Fuite Almerys : 15 millions de numéros de Sécu volés, votre dossier médical à l’air libre ?
Nouvelle onde de choc pour la santé numérique en France. Ce lundi 25 mai 2026, la mutuelle Alan a confirmé qu’Almerys, le géant du tiers payant, a été la cible d’une cyberattaque d’envergure. Cette fuite de données massive expose plus de 44 millions de lignes d’informations, mettant en péril les numéros de Sécurité sociale et l’état civil de 15,4 millions de Français. Alors qu’il s’agit de la deuxième brèche majeure pour l’opérateur en à peine deux ans, comment savoir si votre complémentaire santé est touchée, quels sont les risques réels d’usurpation d’identité et comment sécuriser efficacement vos accès administratifs ?
Piratage confirmé : L’opérateur de tiers payant Almerys a subi une intrusion frauduleuse critique sur sa plateforme de prise en charge.
Volume massif : Plus de 44 millions de lignes de données compromises, incluant 15,4 millions de numéros de Sécurité sociale uniques.
Organismes touchés : Plusieurs grandes mutuelles sont impactées, notamment Alan, MGEN, Harmonie Mutuelle, AG2R, Humanis et Generali.
Récidive systémique : C’est la deuxième fuite majeure d’Almerys en 2 ans, après celle de janvier 2024 (33 millions de victimes).
Données préservées : Les coordonnées bancaires (RIB), les mots de passe, les coordonnées de contact et les dossiers médicaux sont sains.
Ce qui s’est passé : le maillon faible de la santé numérique française craque à nouveau
Le 22 mai 2026, Alan, la mutuelle santé licorne fondée par Jean-Charles Samuelian et Charles Gorintin, envoyait un email inquiétant à tous ses adhérents. Son prestataire de tiers payant, Almerys, venait d’être victime d’une intrusion frauduleuse sur sa plateforme de prise en charge. Les conséquences sont massives : plus de 15 millions de numéros de Sécurité sociale, associés à des données d’état civil et des informations de contrats de mutuelle, ont été dérobés et sont actuellement proposés à la vente sur des forums cybercriminels.
Le plus frappant dans cette affaire n’est pas seulement l’ampleur des données volées. C’est que Almerys subit son deuxième piratage majeur en deux ans. En janvier 2024, une attaque conjointe contre Almerys et son concurrent Viamedis avait déjà exposé les données de plus de 33 millions de Français. Deux ans plus tard, le même acteur, traitant les mêmes données sensibles, se fait de nouveau pirater. La question qui fâche : qu’a-t-on vraiment fait entre temps pour protéger ces informations ?
La chronologie de l’attaque
Date
Événement Cyber
21 mai 2026
Le hacker “Lagui” revendique publiquement le piratage d’Almerys sur un forum cybercriminel réputé.
22 mai 2026
Almerys confirme la brèche et informe la mutuelle Alan. La plateforme de prise en charge est isolée hors service.
23 mai 2026
Alan publie sa notice d’information officielle et notifie la CNIL/ACPR. Le parquet de Paris ouvre une enquête pénale.
24 mai 2026
Alan et les mutuelles partenaires entament l’envoi de notifications individuelles par e-mail à l’ensemble des victimes.
Qui est Almerys et pourquoi cette fuite est-elle si critique ?
Almerys n’est pas une startup inconnue. Créée en 2000 et basée à Clermont-Ferrand avec des bureaux à Paris, cette entreprise est l’un des principaux opérateurs de tiers payant en France. Elle traite quotidiennement les flux de données entre les professionnels de santé (médecins, opticiens, audioprothésistes, hôpitaux), les mutuelles complémentaires et les patients. Son rôle : gérer les demandes de prise en charge et les remboursements pour des millions d’assurés.
Le problème, c’est que cette position centrale fait d’Almerys une cible de choix. L’entreprise sert 20 millions d’assurés via un réseau de 84 organismes de santé. C’est un concentré de données sensibles : numéros de Sécurité sociale, états civils, informations de contrats, liens familiaux entre ayants droit. Pour un cybercriminel, c’est une mine d’or.
Quelles données ont été volées exactement ?
Selon les informations confirmées par Alan et les échantillons analysés par les chercheurs en cybersécurité, les données dérobées comprennent :
🔴 Données compromises
Numéros de Sécurité sociale (NIR) : 15,4 millions d’identifiants uniques.
État civil complet : Nom, prénom, date et rang de naissance.
Contrats mutuelles : Numéros de couverture et noms des organismes.
Données de foyer : Informations croisées sur les ayants droit.
✅ Données restées en sécurité
Données financières : Aucun RIB ou compte bancaire impacté.
Données de contact : Adresses e-mail, physiques et numéros de téléphone sains.
Sécurité des accès : Aucun mot de passe compromis lors de l’attaque.
Dossiers de santé : Diagnostics, soins et actes médicaux non consultés.
Un détail inquiétant relevé par le hacker lui-même sur le forum : plusieurs membres d’une même famille sont souvent rattachés à un seul numéro de Sécurité sociale. Cela signifie qu’en possédant un seul numéro, les cybercriminels peuvent potentiellement reconstituer la structure familiale complète, avec les noms, dates de naissance et couvertures de tous les ayants droit. C’est un multiplicateur de risque considérable.
Les données s’étendraient sur une période allant de 2010 à 2026, ce qui donne aux attaquants un historique de 16 ans sur les bénéficiaires concernés.
Quelles mutuelles sont concernées ?
Almerys étant un prestataire transversal, la fuite impacte potentiellement les adhérents de plusieurs dizaines de mutuelles et assurances complémentaires. Parmi les organismes confirmés ou fortement susceptibles d’être touchés :
Alan (a confirmé l’incident et notifié ses membres)
MGEN
Harmonie Mutuelle
AG2R
Humanis
Generali
Viasanté
MMJ
Si vous êtes adhérent de l’une de ces mutuelles, vous êtes potentiellement concerné. Alan a confirmé qu’elle informerait individuellement chaque membre concerné par email. Les autres mutuelles n’ont pas encore toutes communiqué publiquement sur le sujet.
Quels sont les risques concrets pour vous ?
Même si les données bancaires et les informations de santé ne sont pas compromises, le vol de 15 millions de numéros de Sécurité sociale associés à des états civils complets représente un risque majeur pour plusieurs raisons.
Phishing ultra-ciblé (spear phishing)
Armés de votre nom, prénom, date de naissance et numéro de Sécurité sociale, les cybercriminels peuvent créer des emails, des SMS et même des appels téléphoniques extrêmement crédibles. Imaginez recevoir un message prétendument envoyé par votre mutuelle ou l’Assurance Maladie, mentionnant votre vrai nom, votre numéro de Sécurité sociale et des détails plausibles sur votre couverture. La plupart des gens mordraient à l’hameçon.
Alan a d’ailleurs explicitement alerté ses membres : « Faites preuve d’une vigilance accrue dans les prochaines semaines si vous recevez des messages (SMS, vocaux ou e-mails) suspects semblant provenir d’Alan, ou d’autres organismes, notamment s’ils vous demandent des informations ou vous invitent à vous connecter à un site web ».
Usurpation d’identité et fraude administrative
Le numéro de Sécurité sociale est la clé de voûte de l’identité administrative en France. Associé à un état civil complet, il permet de :
Tenter des démarches administratives frauduleuses
Créer de faux profils auprès d’organismes sociaux
Monter des arnaques à la fraude aux prestations sociales
Effectuer de l’ingénierie sociale auprès de professionnels de santé
Le risque de croisement de données
Le danger le plus insidieux est le croisement avec d’autres fuites récentes. La France a connu une série de piratages massifs ces derniers mois : ANTS (19 millions de dossiers), DGFIP (1,2 million d’IBAN), Urssaf (12 millions de salariés), Pierre & Vacances (389 000 clients), et maintenant Almerys (15 millions). En assemblant les pièces de ces différents puzzles, les cybercriminels peuvent reconstituer des profils personnels quasi-complets.
⚠️ Vigilance : Ne cliquez sur aucun lien
Dans les semaines à venir, ne cliquez sur aucun lien contenu dans des SMS ou des e-mails prétendument envoyés par votre mutuelle, l’Assurance Maladie ou tout autre organisme de santé.
En cas de doute, ouvrez un nouvel onglet, tapez vous-même l’adresse du site officiel (comme ameli.fr ou l’espace client de votre complémentaire) dans votre navigateur et connectez-vous directement depuis votre espace personnel sécurisé.
Que faire si vous êtes concerné ?
Si vous êtes adhérent de l’une des mutuelles utilisant Almerys, voici les réflexes à adopter immédiatement :
Attendez l’email de votre mutuelle. Alan et les autres organismes concernés s’engagent à informer individuellement chaque personne touchée. Ne paniquez pas si vous ne recevez rien immédiatement.
Méfiez-vous de tout message non sollicité. SMS, emails, appels téléphoniques prétendument envoyés par votre mutuelle ou l’Assurance Maladie : ne cliquez sur aucun lien, ne communiquez aucune information complémentaire.
Vérifiez vous-même depuis les sites officiels. Connectez-vous directement à ameli.fr ou à l’application de votre mutuelle en tapant l’adresse vous-même.
Signalez toute tentative de fraude. Utilisez la plateforme officielle cybermalveillance.gouv.fr pour signaler les tentatives d’escroquerie.
Surveillez vos comptes. Même si les données bancaires ne sont pas compromises, restez attentif à toute activité suspecte sur vos comptes et vos droits sociaux.
Signalez sur Perceval en cas de fraude. Si vous êtes victime de fraude financière liée à cette fuite, utilisez la plateforme Perceval.
Le problème systémique : la vulnérabilité des prestataires de santé
L’affaire Almerys illustre un problème structurel de la cybersécurité française : la chaîne de données de santé est aussi forte que son maillon le plus faible. Des entreprises comme Almerys et Viamedis traitent des données personnelles pour des dizaines de millions de Français. Elles sont des intermédiaires critiques entre l’Assurance Maladie, les mutuelles et les professionnels de santé. Et elles sont la cible privilégiée des cybercriminels.
La présidente de la CNIL, Marie-Laure Denis, l’a souligné dans son rapport annuel 2025 :
Les violations sont de plus en plus massives et impliquent souvent des prestataires, plus vulnérables car souvent de taille plus modeste et dotés de systèmes de sécurité parfois moins performants.
Almerys en est la preuve vivante : deux piratages majeurs en deux ans, des dizaines de millions de données personnelles exposées à chaque fois.
La question n’est plus de savoir si un prestataire de santé se fera pirater, mais quand et combien de données seront volées cette fois-ci. Les mutuelles qui externalisent la gestion de leurs flux de tiers payant doivent impérativement imposer des standards de sécurité drastiques à leurs prestataires. Sinon, c’est leur réputation et la sécurité de leurs adhérents qui en pâtissent.
Contexte : le tsunami de cyberattaques en France en 2026
Le piratage d’Almerys s’inscrit dans une vague de cyberattaques sans précédent en France. La CNIL a enregistré 6 167 violations de données en 2025 (record historique, +9,5 % par rapport à 2024), et la tendance s’accélère en 2026 avec déjà 2 730 violations au premier trimestre, contre 2 500 sur la même période l’an dernier.
🔍 Cartographie du risque : Les fuites majeures de 2026
ANTS (France Titres)~19M de dossiers
Données d’état civil, passeports, cartes d’identité et permis de conduire exposés.
Almerys (Tiers Payant)15,4M de numéros Sécu
Deuxième intrusion majeure en deux ans sur les structures de tiers payant santé.
Urssaf12M de salariés
Données administratives liées aux déclarations et fiches de paie des employés.
DGFIP (Fichier FICOBA)1,2M d’IBAN
Fuite ciblée d’identifiants bancaires issus des bases de l’administration fiscale.
En cumul, ce sont des dizaines de millions de Français qui ont vu leurs données personnelles compromises au cours des derniers mois. Le numéro de Sécurité sociale d’Almerys s’ajoute aux IBAN de la DGFIP, aux fiches de paie de l’Urssaf, aux passeports de l’ANTS. Le puzzle identitaire se reconstitue morceau par morceau entre les mains des cybercriminels.
FAQ : Vos questions sur le piratage d’Almerys
Comment savoir si je suis concerné par la fuite Almerys ? ▼
Si vous êtes adhérent d’un organisme utilisant Almerys (Alan, MGEN, Harmonie Mutuelle, AG2R, Humanis, Generali…), vous êtes potentiellement ciblé. Votre mutuelle a l’obligation légale de vous notifier individuellement par e-mail si vos données personnelles font partie du lot volé.
Mes coordonnées bancaires sont-elles menacées ? ▼
Non. Les rapports d’investigation confirment que les RIB, les identifiants de connexion, les mots de passe ainsi que l’historique médical complet des assurés n’étaient pas stockés sur la plateforme compromise.
Que risquent les usagers avec la fuite du numéro de Sécurité sociale ? ▼
Le principal danger réside dans le spear phishing (hameçonnage ultra-ciblé). En combinant votre état civil exact et votre numéro INSEE, des escrocs peuvent monter des arnaques par SMS ou appels téléphoniques extrêmement réalistes en se faisant passer pour l’Assurance Maladie.
Quiz
🧠 Testez vos connaissances face à l’actualité cyber
1. Combien de numéros de Sécurité sociale uniques ont été ciblés lors de la fuite d’Almerys ?
2. Combien d’intrusions massives le prestataire Almerys a-t-il subies ces deux dernières années ?
3. Quelle catégorie d’informations est restée parfaitement sécurisée lors de cet incident ?
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
