Informations aux adhérents

Informations aux adhérents sur la cyber-attaque contre le prestataire de tiers-payant Almerys

Chers adhérents,
Chers anciens adhérents,

Nous savons que cette cyberattaque, largement relayée dans les médias, vous inquiète particulièrement et vous impacte. La Mutuelle a toujours prôné l’honnêteté et la transparence vis à vis de ses adhérents, c’est pourquoi nous avons décidé de répondre à toutes vos questions, via cette FAQ.

Si elle n’était pas suffisante vous pouvez contacter directement notre Délégué à la protection des données personnelles (DPO) : dpo@mutuellelmp.fr

• Que s’est-il passé ?

La Mutuelle collabore depuis 2023 avec l’opérateur de Tiers-payant Almerys. C’est cet opérateur qui permet d’engager vos remboursements lorsque vous bénéficiez du tiers-payant et c’est également lui qui vous adresse vos cartes de tiers-payants annuellement.

Des professionnels de santé se sont fait voler leur login et leur mot de passe de connexion à la plateforme Almerys. Ces comptes compromis ont permis l’accès au portail dédié aux professionnels de santé d’Almerys, un site d’accueil exclusivement consultatif et totalement désuni de notre système d’information de gestion des services de tiers payant Almerys.

Les attaquants ont ensuite initialisé des requêtes automatiques de manière à collecter toutes les données auxquels peuvent avoir accès les professionnels de santé pour accorder ou non le tiers payant à un patient. Des données personnelles de bénéficiaires ont été ainsi exposées.

• Quelles données ont été exposées ?

Les données personnelles des bénéficiaires exposés sont les suivantes :
    • Nom, prénom,
    • Date de naissance, rang de naissance,
    • Numéro de sécurité sociale (NIR),
    • Nom de la Mutuelle santé, n° de contrat de la mutuelle santé,
    • Référence interne à Almerys.

Aucune donnée bancaire, postale, téléphonique, de santé n’a fuité lors de cette cyberattaque. En revanche, étant donné l’actualité en cours, il est possible que vos données fassent l’objet d’autres cyberattaques qui n’ont aucun lien avec celle de notre prestataire Almerys.

• Quelles sont les mesures mises en place par la mutuelle ?

Immédiatement des mesures de sécurité ont été prises par Almerys comme par la Mutuelle.

Toutes les connexions externes (exemple : vos accès à votre compte adhérent) ont été coupées depuis vendredi 2 février au soir ; date à laquelle Almerys nous a informés de l’attaque.

Nos partenaires informatiques et de cybersécurité ont été mobilisés au sein de la cellule de crise, afin de surveiller et de sécuriser le système d’information en attendant de pouvoir réactiver nos services de manière sécurisée.

Les déclarations réglementaires auprès de la CNIL et autres autorités (exemple : judiciaires) ont été réalisées dans les plus brefs délais.

• Suis-je concerné par cette violation de données ?

A l’heure actuelle, notre prestataire Almerys n’est pas en mesure de nous fournir le détail de chaque personne concernée et considère donc que tous nos adhérents et anciens adhérents sont concernés par cette violation.

En revanche, nous pouvons d’ores et déjà vous indiquez que la Mutuelle ne travaille avec Almerys que depuis l’année 2023. Par conséquent, les adhérents nous ayant quittés avant notre collaboration avec Almerys ne sont pas concernés par cette violation de données.

• J’ai quitté la mutuelle, pourquoi mes données personnelles n’ont-elle pas été supprimées ?

L’archivage et la purge de vos données personnelles doit respecter une politique déterminée et claire à la Mutuelle. La Mutuelle est dans l’obligation de ne pas conserver les données personnelles qui ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées et lorsqu’elles n’entrent plus dans le cadre d’une obligation légale imposée à la Mutuelle.

Dans le cadre de vos contrats santé conclus avec la Mutuelle, celle-ci se trouve dans l’obligation de poursuivre la conservation et le traitement vos données personnelles pour la bonne exécution de vos garanties, y compris selon son obligation liée à la portabilité.

En revanche, lorsque ce contrat cesse, toutes les données personnelles vous concernant sont conservées notamment pour respecter le délai de 2 ans suivant la fin du contrat pendant lequel vous êtes en droit de demander des remboursements de soins étant intervenus lorsque votre contrat était encore en cours de validité.

Après ce délai de deux ans, vos données personnelles sont soit supprimées automatiquement soit archivées de manière sécurisée pour répondre aux obligations réglementaires ou pour permettre la constatation, l’exercice ou la défense de droits en justice durant les délais légaux (articles L651-12 du code monétaire et financier ; L102B du Livre des procédures fiscales ; lutte contre le blanchiment d’argent...).
Une fois ces différents délais épuisés, vos données personnelles sont automatiquement supprimées de nos systèmes.

CONCLUSION : Si vous nous avez quittés il y a 6 mois ou 1 an, il est par conséquent logique que vos données personnelles n’aient pas encore été supprimées.

• Que puis-je faire de mon côté ?

Nous vous invitons à la plus grande vigilance de manière générale, car plusieurs cyberattaques sévissent à l’heure actuelle et malheureusement les mutuelles ne sont pas les seules victimes (exemple : cyberattaque en cours chez certaines banques françaises).

Nous vous invitons à modifier tous vos mots de passe sur tous vos accès et comptes administratifs et de santé.
Dès que cette démarche sera réalisable sur les espaces de connexions aux comptes de la Mutuelle, vous recevrez une information spécifique.

• Pourquoi je n’arrive pas à changer mon mot de passe ?

La Mutuelle a fait le choix de sécuriser au maximum vos données et son système d’information au moment de sa prise de connaissance de l’attaque d’Almerys.
Immédiatement, la Mutuelle a coupé ses connexions avec l’opérateur et a coupé les accès et connexions externes bloquant ainsi toute possibilité à un adhérent de se connecter et de changer son mot de passe.

C’est donc tout à fait normal qu’actuellement cette opération ne soit pas possible. Vous serez averti lorsque cela sera faisable sur vos comptes adhérents.

En revanche, nous vous invitons à réaliser cette opération sur vos comptes tiers administratifs et de santé afin de prévenir la compromission d’autres plateformes telles que votre banque, compte AMELI pour la sécurité sociale, etc. Malheureusement les mutuelles ne sont pas les seules victimes.

• Que faire si je reçois un e-mail ou un message suspect ?

Nous vous recommandons de faire preuve de vigilance concernant des campagnes de phishing par mail ou par téléphone, actuellement en cours en usurpant l’identité de mutuelles et vous incitant à communiquer des informations personnelles, cliquer sur des liens suspects ou encore télécharger des fichiers malveillants.

Si vous avez reçu un mail usurpant l’identité de la mutuelle LMP, nous vous conseillons de le signaler sur Pharos, le portail officiel de signalement de contenus illicites sur internet

Le signalement se fait en 4 étapes en sélectionnant :
dans 1 Contenu : Escroquerie en ligne hors spam.
dans 2 Description : Autre, puis Sur une messagerie et en ajoutant l'adresse de l’expéditeur du mail
dans 3 Informations : en complétant les informations demandées
dans 4 Validation : Vérifier les informations et valider.

Mutuelle LMP
11 rue Albert Sarraut	11 rue de la Paix
78000 VERSAILLES	94300 VINCENNES

Informations aux adhérents

Informations aux adhérents sur la cyber-attaque contre le prestataire de tiers-payant Almerys

• Que s’est-il passé ?

La Mutuelle collabore depuis 2023 avec l’opérateur de Tiers-payant Almerys. C’est cet opérateur qui permet d’engager vos remboursements lorsque vous bénéficiez du tiers-payant et c’est également lui qui vous adresse vos cartes de tiers-payants annuellement.

Les attaquants ont ensuite initialisé des requêtes automatiques de manière à collecter toutes les données auxquels peuvent avoir accès les professionnels de santé pour accorder ou non le tiers payant à un patient. Des données personnelles de bénéficiaires ont été ainsi exposées.

• Quelles données ont été exposées ?

Les données personnelles des bénéficiaires exposés sont les suivantes : • Nom, prénom, • Date de naissance, rang de naissance, • Numéro de sécurité sociale (NIR), • Nom de la Mutuelle santé, n° de contrat de la mutuelle santé, • Référence interne à Almerys.

Aucune donnée bancaire, postale, téléphonique, de santé n’a fuité lors de cette cyberattaque. En revanche, étant donné l’actualité en cours, il est possible que vos données fassent l’objet d’autres cyberattaques qui n’ont aucun lien avec celle de notre prestataire Almerys.

• Quelles sont les mesures mises en place par la mutuelle ?

Immédiatement des mesures de sécurité ont été prises par Almerys comme par la Mutuelle.

Toutes les connexions externes (exemple : vos accès à votre compte adhérent) ont été coupées depuis vendredi 2 février au soir ; date à laquelle Almerys nous a informés de l’attaque.

Nos partenaires informatiques et de cybersécurité ont été mobilisés au sein de la cellule de crise, afin de surveiller et de sécuriser le système d’information en attendant de pouvoir réactiver nos services de manière sécurisée.

Les déclarations réglementaires auprès de la CNIL et autres autorités (exemple : judiciaires) ont été réalisées dans les plus brefs délais.

• Suis-je concerné par cette violation de données ?

• J’ai quitté la mutuelle, pourquoi mes données personnelles n’ont-elle pas été supprimées ?

CONCLUSION : Si vous nous avez quittés il y a 6 mois ou 1 an, il est par conséquent logique que vos données personnelles n’aient pas encore été supprimées.

• Que puis-je faire de mon côté ?

• Pourquoi je n’arrive pas à changer mon mot de passe ?

• Que faire si je reçois un e-mail ou un message suspect ?

Newsletter

Les données personnelles des bénéficiaires exposés sont les suivantes :
• Nom, prénom,
• Date de naissance, rang de naissance,
• Numéro de sécurité sociale (NIR),
• Nom de la Mutuelle santé, n° de contrat de la mutuelle santé,
• Référence interne à Almerys.