Un incident de sécurité a eu lieu le 16 mars 2022 à la Caisse Nationale de l’Assurance Maladie. Les données à caractère personnel de 510 000 assurés ont été dérobés. Ces données contiennent :

  • le nom, prénom, date de naissance et sexe du patient ;
  • le numéro de Sécurité sociale du patient ;
  • le nom du médecin traitant du patient ;
  • les données relatives au droit du patient.

La CNAM a indiqué dans un communiqué que l’accès non autorisé à ces données a été réalisé sur sa plateforme AMELIPRO en utilisant les comptes de 19 professionnels, dont l’accès à l’adresse e-mail avait été compromis.

Les personnes concernées par cet incident ont été contactées par la CNAM.

« En fin de semaine dernière, l’Assurance Maladie a détecté que des personnes non autorisées ont réussi à se connecter à des comptes amelipro, réservés aux professionnels de santé.

Il ressort des premières analyses que les attaquants ont pu se connecter à des comptes dont les adresses e-mail avaient été compromises (19 comptes de professionnels de santé ont été identifiés).

Via ces connexions, les attaquants ont procédé à des interrogations « en chaîne », avec l’utilisation d’un robot, d’un service dénommé « Infopatient » donnant accès à partir de numéros de sécurité sociale à certaines informations administratives d’assurés. Les données concernées sont les données d’identité (nom, prénom, date de naissance, sexe), numéro de sécurité sociale, ainsi que des données relatives aux droits (déclaration d’un médecin traitant, attribution de la complémentaire santé solidaire ou de l’aide médicale d’Etat, éventuelle prise en charge à 100%). Les coordonnées de contact (email, adresse, téléphone) et coordonnées bancaires, ainsi que les données relatives aux éventuelles pathologies / maladies et à la consommation de soins, ne sont pas concernées.

Dès l’identification de l’attaque et des comptes à l’origine de ces sollicitations anormales du service Infopatient, les adresses IP concernées ont été bannies et les comptes des professionnels de santé réinitialisés. De plus, l’Assurance Maladie continue de surveiller les éventuelles anomalies d’identification aux téléservices du portail amelipro.

En l’état des investigations, qui se poursuivent, 510 000 assurés sont concernés par cette fuite de données. Ceux-ci seront informés individuellement de cet incident et sensibilisés au risque accru de hameçonnage dont ils pourraient faire l’objet.

Une information est également prévue à destination des professionnels de santé afin de les inviter à renforcer la sécurisation de leur compte amelipro.

L’Assurance Maladie a adressé une notification à la CNIL le 16 mars 2022 et dépose ce jour une plainte pénale. »