Les données de plus de 33 millions de personnes en France, soit environ la moitié de la population, ont été compromises lors d'une cyberattaque fin janvier, selon l'autorité française de protection des données.

La Commission Nationale Informatique et Libertés (CNIL) annoncé Deux compagnies d'assurance maladie, Viamedis et Almerys, ont été informées de l'incident cette semaine.

Les données concernent les assurés et leurs familles et comprennent « l'état civil, la date de naissance et le numéro de sécurité sociale, le nom de l'assureur maladie et les garanties du contrat conclu », précise-t-on.

Heureusement, contrairement à l’incident de l’assureur maladie australien Medibank, les dossiers médicaux et les données de traitement n’ont pas été compromis.

La CNIL a déclaré que les assureurs maladie sont directement responsables de l'information des personnes concernées, mais il est demandé aux citoyens de se méfier d'éventuelles tentatives de phishing visant à les escroquer.

La CNIL a averti que même si les coordonnées des assurés n'étaient pas affectées par la violation, « il est possible que les données violées puissent être combinées avec d'autres informations provenant de violations de données antérieures » pour commettre d'autres délits.

L'autorité de protection des données a indiqué que compte tenu de l'ampleur de l'incident, elle « a décidé de mener des enquêtes très rapidement, notamment pour déterminer si les mesures de sécurité prises avant l'incident et en réponse à celui-ci étaient adéquates au regard des obligations du RGPD ».

S'il s'avère que les entreprises n'ont pas pris les mesures de cybersécurité requises par les règles de l'UE RGPD (Règlement général sur la protection des données), les entreprises pourraient être condamnées à une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % de leur chiffre d'affaires global, le montant le plus élevé étant retenu.

L'attaque du ransomware Medibank a provoqué un désespoir généralisé en Australie lorsque les criminels ont commencé à publier des données sensibles sur les allégations de santé d'environ 480 000 personnes, y compris des informations sur le traitement de la toxicomanie et les avortements, afin de les faire chanter.

L'Australie, ainsi que le Royaume-Uni et les États-Unis, ont publiquement identifié le mois dernier l'auteur présumé comme étant le pirate informatique russe Aleksandr Ermakov et lui ont imposé des sanctions financières et des interdictions de voyager.

Correction : Une version antérieure de cette histoire avait mal orthographié le nom de la compagnie d'assurance maladie d'Almery.