Skip to content

Fuite chez Alan (via Almerys)

Le 23 mai 2026, l'assureur santé numérique français Alan a alerté ses adhérents qu'une cyberattaque visant son prestataire de tiers-payant Almerys avait exposé leurs données personnelles — état civil, date de naissance, numéro de Sécurité sociale et informations de contrat — sans toucher aux données de paiement, mots de passe ni données de santé.

Victime
Alan

Le 23 mai 2026, Alan — assureur santé numérique français (mutuelle) — a informé ses adhérents que leurs données personnelles avaient été exposées lors d'une cyberattaque visant Almerys, le prestataire de tiers-payant qui gère les remboursements entre les assurés, les professionnels de santé et les organismes complémentaires. Les systèmes d'Alan n'ont pas été compromis : la fuite provient de son sous-traitant.

L'intrusion résulte de la compromission frauduleuse du compte d'un professionnel de santé sur la plateforme de prise en charge d'Almerys, utilisée pour autoriser les prestations audio, optique et hospitalières. L'attaquant (sous le pseudonyme « Lagui ») a mis en vente une base d'environ 44 millions de lignes contenant près de 15,4 millions de numéros de Sécurité sociale uniques, ce qui en ferait l'une des plus importantes fuites de données de santé en France ces dernières années, touchant les adhérents de nombreux assureurs et pas seulement Alan.

Les données exposées pour les adhérents d'Alan concernés comprenaient :

  • Nom, prénom et date de naissance
  • Rang de naissance
  • Numéro de Sécurité sociale
  • Numéro de contrat et nom de l'assureur
  • Dates de début et de fin de couverture

Alan a précisé que les données de paiement, les mots de passe et les données de santé n'étaient pas concernés. L'assureur a notifié l'ACPR et la CNIL, a indiqué que sa plateforme restait intacte et a appelé ses adhérents à la vigilance face aux tentatives d'hameçonnage exploitant les données d'identité divulguées. Almerys a mis sa plateforme de remboursement hors ligne dès la détection de l'attaque et a déposé une notification initiale auprès de la CNIL le 25 mai 2026. Il s'agit du deuxième incident majeur d'Almerys en environ deux ans, après les fuites Viamedis/Almerys de 2024.

Sources

  1. alan.comhttps://alan.com/fr-fr/blog/tout-alan/a/incident-securite-almerys
  2. next.inkhttps://next.ink/238995/alan-alerte-sur-une-fuite-de-donnees-chez-almerys-son-prestataire-de-tiers-payant/
  3. cybernews.comhttps://cybernews.com/security/almerys-french-healthcare-data-leak/
  4. leto.legalhttps://www.leto.legal/news/almerys-fuite-donnees-tiers-payant-mutuelles-mai-2026

Incidents liés

Chaîne d’approvisionnementContenu

Fuite chez ASAF & AFPS (via Itelis)

Des adhérents de l'assureur ASAF & AFPS ont vu leurs données personnelles exposées après une fuite chez Itelis, le réseau de soins optiques qui traite leurs remboursements ; nom, date de naissance, numéro de sécurité sociale, dossiers et données de correction visuelle de 2020-2022 sont concernés.

Victim
ASAF & AFPS
Chaîne d’approvisionnementContenu

Fuite chez AG2R la Mondiale (via Itelis)

Révélée en novembre 2025, une cyberattaque contre Itelis — le réseau de soins optiques utilisé par l'assureur AG2R la Mondiale — a exposé les nom, date de naissance, numéro de sécurité sociale, dossiers de remboursement et données de correction visuelle de bénéficiaires couverts en optique entre 2020 et début 2022.

Victim
AG2R la Mondiale
Chaîne d’approvisionnementContenu

Fuite chez La Nef

En septembre 2025, la banque coopérative éthique française La Nef a alerté ses sociétaires sur l'exposition de leurs adresses email à la suite d'une cyberattaque visant le prestataire de vote SLIB ; seules des adresses email ont été touchées, sans données bancaires, pièces d'identité ni mots de passe.

Victim
La Nef