble des acteurs du marché dont Hélium fait partie.
Concernant la gestion Hélium, Viamedis permet uniquement l’accès au Tiers-Payant complexe (optique, audioprothèse et dentaire) pour les réseaux de soins Itelis et Kalixia.
Selon les informations transmises par Viamedis, ces attaques ont entrainé l’exposition des données personnelles de nos bénéficiaires : civilité, nom, prénom, date de naissance, rang de naissance, numéro de Sécurité sociale, numéro d’adhérent, les garanties ouvertes, en plus du nom d’Hélium et du porteur de risques.
Certaines autres données ne sont en revanche pas concernées : informations bancaires, données médicales, données liées aux remboursements de santé, coordonnées postales, numéro de téléphone, adresse mail.
L’attaque envers Almerys n’a eu aucun impact sur Hélium qui ne travaille pas avec cet acteur.
Viamedis n’a pas tardé pour réaliser une déclaration auprès de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et déposé plainte auprès du procureur de la République. Au regard de sa responsabilité en matière de RGPD, Viamedis a également réalisé une notification auprès de la CNIL, tout comme Hélium.
En parallèle, et en toute transparence, Hélium a tenu rapidement informés ses clients et assurés de la situation et des démarches mises en place pour protéger leurs données. En réponse à cet événement, la cellule de crise d’Hélium a été activée.
Hélium a renforcé la sécurité de ses systèmes
Afin d’éviter toutes utilisations frauduleuses des comptes de ses assurés, Hélium a mis en place les mesures suivantes :
- Les systèmes de contrôle interne ont été renforcés sur les flux de Tiers-Payant complexe, sur l’enregistrement et l’utilisation des coordonnées bancaires ainsi que sur les éléments de connaissance client
- Une importante sensibilisation des plateformes de relation client a été réalisée pour leur identification
- Des messages d’information ont été mis en place sur les espaces en ligne
- Certaines fonctionnalités ont été bloquées temporairement en attendant des mesures de sécurité renforcées sur l’espace Assuré et l’application mobile Hélium
Hélium a fait le nécessaire pour renforcer la sécurité de ses espaces en ligne, notamment celui dédié à ses assurés. Pour toute nouvelle création de compte, ils doivent désormais confirmer 4 informations les concernant : numéro adhérent Hélium, numéro de Sécurité sociale, date de naissance et 4 derniers chiffres de leur IBAN utilisé pour le versement des prestations.
Pour tout changement de mot de passe, les assurés recevront maintenant un mail pour confirmer leur demande de réinitialisation.
Les équipes informatiques d’Hélium poursuivent leurs actions de sécurisation. Une nouvelle procédure concernant la mise à jour des données personnelles des assurés depuis leur espace en ligne sera mise en place dans les prochains jours.
En tant que partenaire santé, Hélium accompagne les entreprises et leurs salariés
Hélium a également mis en place un numéro dédié pour répondre à toutes les questions concernant cette cyberattaque : 03 52 62 06 03
Le gouvernement a mis en place un formulaire de lettre-plainte électronique qui permet de faire valoir ses droits. Cette plateforme permet aux victimes de porter plainte sans avoir à se rendre dans un commissariat ou une gendarmerie. En revanche, seuls les particuliers ayant été informés par leur mutuelle ou complémentaire santé que leurs données sont susceptibles d’avoir fuité peuvent déposer plainte.
Dans ces circonstances, notre cellule de crise restera en alerte jusqu’à la clôture complète des événements. Nos équipes restent mobilisées, à l’écoute et continueront à informer les clients d’Hélium via leur espace en ligne.
*Viamedis sert notamment au Tiers-Payant complexe pour les réseaux de soins Itelis et Kalixia. Seule la gestion des dossiers de Tiers-Payant en optique, dentaire et audioprothèse, pour ces réseaux de soins, est impactée.