- Tiers-Payant Optique : Pour vous faire bénéficier du Tiers-Payant, les professionnels de santé doivent choisir l'organisme complémentaire "ROEDERER/SIMAX" dans la liste présentée par leur logiciel de Tiers-Payant. N'hésitez pas à leur rappeler.
- La reprise récente de votre contrat entraîne un fort afflux de demandes, impactant nos délais de traitement et notre accueil téléphonique. Nous faisons le maximum pour rétablir la situation. En attendant, merci de privilégier le contact écrit via votre espace assuré ou notre formulaire en ligne Contacts | Energie Mutuelle
FAQ Violation de données subie par VIAMEDIS
Dernière mise à jour le 07/02/2024 à 11:59
Chers clients,
Au vu du grand nombre de demandes que nous recevons, nous avons décidé de vous communiquer cette FAQ* afin de répondre à toutes les questions suite à la violation de données qui a eu lieu au sein de VIAMEDIS, gestionnaire du Tiers Payant de votre complémentaire santé.
Cette page sera modifiée dans les heures et jours à venir, au fur et à mesure des questions qui nous seront posées.
Question 1 - De quel type de cyber-attaque s'agit-il ?
Viamedis a informé la semaine dernière, qu’il avait subi une cyberattaque via l’usurpation d’identité d’un compte d’un professionnel de santé, sur son portail de gestion du Tiers Payant Viamedis.net. Il s’agit donc d’un acte externe malveillant que Viamedis qualifie de piratage. Des données personnelles d’assurés et de leurs bénéficiaires et de professionnels de santé ont été exposées.
Question 2 - Quelles données sont concernées ?
D’après Viamedis, seules les catégories de données suivantes ont été concernées par la violation survenue : état civil, date de naissance, numéro d’adhérent, numéro de sécurité sociale, nom de l’assureur santé et garanties ouvertes au Tiers Payant.
Question 3 - La date de la violation communiquée par Viamedis
Viamedis nous a informés de la survenue de l’attaque le 31 janvier 2024 à 17h51
Question 4 - Une rançon est-elle demandée ?
D'après Viamedis, ce n'est pas le cas.
Question 5 - Connait-on l’identité des hackers ?
L’identité du ou des d'acteur(s) malveillant(s) n'est à ce jour pas connue.
Viamedis informe avoir déposé une plainte auprès du Procureur de la République ainsi qu’une notification et une déclaration auprès des autorités compétentes (CNIL, ANSSI).
Question 6 - Les données ont-elles fait l'objet d'une fuite ?
Les hackers ont accédé aux données qui sont aujourd'hui considérées comme ayant fait l'objet d'une fuite.
Question 7 - Est-ce que la confidentialité, la disponibilité et l’intégrité des données ont été affecté ?
La confidentialité et la disponibilité des données à caractère personnel concernées ont été affectées. D'après Viamedis, ce n'est pas le cas pour l’intégrité des données.
Question 8 - Quel est l'impact potentiel de cette cyber-attaque pour les personnes concernées ?
- Les données ont été exposées et ont échappé à la maîtrise de Viamédis.
- Ces données peuvent être enrichies avec d’autres informations relatives aux assurés et à leurs bénéficiaires.
- Ces données peuvent être exploitées à d’autres fins que celles prévues et/ou de manière déloyales
Le risque lié à la fuite des données est donc de potentielles tentatives d'actions malveillantes (ex : usurpation d'identité, hameçonnage, fraude).
Question 9 – Quelles sont les mesures de sécurité prises par Viamédis ?
Viamédis indique avoir pris les mesures de sécurité suivantes :
- Dès la connaissance de l’acte de violation de données : déconnexion de la plateforme Viamedis.net
- Par la suite :
- Conduite d'investigations avec des experts de la cybersécurité (CSIRT) pour limiter l’impact de l'attaque et déployer les actions de remédiation.
- Renforcement de la politique de mot de passe et activation de la double authentification avec SMS ou appel (protocole MFA).
- Surveillance renforcée des requêtes atypiques sur la plateforme.
- Renforcement des dispositifs de sécurité sur l'ensemble de la plateforme
- Conduite d'investigations avec des experts de la cybersécurité (CSIRT) pour limiter l’impact de l'attaque et déployer les actions de remédiation.
Question 10 : Quelles mesures avez-vous déployées pour sécuriser les données des clients SIMAX?
Les mesures de sécurité renforcées prise par Simax afin de minimiser ces risques :
- Double authentification obligatoire via un code envoyé par SMS (pour la connexion aux comptes assuré déjà existants).
- Double authentification obligatoire via un code envoyé par SMS (pour la connexion à ZenRH)
- Suspension temporaire de la possibilité de création de nouveaux comptes assurés sur le site internet et l'application mobile de Simax
- Process de vérification d'identité renforcé lorsqu'un assuré prend contact avec Simax
- Somax a informé individuellement l'ensemble de ses clients concernés par la violation de données. La liste des personnes concernées nous a été transmise par Viamedis et contient les informations suivantes : numéro de sécurité sociale, n° d’adhérent, nom, prénom, date de naissance, organisme assureur.
Question 11 - Si vous êtes une entreprise bénéficiant de nos services complémentaire santé : est-ce qu’une information individuelle sera envoyée à l’ensemble de vos collaborateurs ?
Seuls les assurés couverts au titre d’un contrat géré par Simax et concernés par la violation de données reçoivent une notification individuelle. L’information a été émise par courriels ou courriers postaux entre le 5 et le 6 février 24.
Question 12 - Si vous êtes un assureur nous ayant confié la gestion des garanties complémentaire santé : est-ce qu’une information individuelle sera envoyée à l’ensemble de vos assurés ?
Seuls vos assurés concernés par la violation de données reçoivent une notification individuelle.
Question 13 - Devez-vous effectuer une notification à la CNIL ?
Nous ne considérons pas nécessaire d’effectuer une notification à la CNIL pour :
- Les entreprises (employeurs des assurés), Simax agissant en tant que responsable de traitement ou responsable conjoint de traitement dans le cadre du contrat qui nous lie à Viamedis
- Les assureurs : Simax agissant en tant que responsable de traitement ou responsable conjoint de traitement, dans le cadre du contrat qui nous lie à Viamedis.
L’assureur est un tiers au dit contrat.
Simax a notifié la CNIL (notification n° FR2402021800010) et une information individuelle est transmise à chacun des assurés concernés.
Question 14 - Pouvons-nous vous transmettre notre notification déposée à la CNIL ?
La notification étant un document interne que nous avons déposé en notre qualité de responsable de traitement ou de responsable conjoint, il n’est pas possible de la partager. Vous disposez néanmoins des informations nécessaires pour déposer une notification de votre côté si, malgré la réponse à la question précédente, vous souhaitez toujours le faire.
Pour toutes questions sur la protection des données, vous pouvez-contacter notre DPO (DIPEEO SAS), joignable aux coordonnées ci-dessous :
- 4 boulevard Montmartre 75009 PARIS
- dpo@simax-sante.fr
En vous souhaitant bonne réception,
La Direction Générale
DIPEEO SAS (DPO de SIMAX Santé)
(*) FAQ : Foire Aux Questions