Fuite chez Alan (via Almerys)
Le 23 mai 2026, l'assureur santé numérique français Alan a alerté ses adhérents qu'une cyberattaque visant son prestataire de tiers-payant Almerys avait exposé leurs données personnelles — état civil, date de naissance, numéro de Sécurité sociale et informations de contrat — sans toucher aux données de paiement, mots de passe ni données de santé.
- Victime
- Alan
Le 23 mai 2026, Alan — assureur santé numérique français (mutuelle) — a informé ses adhérents que leurs données personnelles avaient été exposées lors d'une cyberattaque visant Almerys, le prestataire de tiers-payant qui gère les remboursements entre les assurés, les professionnels de santé et les organismes complémentaires. Les systèmes d'Alan n'ont pas été compromis : la fuite provient de son sous-traitant.
L'intrusion résulte de la compromission frauduleuse du compte d'un professionnel de santé sur la plateforme de prise en charge d'Almerys, utilisée pour autoriser les prestations audio, optique et hospitalières. L'attaquant (sous le pseudonyme « Lagui ») a mis en vente une base d'environ 44 millions de lignes contenant près de 15,4 millions de numéros de Sécurité sociale uniques, ce qui en ferait l'une des plus importantes fuites de données de santé en France ces dernières années, touchant les adhérents de nombreux assureurs et pas seulement Alan.
Les données exposées pour les adhérents d'Alan concernés comprenaient :
- Nom, prénom et date de naissance
- Rang de naissance
- Numéro de Sécurité sociale
- Numéro de contrat et nom de l'assureur
- Dates de début et de fin de couverture
Alan a précisé que les données de paiement, les mots de passe et les données de santé n'étaient pas concernés. L'assureur a notifié l'ACPR et la CNIL, a indiqué que sa plateforme restait intacte et a appelé ses adhérents à la vigilance face aux tentatives d'hameçonnage exploitant les données d'identité divulguées. Almerys a mis sa plateforme de remboursement hors ligne dès la détection de l'attaque et a déposé une notification initiale auprès de la CNIL le 25 mai 2026. Il s'agit du deuxième incident majeur d'Almerys en environ deux ans, après les fuites Viamedis/Almerys de 2024.
Sources
- alan.comhttps://alan.com/fr-fr/blog/tout-alan/a/incident-securite-almerys
- next.inkhttps://next.ink/238995/alan-alerte-sur-une-fuite-de-donnees-chez-almerys-son-prestataire-de-tiers-payant/
- cybernews.comhttps://cybernews.com/security/almerys-french-healthcare-data-leak/
- leto.legalhttps://www.leto.legal/news/almerys-fuite-donnees-tiers-payant-mutuelles-mai-2026