Skip to content
Chaîne d’approvisionnementContenu

Fuite chez ASAF & AFPS (via Itelis)

Des adhérents de l'assureur ASAF & AFPS ont vu leurs données personnelles exposées après une fuite chez Itelis, le réseau de soins optiques qui traite leurs remboursements ; nom, date de naissance, numéro de sécurité sociale, dossiers et données de correction visuelle de 2020-2022 sont concernés.

Victime
ASAF & AFPS

Le 5 décembre 2025, ASAF & AFPS — une association d'assurance française fondée sur l'adhésion — a informé ses adhérents que leurs données personnelles avaient été exposées lors d'une fuite chez Itelis, le réseau de soins optiques qui traite les remboursements d'optique pour le compte de l'association. Les données étant détenues et traitées par ce partenaire tiers, l'incident constitue une compromission de la chaîne d'approvisionnement touchant les adhérents d'ASAF & AFPS, et non une intrusion dans les systèmes propres de l'assureur.

L'accès non autorisé était lié à l'usurpation du compte d'un opticien partenaire, ce qui a permis à l'attaquant d'atteindre les données de remboursement sans compromettre les identifiants des assurés. L'exposition se limitait aux dossiers de remboursement d'optique traités entre 2020 et le premier trimestre 2022. Itelis traite également les dossiers d'autres clients, dont Axa et Malakoff Humanis, dont des assurés ont aussi été concernés.

Les données exposées comprenaient :

  • Nom complet et date de naissance
  • Numéro de sécurité sociale
  • Numéro de dossier de remboursement
  • Dossier de remboursement d'optique
  • Données de correction visuelle
  • Numéro de téléphone (dans certains cas)

Les coordonnées bancaires, adresses postales, adresses e-mail et mots de passe n'auraient pas été affectés. Itelis a notifié la CNIL, déposé plainte auprès du procureur de la République et activé une cellule de crise. ASAF & AFPS a invité ses adhérents à se méfier des tentatives d'hameçonnage et de fraude exploitant les informations exposées, et propose un suivi personnalisé pour tout signalement d'activité frauduleuse. Le nombre exact de personnes concernées n'a pas été rendu public.

Sources

  1. acuite.frhttps://www.acuite.fr/actualite/ocam/323834/la-plateforme-de-soins-itelis-victime-dune-cyberattaque-concernant-des-donnees
  2. next.inkhttps://next.ink/brief_article/fuite-de-donnees-personnelles-chez-itelis-axa-nom-dossier-correction-numero-secu/
  3. ecura.frhttps://ecura.fr/2025/12/05/cyberattaque-chez-itelis-quelles-donnees-ont-reellement-fuite/cyber-securite/sauvegarde/

Incidents liés

Chaîne d’approvisionnementContenu

Fuite chez AG2R la Mondiale (via Itelis)

Révélée en novembre 2025, une cyberattaque contre Itelis — le réseau de soins optiques utilisé par l'assureur AG2R la Mondiale — a exposé les nom, date de naissance, numéro de sécurité sociale, dossiers de remboursement et données de correction visuelle de bénéficiaires couverts en optique entre 2020 et début 2022.

Victim
AG2R la Mondiale
Chaîne d’approvisionnementContenu

Fuite chez La Nef

En septembre 2025, la banque coopérative éthique française La Nef a alerté ses sociétaires sur l'exposition de leurs adresses email à la suite d'une cyberattaque visant le prestataire de vote SLIB ; seules des adresses email ont été touchées, sans données bancaires, pièces d'identité ni mots de passe.

Victim
La Nef
Chaîne d’approvisionnementContenu

Fuite chez MAIF & BPCE

Une attaque par rançongiciel contre l'éditeur français de logiciels de gestion de patrimoine Harvest (groupe Run Some Wares, détectée le 27 février 2025) a exposé des données personnelles et financières de clients de l'assureur MAIF et du groupe bancaire BPCE (Banque Populaire / Caisse d'Épargne), via une attaque sur la chaîne d'approvisionnement.

Victim
MAIF & BPCE
Chaîne d’approvisionnementContenu

Fuite chez Direct Assurance

En mars 2025, l'assureur direct Direct Assurance (filiale d'AXA) a subi une fuite via son partenaire Run Assurance : les attaquants ont exploité une faille dans les échanges de données entre les deux entreprises pour accéder aux données personnelles de clients, exposant à l'usurpation d'identité et au phishing.

Victim
Direct Assurance