Le prestataire de tiers payant Almerys a annoncé, le 22 mai, en début en soirée, être victime d’une cyberattaque potentielle sur son site de demandes de prises en charge, exposant les données personnelles de bénéficiaires de plusieurs organismes complémentaires d’Assurance maladie. Dès la détection de l’intrusion, le portail de demandes de prises en charge a été fermé en milieu d’après-midi.

L’incident sera ensuite confirmé le 24 mai, confirmant également la nature des données personnelles des bénéficiaires qui avaient été exfiltrées : nom, prénom, date de naissance, rang de naissance, numéro de sécurité sociale, nom de l’assureur santé, numéro de contrat, dates de début et de fin de couverture.

Selon les investigations menées par Almerys, aucune donnée de santé, bancaire ou de contact n’est en revanche concernée. Le périmètre affecté couvre les prises en charge optiques, audioprothèses, dentaires hors DENTAMC et hospitalières hors ROC. Les circuits DENTAMC, ROC et la plateforme de tiers payant sont restés opérationnels.

Dès le matin du 22 mai, avant toute communication officielle d’Almerys, notre Cabinet vous alertait sur la base d’informations circulant sur certains réseaux, faisant état d’un fichier de près de 44 millions de lignes dont 15 millions de NIR, chiffres non confirmés par Almerys mais qui illustrent l’ampleur potentielle de l’exposition.

Publié en mai 2026, le rapport d’activité 2025 de l’ANSSI dresse un bilan complet de l’action de l’agence et de l’état de la menace cyber en France. Pour les organismes d’assurance soumis à DORA, plusieurs signaux méritent une attention particulière.

L’ANSSI a traité 1 366 incidents confirmés en 2025, un niveau quasi identique à 2024. Les environnements cloud sont explicitement désignés comme cibles prioritaires, avec des attaques menées à des fins d’espionnage, d’extorsion et de déstabilisation. Pour les organismes ayant externalisé tout ou partie de leur SI, cette tendance renforce les exigences de surveillance des tiers portées par DORA, notamment la cartographie des prestataires TIC les plus critiques et les clauses contractuelles de notification d’incident TIC (illustrées par l’exemple récent de la cyberattaque Almerys).

Le rapport annuel de l’ANSSI, publié le 11 mars 2026, confirme un niveau de cybermenace stable mais toujours aussi élevé : 1 366 incidents traités en 2025 contre 831 en 2022. Les trois motivations dominantes restent l’extorsion financière, l’espionnage et la déstabilisation.

Les PME, TPE et ETI concentrent 48 % des victimes de rançongiciels (« ransomware »). Les organismes assureurs sont exposées à ce titre, mais surtout via leurs prestataires : l’ANSSI documente plusieurs cas où la compromission d’un prestataire s’est étendue à ses clients, entraînant des interruptions de services de ces derniers.

Les environnements cloud hébergeant des applications SaaS métier sont désormais explicitement ciblés, ce qui renforce l’importance de PCA-PRA adaptés et de clauses contractuelles solides avec les prestataires, d’autant que le Cyber Resilience Act imposera à partir de septembre 2026 à ces derniers de signaler au CERT-FR toute vulnérabilité activement exploitée.

Les vols de données progressent fortement (196 incidents en 2025 contre 130 en 2024), avec des implications directes en matière de notification CNIL. Le défaut de mises à jour des équipements réseau reste le premier vecteur d’intrusion, tandis que l’ingénierie sociale (phishing, faux support technique, etc.) et l’usage offensif de l’IA générative complètent ainsi le tableau des cybermenaces.

Consultez ici l’intégralité du document : Panorama de la cybermenace 2025 (ANSSI, mars 2026)