Le brief du 12 février 2024

Publié dans DroitSécurité

34

Prestataires du tiers payant : le parquet de Paris ouvre une enquête

À côté d'une patiente âgée, un médecin observe une radio dentaire.

Suite aux plaintes déposées par Viamedis et Almerys, les deux prestataires du tiers payant qui ont été piratés, le parquet de Paris a indiqué vendredi avoir ouvert une enquête pour « atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit », explique le site du Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA).

Pour rappel, ce piratage a permis la fuite de données – état civil, la date de naissance, le numéro de sécurité sociale, le nom de leur assureur santé ainsi que les garanties ouvertes au tiers payant – de la moitié des français.

Le GIP ACYMA rappelle qu' « en complément des plaintes déjà déposées par les mutuelles et prestataires concernés, vous avez également la possibilité de déposer plainte si vous le souhaitez ».

Il propose en ce sens un formulaire de lettre-plainte électronique [PDF] permettant de porter plainte sans se rendre au commissariat ou en gendarmerie. Celui-ci peut être soit envoyé via la plateforme France transfert soit par courrier postal.

34

Tiens, en parlant de ça :

#Flock fait son cinéma

Huahu ahu ouin ouin ouiiin... Vous l'avez ?

13:37 Flock 23

Le fichier des empreintes digitales sera interconnecté avec huit autres fichiers

FAED y verse

17:24 DroitSécu 9
Les logos de Facebook et Meta dans des carrés en 3D sur un fond grisé dégradé

Le ciblage publicitaire ne peut pas utiliser des données personnelles récupérées ailleurs

Schrems vs Meta, encore et encore

16:53 DroitSocials 8
next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

34

Fermer

Commentaires (34)


Arcy Abonné
Le 12/02/2024 à 08h 19
J'ai reçu un mail de mon ancienne mutuelle comme quoi elle était concerné. Il y a un intérêt quelconque a porter plainte (demander des dommages et intérêts, ...) ?
potn Abonné
Le 12/02/2024 à 08h 42
Comment se fait-il qu'elle ai encore vos données, si c'est une ANCIENNE mutuelle ?
SebGF Abonné
Le 12/02/2024 à 09h 01

potn

Comment se fait-il qu'elle ai encore vos données, si c'est une ANCIENNE mutuelle ?
Délai de conservation légal ? Je sais qu'il y en a (même assez long) dans le secteur des assurances, donc peut être que les mutuelles ont aussi des obligations en ce sens.
Thorgalix_21 Abonné
Le 12/02/2024 à 12h 52

SebGF

Délai de conservation légal ? Je sais qu'il y en a (même assez long) dans le secteur des assurances, donc peut être que les mutuelles ont aussi des obligations en ce sens.
Comme tu peux faire des recours sur des remboursements de prestations pendant 2 ans, il faut a minima conserver les données 2 ans.
Azdhar64 Abonné
Le 14/02/2024 à 23h 20

potn

Comment se fait-il qu'elle ai encore vos données, si c'est une ANCIENNE mutuelle ?
C'est dû au délai de conservation légal. De mémoire, ça va jusque 10 ans après la résiliation du contrat.
psychopatt Abonné
Le 13/02/2024 à 10h 28
Il y a un intérêt quelconque a porter plainte (demander des dommages et intérêts, ...) ?


Quelqu'un a une réponse à cette partie du message ?


Edit : side question, comment on fait pour un bloc de citation correct ?
Modifié le 13/02/2024 à 10h30

Historique des modifications :

Posté le 13/02/2024 à 10h28


Il y a un intérêt quelconque a porter plainte (demander des dommages et intérêts, ...) ?


Quelqu'un a une réponse à cette partie du message ?

Vader_MIB Abonné
Le 14/02/2024 à 11h 58

psychopatt

Il y a un intérêt quelconque a porter plainte (demander des dommages et intérêts, ...) ?


Quelqu'un a une réponse à cette partie du message ?


Edit : side question, comment on fait pour un bloc de citation correct ?
Je vais porter plainte moi-même pour la raison que si l'enquête détermine au passage que ces sociétés n'ont pas accompli leurs diligences propres pour parer à cette fuite, les plaintes pèseront contre elles. Parce que la question non répondue par l'information que j'ai reçue de ma mutuelle, c'est si ces sociétés ont aussi une part de responsabilité, et si elles ont pris des mesures préventives et curatives adéquates.
Si elles méritent une baffe pour n'avoir pas bien sécurisé mes données, ça me soulage de leur filer.
dylem29 Abonné
Le 12/02/2024 à 08h 19
Et nous, on dépose comment plainte contre "Viamedis et Almery" ? :D
woci Abonné
Le 12/02/2024 à 08h 26
J'ai justement l'impression que c'est ce que propose cybermalveillance.gouv.fr. Je me pose aussi la question de l'intérêt. Est-ce qu'ils ont mis un formulaire pour nous inciter à l'utiliser (par exemple pour montrer le tollé populaire suscité - je rêve ? 😁) ou pour éviter d'être noyés sous des demandes sous des formes diverses.
127.0.0.1
Le 12/02/2024 à 09h 38
La fameuse doctrine du "Si tu es victime c'est de ta faute car tu aurais dû mieux te protéger".

:roll:
ZeMeilleur Abonné
Le 12/02/2024 à 16h 57

127.0.0.1

La fameuse doctrine du "Si tu es victime c'est de ta faute car tu aurais dû mieux te protéger".

:roll:
La responsabilité partagée est bien dans l'esprit du RGPD, car ici les victimes ne sont pas seulement Viamedis et Almery, mais les X millions de patients.

Le code pénal sanctionne l'accès frauduleux dans un SI.
Le RGPD sanctionne le fait de ne pas pris toutes les précautions dès la conception du produit ou du service. Surtout quand on manipule des numéros de sécu, données sensibles au sens RGPD.

Le fait qu'un professionnel de santé puisse accéder à la totalité de la base sans limite est au moins intrigant.

Je me dis qu'il faudrait vraiment un BEA informatique, qui ferait un audit systématique en cas d'incident significatif, avec rapports publics, recommandations suivies et tout le toutim.
Black Lotus 97.4
Le 14/02/2024 à 21h 26

ZeMeilleur

La responsabilité partagée est bien dans l'esprit du RGPD, car ici les victimes ne sont pas seulement Viamedis et Almery, mais les X millions de patients.

Le code pénal sanctionne l'accès frauduleux dans un SI.
Le RGPD sanctionne le fait de ne pas pris toutes les précautions dès la conception du produit ou du service. Surtout quand on manipule des numéros de sécu, données sensibles au sens RGPD.

Le fait qu'un professionnel de santé puisse accéder à la totalité de la base sans limite est au moins intrigant.

Je me dis qu'il faudrait vraiment un BEA informatique, qui ferait un audit systématique en cas d'incident significatif, avec rapports publics, recommandations suivies et tout le toutim.
Il est logique que le professionnel de santé puisse accéder à la totalité de la base de données puisque le principe c'est de vérifier si le patient a une mutuelle ou non.
Tout le monde parle de piratage, ça me semble plutôt un abus de langage et le terme '"atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit " utilisé par le parquet me semble bien plus approprié.
On pourrait par contre reprocher aux prestataires de ne pas avoir mis de limite maximale de données récoltés sur un temps imparti (sur quelle durée précisément, impossible de le savoir pour le moment).
Humble Abonné
Le 12/02/2024 à 08h 36
Et comment peut-on déterminer si l'on fait parti des victimes ?
gouge_re Abonné
Le 12/02/2024 à 08h 50
Si sur ta carte de tiers payant tu as un des logos ou mention de Viamédis ou Almerys, alors tu es concerné.

Après dans la presse généraliste ils disaient que Viamedis était partenaire des réseaux Cartes Blanche, Itelis... Si quelqu'un a des infos sur le fait que ceux-ci soient aussi impactés, ça peut toujours etre utile (et faire monter le nombre EE potentielles "victimes")
Gamble
Le 12/02/2024 à 11h 03

gouge_re

Si sur ta carte de tiers payant tu as un des logos ou mention de Viamédis ou Almerys, alors tu es concerné.

Après dans la presse généraliste ils disaient que Viamedis était partenaire des réseaux Cartes Blanche, Itelis... Si quelqu'un a des infos sur le fait que ceux-ci soient aussi impactés, ça peut toujours etre utile (et faire monter le nombre EE potentielles "victimes")
Valable pour les cartes de tiers payant de 2024, 2023 et qui sait combien d'autres années, car les mutuelles changent parfois de prestataires. C'est le cas de Mercer qui passait par Viamedis pour l'optique en 2023, mais plus en 2024
Modifié le 12/02/2024 à 11h04

Historique des modifications :

Posté le 12/02/2024 à 11h03


Valable pour les cartes de tiers payant de 2024, 2023 et qui sait combien d'autres années, car les mutuelles changent parfois de prestataires. C'est la cas de Mercer qui passait par Viamedis pour l'optique en 2023, mais plus en 2024

Vader_MIB Abonné
Le 14/02/2024 à 11h 55
Perso j'ai été informé par ma mutuelle.
Hun-k
Le 12/02/2024 à 09h 10
D'ici peu nous allons apprendre qu'il s'agit juste d'un adolescent, tout seul dans sa chambre.
il a du acquérir un outil sur AlphaBay avant la fermeture :transpi:
JoePike
Le 12/02/2024 à 09h 57
Tout le monde parle de mutuelle
Mais perso je n'ai pas de mutuelle mais je suis bien au tiers payant
Suis je concerné ?
Gamble
Le 12/02/2024 à 11h 07
Dans ce cas, tu n'as que le tiers payant de la Sécurité Sociale, et donc un reste à charge plus ou moins important car tu n'apparais probablement pas dans les réponses des prestataires du tiers payant (qui concerne les mutuelles et te permet de ne rien payer quand tu vas chez certains médecins, car c'est directement pris en charge par la mutuelle). Sauf si tu es couvert pas la CMU ou d'autres cas particuliers, bien sûr.
Modifié le 12/02/2024 à 11h11

Historique des modifications :

Posté le 12/02/2024 à 11h07


Dans ce cas, tu n'as que le tiers payant de la Sécurité Sociale, et donc un reste à charge plus ou moins important car tu n'apparais probablement pas dans les réponses des prestataires du tiers payant (qui concerne les mutuelles et te permet de ne rien payer quand tu vas chez certains médecins, car c'est directement pris en charge par la mutuelle)

Posté le 12/02/2024 à 11h10


Dans ce cas, tu n'as que le tiers payant de la Sécurité Sociale, et donc un reste à charge plus ou moins important car tu n'apparais probablement pas dans les réponses des prestataires du tiers payant (qui concerne les mutuelles et te permet de ne rien payer quand tu vas chez certains médecins, car c'est directement pris en charge par la mutuelle). Sauf si tu es couvert pas la CMU ou d'autres cas particuliers, bien sûr.

durthu Abonné
Le 12/02/2024 à 11h 17
Tiers payant veut dire que l'organisme (sécurité sociale ou mutuelle) paye directement le professionnel de santé.
Tu n'as donc pas à faire l'avance des frais de santé.
Si tu n'as pas de mutuelle (obligatoire normalement via ton employeur), tu es peut être à la CMU ?
fred42 Abonné
Le 12/02/2024 à 11h 30

durthu

Tiers payant veut dire que l'organisme (sécurité sociale ou mutuelle) paye directement le professionnel de santé.
Tu n'as donc pas à faire l'avance des frais de santé.
Si tu n'as pas de mutuelle (obligatoire normalement via ton employeur), tu es peut être à la CMU ?
Il ne travaille plus, je crois me souvenir. .

Et on dit mutuelle même quand il s'agit d'une compagnie d'assurance. Il vaudrait mieux dire : complémentaire santé.
JoePike
Le 12/02/2024 à 23h 20

fred42

Il ne travaille plus, je crois me souvenir. .

Et on dit mutuelle même quand il s'agit d'une compagnie d'assurance. Il vaudrait mieux dire : complémentaire santé.
Mais je sais très bien comment ça se passe je demande simplement par rapport à l'article
Depuis le début on parle de piratage pour les prestataires du tiers payants et tous les commentaires semblent en conclure que cela n'a à voir qu'avec les mutuelles ou les assurances santé
Je me demande donc si les données volées concernent ceux qui n'ont aucune mutuelle ou assurance supplémentaire.
Ou d'une autre façon : est ce que Viamedis et Almerys sont utilisés pour gérer le tiers payant entre les mèdecins / pharmacies et Ameli

Soriatane Abonné
Le 13/02/2024 à 06h 03

JoePike

Mais je sais très bien comment ça se passe je demande simplement par rapport à l'article
Depuis le début on parle de piratage pour les prestataires du tiers payants et tous les commentaires semblent en conclure que cela n'a à voir qu'avec les mutuelles ou les assurances santé
Je me demande donc si les données volées concernent ceux qui n'ont aucune mutuelle ou assurance supplémentaire.
Ou d'une autre façon : est ce que Viamedis et Almerys sont utilisés pour gérer le tiers payant entre les mèdecins / pharmacies et Ameli

Non, pas avec Ameli. Les professionnels de Santé (PS) ont leur propre interface pour les CPAM (et cette interface - AmeliPro - a augmenté ses exigences de sécurité récemment). Les. CPAM, ont leur propres collecteurs pour le flux SESAM-Vitale / NOÉMIE et ils ne me semblent pas que cela passe par Viamédis& Co.
Modifié le 13/02/2024 à 06h05

Historique des modifications :

Posté le 13/02/2024 à 06h03


Non, pas avec Ameli. Les professionnels de Santé (PS) ont leur propre interface pour les CPAM (et cette interface - AmeliPro - a augmenté ses exigences de sécurité récemment). Les. CPAM, ont leur propres collecteurs pour le flux SESAM-Vitale / NOÉMIE et ils ne semblent pas que cela passe par Viamédis& Co.
Pour les mutuelles, c'est PS Viamédis/Almérys/iSanté/ autres Mutuelles X/Y/Z

Posté le 13/02/2024 à 06h04


Non, pas avec Ameli. Les professionnels de Santé (PS) ont leur propre interface pour les CPAM (et cette interface - AmeliPro - a augmenté ses exigences de sécurité récemment). Les. CPAM, ont leur propres collecteurs pour le flux SESAM-Vitale / NOÉMIE et ils ne me semblent pas que cela passe par Viamédis& Co.
Pour les mutuelles, c'est PS Viamédis/Almérys/iSanté/ autres Mutuelles X/Y/Z

JoePike
Le 13/02/2024 à 08h 45

Soriatane

Non, pas avec Ameli. Les professionnels de Santé (PS) ont leur propre interface pour les CPAM (et cette interface - AmeliPro - a augmenté ses exigences de sécurité récemment). Les. CPAM, ont leur propres collecteurs pour le flux SESAM-Vitale / NOÉMIE et ils ne me semblent pas que cela passe par Viamédis& Co.
Ah OK merci c'était le sens de ma question
:chinois:
JoePike
Le 12/02/2024 à 23h 23

durthu

Tiers payant veut dire que l'organisme (sécurité sociale ou mutuelle) paye directement le professionnel de santé.
Tu n'as donc pas à faire l'avance des frais de santé.
Si tu n'as pas de mutuelle (obligatoire normalement via ton employeur), tu es peut être à la CMU ?
Non je n'utilise aucune complémentaire ( c'est mon choix )
durthu Abonné
Le 13/02/2024 à 10h 22

JoePike

Non je n'utilise aucune complémentaire ( c'est mon choix )
Et c'est ton droit !!
Soriatane Abonné
Le 13/02/2024 à 22h 28

durthu

Et c'est ton droit !!
Avec l'obligation aux employeurs de fournir une complémentaire à leurs salariés, refuser ou prendre une mutuelle es-ce encore un droit exerçable?
Modifié le 13/02/2024 à 22h42

Historique des modifications :

Posté le 13/02/2024 à 22h28


Avec l'obligation aux employeurs de fournir une complémentaire à leurs salariés, refuser ou prendre une mutuelle es-ce encore un droit exerçable?

durthu Abonné
Le 14/02/2024 à 10h 53

Soriatane

Avec l'obligation aux employeurs de fournir une complémentaire à leurs salariés, refuser ou prendre une mutuelle es-ce encore un droit exerçable?
Il doit y avoir moyen de contourner l'obligation.
J'ai deux employeurs, le deuxième ne m'a pas demandé de justificatif quand j'ai refusé la mutuelle obligatoire.
Ce n'est surement pas légal de sa part mais ça a fonctionné.
Jarodd Abonné
Le 12/02/2024 à 11h 27
Je n'ai reçu aucune alerte. Suis-je dans la moitié des français qui n'ont pas été piratés ? Comment peut-on déterminer le tiers utilisé par sa mutuelle ?
SebGF Abonné
Le 12/02/2024 à 12h 58
C'est indiqué sur la carte d'attestation de tiers payant, au dos de celle-ci, sous le lexique des codes.
Jarodd Abonné
Le 12/02/2024 à 18h 33

SebGF

C'est indiqué sur la carte d'attestation de tiers payant, au dos de celle-ci, sous le lexique des codes.
Merci :smack: J'ai un logo Kalixia, pas concerné donc.
wanou2 Abonné
Le 13/02/2024 à 07h 00

Jarodd

Merci :smack: J'ai un logo Kalixia, pas concerné donc.
Je ne suis pas sur, Kalixia est la maison mère de viamedis (Kalixia c'est un réseau de santé et Viamedis un opérateur de tiers payant).
Jarodd Abonné
Le 13/02/2024 à 09h 24

wanou2

Je ne suis pas sur, Kalixia est la maison mère de viamedis (Kalixia c'est un réseau de santé et Viamedis un opérateur de tiers payant).
Si Kalixia est INpacté mais que les adhérents ne sont pas informés, c'est pire...
Yeocti Abonné
Le 12/02/2024 à 11h 57
Ma complémentaire santé m'a informé de cette cyberattaque.

« Notre opérateur de tiers-payant Almerys a subi une cyberattaque la semaine dernière. Cette information est parue dans la presse et nous souhaitons vous rassurer sur le sujet. »

Mais à priori je ne dois pas m'inquiéter car :

« Almerys nous certifie que ses systèmes informatiques n'ont pas subi d'intrusion ou de dommage. »

Je me demande bien comment les données personnelles détenues par Almerys se sont retrouvés dans la nature du coup...