Samedi 23 mai 2026, les clients d’Alan ont reçu un email qui a glacé le sang des 450 000 assurés de la licorne française. La mutuelle préférée des freelances et des jeunes actifs annonçait une fuite de données massive chez Almerys, son prestataire de tiers-payant. L’incident, découvert la veille, expose 15,4 millions de numéros de Sécurité sociale, des noms, prénoms et dates de naissance. Pour Alan, jeune pousse qui vient de lever 100 millions d’euros, c’est la première crise existentielle. Pour ses clients, c’est la douche froide : la mutuelle 100 % digitale, perçue comme plus moderne et plus sécurisée, dépendait en réalité d’un acteur traditionnel dont les failles viennent de briser la confiance.
Ce que l’alerte du samedi 23 mai révèle sur le maillon faible d’Alan
L’email envoyé samedi matin aux adhérents d’Alan ne tourne pas autour du pot. « Vendredi 22 mai, notre prestataire en charge du tiers-payant (Almerys) nous a informés d’un incident de sécurité ayant touché leur plateforme. » La formulation est sobre, presque technique. Mais derrière ces lignes se cache un aveu d’impuissance : Alan, symbole de la modernité assurantielle, n’a pas eu le choix. Elle a dû attendre qu’Almerys veuille bien la prévenir.
La chronologie est éloquente. Almerys découvre l’intrusion le vendredi 22 mai. Alan est informée le jour même. Dès le samedi, elle envoie un email à tous ses clients, un geste de transparence rare un week-end. Beaucoup d’acteurs, dans la même situation, auraient attendu le lundi matin pour communiquer. Alan a fait le choix inverse : informer vite, quitte à paraître vulnérable.
Vendredi 22 mai : la découverte de l’incident et le silence du week-end
Le timing n’est pas anodin. Un vendredi soir, c’est le moment où les équipes de sécurité informatique réduisent leurs effectifs, où les communications se ralentissent. Almerys a probablement passé la journée à évaluer l’ampleur des dégâts avant de prévenir ses clients. Alan, de son côté, a préparé sa communication en quelques heures : rédaction de l’email, mise en ligne d’une notice sur son site, activation de la cellule de crise.
Ce qui frappe dans la communication d’Alan, c’est l’absence totale de contrôle sur la situation. La mutuelle ne peut pas dire précisément quels clients sont concernés, ni combien de dossiers ont fuité. Elle se contente de décrire le périmètre des données exposées : état civil, numéro de Sécurité sociale, numéro de contrat, dates de couverture. Les informations bancaires, les mots de passe et les données de santé (soins, remboursements) ne sont pas touchés — c’est ce qu’Alan affirme du moins.
De quoi Almerys est-il le nom ? Le tiers-payant, rouage oublié de nos remboursements
Almerys n’est pas un nom qui parle au grand public. Pourtant, cette société joue un rôle central dans le système de santé français. C’est un gestionnaire de tiers-payant : elle fait le lien entre l’Assurance Maladie, les mutuelles et les professionnels de santé. Quand vous allez chez le pharmacien et que vous ne payez rien, c’est Almerys (ou l’un de ses concurrents comme Viamedis) qui gère les flux de données entre la Sécu et votre complémentaire santé.
Le paradoxe est saisissant. Alan, avec son application soignée, ses remboursements en 48 heures et son image de startup disruptive, repose entièrement sur un sous-traitant de la vieille école. Les clients d’Alan, pour la plupart jeunes et connectés, ignorent probablement l’existence de cet intermédiaire. Ils pensent que leur mutuelle gère tout en interne. La réalité est plus complexe : Alan est un prestataire de services qui s’appuie sur des infrastructures héritées du XXe siècle, avec les failles de sécurité qui vont avec.
Les mutuelles concernées : Alan, MGEN, Harmonie, AG2R dans le même bateau
Le Figaro a confirmé qu’Almerys est prestataire de plusieurs mutuelles françaises, dont Alan, MGEN, Harmonie mutuelle et AG2R. Toutes ces complémentaires santé sont potentiellement touchées par la même fuite. Les échantillons publiés sur le forum cybercriminel mentionnent plusieurs de ces organismes. Pour les clients d’Alan, la nouvelle est dure à avaler. Mais ils sont loin d’être les seuls concernés.
Pourquoi les 15,4 millions de Sécus volées sont une bombe à retardement
Quand on parle de fuite de données, tout le monde pense immédiatement aux mots de passe ou aux numéros de carte bleue. Le numéro de Sécurité sociale, lui, semble abstrait. Pourtant, c’est l’une des données les plus dangereuses qui puissent fuiter. Contrairement à un mot de passe, on ne peut pas le changer. Contrairement à une carte bancaire, on ne peut pas la faire opposition.
Le fichier mis en vente sur un forum cybercriminel contient 44 millions de lignes et 15,4 millions de numéros de Sécurité sociale uniques, selon les informations publiées par cyberattaque.org. Les échantillons publiés mentionnent plusieurs organismes complémentaires santé : Alan, MGEN, Harmonie mutuelle, AG2R. C’est un annuaire géant de la santé française, prêt à être exploité.
La base de 44 millions de lignes mise en vente : le trésor des cybercriminels
Les cybercriminels ne volent pas des données par hasard. Chaque fichier a une valeur marchande, calculée en fonction de son utilité pour des escroqueries futures. La base Almerys est un trésor pour plusieurs raisons. D’abord, elle associe l’identité complète (nom, prénom, date de naissance) au numéro de Sécurité sociale et au nom de l’assureur. Ensuite, elle est récente : les dates de début et de fin de contrat permettent de savoir qui est encore assuré chez Alan ou ailleurs.
Avec ces informations, un fraudeur peut envoyer des emails ou des SMS extrêmement crédibles. « Vous avez un remboursement en attente de la part d’Alan. Cliquez ici pour le recevoir. » Le message cite votre vrai numéro de contrat, votre vraie mutuelle, et peut même mentionner le montant exact d’un précédent remboursement. C’est du phishing hyper-personnalisé, bien plus efficace que les arnaques génériques qui finissent dans les spams.
Le numéro de Sécu, le secret qu’on ne peut jamais changer
Le problème fondamental avec le numéro de Sécurité sociale, c’est son immuabilité. Il est attribué à la naissance et ne change jamais. Ni après un mariage, ni après un déménagement, ni après une usurpation d’identité. Si un fraudeur met la main sur votre numéro de Sécu, il le garde à vie.
Chaque année, 200 000 Français sont victimes d’usurpation d’identité, selon France Victimes. Ce chiffre pourrait exploser avec la mise en circulation de cette base. Car les données Almerys ne se périment pas. Un fraudeur peut les utiliser aujourd’hui, dans cinq ans ou dans vingt ans. C’est ce qui rend cette fuite bien plus grave qu’un simple vol de mots de passe. Les mots de passe, on peut les changer. Son numéro de Sécurité sociale, jamais.
Plusieurs membres d’une même famille peuvent être rattachés à un seul numéro
Un détail technique aggrave encore la situation. Comme le souligne cyberattaque.org, plusieurs membres d’une même famille peuvent être rattachés à un seul numéro de Sécurité sociale. Cela signifie que la fuite ne concerne pas seulement les assurés directs, mais aussi leurs ayants droit : conjoints, enfants, personnes à charge. Le nombre réel de personnes exposées est donc bien supérieur à 15,4 millions.
La récidive Almerys : l’histoire qui éclabousse toute l’assurance santé française
Ce qui rend cette affaire encore plus choquante, c’est qu’Almerys n’en est pas à son coup d’essai. En février 2024, une première fuite massive avait touché Viamedis et Almerys, exposant les données de 33 millions de personnes. À l’époque, la CNIL avait ouvert une enquête et le parquet de Paris une information judiciaire. Des mesures avaient été promises, des procédures de sécurité renforcées, des audits lancés.
Deux ans plus tard, les mêmes causes produisent les mêmes effets. Almerys est de nouveau piraté, sur le même périmètre, avec les mêmes conséquences. C’est un aveu de faiblesse du système de contrôle des sous-traitants dans le secteur de la santé.
Déjà 33 millions de victimes en 2024 : comment Almerys a-t-il pu revivre la même attaque ?
La première fuite de 2024 avait été un électrochoc. 33 millions de Français concernés, des données de santé exposées, une enquête judiciaire ouverte. On aurait pu croire que les leçons seraient tirées. Mais les failles de sécurité ne se corrigent pas avec des promesses. Elles nécessitent des investissements, des audits techniques, une refonte des systèmes d’information.
Le parallèle avec la fuite du fichier FICOBA est frappant. En 2022, plus d’un million de comptes bancaires avaient été exposés dans une cyberattaque contre le fichier national des comptes bancaires. Les données étaient restées en vente pendant des mois avant que des mesures concrètes ne soient prises. Aujourd’hui, le scénario se répète avec Almerys, mais à une échelle bien plus large. Le piratage FICOBA avait déjà montré comment les données sensibles peuvent circuler longtemps sans protection efficace.
CNIL et Parquet de Paris : la fin de l’impunité pour les sous-traitants santé ?
Cette deuxième fuite sur le même périmètre change la donne juridique. La CNIL dispose de pouvoirs de sanction importants dans le cadre du RGPD : jusqu’à 4 % du chiffre d’affaires mondial. Pour Almerys, une amende record est envisageable. Mais au-delà de l’amende, c’est la question d’une interdiction d’activité qui se pose.
Car le problème est systémique. Les gestionnaires de tiers-payant comme Almerys et Viamedis sont devenus des infrastructures critiques de la santé française. Ils traitent des données parmi les plus sensibles qui existent. Pourtant, leur niveau de sécurité semble insuffisant. La répétition des incidents pose une question politique : combien de niches de sécurité faudra-t-il encore exposer pour que l’écosystème des données de santé soit sécurisé ?
Que Choisir et les associations de consommateurs montent au créneau
L’association Que Choisir avait déjà publié un guide détaillé après la première fuite de 2024. Ses recommandations restent valables aujourd’hui : ne pas répondre aux sollicitations, vérifier ses comptes, signaler l’incident à la CNIL. Mais la récidive d’Almerys montre que les conseils ne suffisent pas. Des mesures contraignantes sont nécessaires.
Des arnaques déjà prêtes : comment les hackers vont utiliser votre profil Alan
Les clients d’Alan doivent se préparer à une vague d’arnaques dans les semaines à venir. Les cybercriminels qui ont acheté la base Almerys ne vont pas la laisser dormir. Ils vont l’exploiter méthodiquement, en ciblant d’abord les profils les plus faciles à piéger.
Le scénario le plus probable est celui de l’arnaque au faux remboursement. Avec votre numéro de contrat et le nom de votre mutuelle, un pirate peut envoyer un SMS ou un email d’une crédibilité redoutable. « Alan vous rembourse 45 € pour vos soins du 12 mai. Cliquez ici pour confirmer votre RIB. » La tentation est forte, surtout pour les jeunes actifs qui gèrent leurs remboursements en ligne.
L’arnaque au faux remboursement : quand les hackers connaissent votre mutuelle et votre numéro de contrat
Les techniques de phishing ont considérablement évolué ces dernières années. Les attaques de masse, comme celles observées après le piratage Booking.com qui avait touché 6,5 millions de Français, ont montré l’efficacité des messages personnalisés. Les pirates ne se contentent plus d’envoyer des emails génériques. Ils utilisent les données volées pour créer des messages sur mesure, avec votre vrai nom, votre vrai contrat, et des montants qui correspondent à vos vrais remboursements.
Le piège est d’autant plus vicieux que les clients d’Alan sont habitués à recevoir des communications par email et SMS. La mutuelle envoie régulièrement des notifications de remboursement, des alertes de consultation, des messages de prévention. Un faux message se fond facilement dans le flux. La vigilance doit être absolue dans les prochains mois.
L’usurpation d’identité médicale : un cauchemar silencieux pour vos futurs soins
L’arnaque au remboursement n’est que la partie émergée de l’iceberg. La menace la plus grave, à long terme, est l’usurpation d’identité médicale. Un inconnu utilise votre numéro de Sécurité sociale pour se faire soigner à votre place. Les conséquences sont multiples.
D’abord, votre historique médical est faussé. Des pathologies que vous n’avez jamais eues s’ajoutent à votre dossier. Un médecin traitant que vous ne connaissez pas est enregistré à votre nom. Des médicaments que vous n’avez jamais pris apparaissent dans votre historique. Ensuite, votre droit à l’oubli pour un crédit bancaire peut être violé : si l’usurpateur a été traité pour une maladie grave, cette information peut apparaître dans votre dossier et compromettre vos demandes de prêt.
Résoudre une usurpation d’identité médicale est un parcours du combattant. Il faut contacter l’Assurance Maladie, fournir des justificatifs, prouver que les soins ne sont pas les vôtres. Le processus peut prendre des mois, voire des années. Et pendant ce temps, votre dossier médical continue d’être pollué par des informations erronées.
Les données de santé ne sont pas les seules en danger
Contrairement à ce qu’affirme Alan, les données exposées ne sont pas « juste » des numéros de Sécu. Comme le rappelle Libération, les données volées (n° de Sécurité sociale, nom de l’assureur, garanties) permettent des attaques de phishing hyper-personnalisées. Un pirate qui connaît votre mutuelle et votre numéro de contrat peut vous contacter en se faisant passer pour votre assureur, avec des arguments très crédibles.
Protocole d’urgence : les 4 réflexes pour sauver vos données de santé
Face à cette menace, l’attentisme n’est pas une option. Les clients d’Alan, mais aussi tous les assurés dont les données ont fuité via Almerys (MGEN, Harmonie, AG2R), doivent agir rapidement. Voici les gestes à poser dès maintenant.
Vérifier ses accès Ameli et FranceConnect : le geste numéro 1
La première chose à faire est de se connecter à son compte ameli.fr et de vérifier l’historique des connexions. Regardez si des sessions ont eu lieu depuis des adresses IP inconnues ou à des heures inhabituelles. Vérifiez que votre RIB n’a pas été modifié, qu’aucun nouveau numéro de téléphone n’a été ajouté, qu’aucun médecin traitant n’a été changé sans votre accord.
Ensuite, faites le ménage dans les comptes liés à FranceConnect. Cette plateforme centralise l’accès à de nombreux services publics (impôts, CAF, Assurance Maladie). Si un fraudeur parvient à prendre le contrôle de votre compte FranceConnect, il peut accéder à l’ensemble de vos données administratives. Vérifiez la liste des services connectés et supprimez ceux que vous n’utilisez plus.
Changer ses mots de passe et activer la double authentification
Même si Alan assure que ses propres systèmes et mots de passe ne sont pas touchés, c’est le moment idéal pour une révision globale de votre sécurité numérique. Ne réutilisez jamais le même mot de passe sur plusieurs sites. Utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes.
Activez la double authentification (2FA) sur tous les comptes sensibles : Ameli, impots.gouv.fr, vos banques, et bien sûr les services de santé. La 2FA ajoute une couche de sécurité supplémentaire : même si un fraudeur obtient votre mot de passe, il ne pourra pas se connecter sans le code envoyé sur votre téléphone. C’est l’un des gestes les plus efficaces pour se protéger.
Signaler le piratage à la CNIL et porter plainte
Si vous êtes client d’Alan ou d’une mutuelle utilisant Almerys, vous pouvez signaler l’incident à la CNIL via sa plateforme dédiée. Chaque signalement est une donnée supplémentaire pour l’enquête en cours. Plus les signalements sont nombreux, plus la pression sur Almerys est forte.
Vous pouvez également porter plainte ou déposer une main courante. La procédure est simple : rendez-vous sur cybermalveillance.gouv.fr pour obtenir des conseils personnalisés, puis déposez plainte en ligne ou dans un commissariat. Même si les chances d’identifier les pirates sont faibles, chaque plainte contribue à constituer un dossier solide pour la justice.
Ne jamais donner suite aux sollicitations par mail, SMS ou téléphone
RTL rappelle une règle d’or : ne jamais donner suite aux sollicitations non sollicitées, même si elles semblent crédibles. Un vrai professionnel de santé ou un vrai assureur ne vous demandera jamais vos identifiants, votre mot de passe ou votre numéro de carte bleue par email ou SMS. En cas de doute, contactez directement votre mutuelle ou l’Assurance Maladie via les canaux officiels.
Alan peut-elle survivre à la faute de son prestataire ?
La question est sur toutes les lèvres des clients d’Alan : faut-il quitter la mutuelle ? La réponse n’est pas simple. Alan est avant tout une victime collatérale. Ses systèmes n’ont pas été piratés. C’est son prestataire, Almerys, qui a failli. Mais dans l’esprit des clients, la distinction est floue. Alan a choisi Almerys. Alan est responsable de la sécurité de ses données, même si elle les confie à un sous-traitant.
La licorne aux 100 millions d’euros face au scandale de la soustraitance
Alan a levé 100 millions d’euros et symbolise la « fintech santé ». Son modèle économique repose sur une promesse de simplicité et de modernité. Les freelances et les jeunes actifs ont choisi Alan parce qu’elle promettait une expérience sans friction, sans paperasse, sans intermédiaires. La révélation que la mutuelle dépend d’un sous-traitant de la vieille garde, dont les failles de sécurité exposent des millions de numéros de Sécu, est un coup dur pour cette promesse.
Le parallèle avec d’autres scandales de fuites de données est instructif. Après le piratage de la CFDT, qui avait exposé 1,4 million de dossiers d’adhérents, le syndicat a vu sa réputation durablement entachée. Les adhérents se sont demandé comment une organisation censée défendre leurs droits pouvait laisser fuiter leurs données personnelles. Alan risque de subir le même sort.
Les jeunes freelances, première cible d’une défiance envers la mutuelle digitale
Le cœur de cible d’Alan — freelances, jeunes actifs, 16-25 ans — est le plus sensible à cette faille. Cette génération est hyper-connectée, mais aussi hyper-vigilante sur la protection de ses données. Elle a grandi avec les fuites de données, les arnaques en ligne et les scandales de surveillance. Pour elle, une mutuelle qui ne protège pas les données, c’est une mutuelle qui n’a pas compris l’essentiel.
Vers qui se tourneront-ils ? Vers une mutuelle traditionnelle ? Le problème, c’est que les mutuelles traditionnelles ont elles aussi été piratées via Almerys. MGEN, Harmonie, AG2R : toutes sont dans le même bateau. La fuite est généralisée. Le monopole de la confiance numérique est durablement brisé, non pas pour Alan seule, mais pour tout le secteur de l’assurance santé.
La communication d’Alan : transparence bienvenue, mais insuffisante
Alan a communiqué rapidement, samedi matin, un geste appréciable. Mais la transparence ne suffit pas à effacer l’inquiétude. Les clients veulent des réponses concrètes : quelles données exactement ont fuité pour chacun d’entre eux ? Quelles mesures sont prises pour éviter une récidive ? Alan promet d’informer individuellement les membres concernés, mais le flou persiste.
Conclusion : L’incident Almerys, un électrochoc pour repenser la sécurité du tiers-payant
Au-delà du cas Alan, c’est tout le système des intermédiaires de données de santé qui est pointé du doigt. Les gestionnaires de tiers-payant comme Almerys et Viamedis sont devenus des passages obligés pour les flux de données entre l’Assurance Maladie, les mutuelles et les professionnels de santé. Leur rôle est essentiel, mais leur sécurité est défaillante.
La répétition des incidents — 33 millions de victimes en 2024, 15,4 millions en 2026 — montre que les mesures prises jusqu’à présent sont insuffisantes. Les obligations de sécurité pour ces data processors doivent être renforcées, les audits doivent être plus fréquents, les sanctions doivent être dissuasives. L’avenir est aux « cyber-assurés » : garder sa mutuelle, mais devenir un citoyen proactif sur la sécurité de ses données de santé. Car la protection ne viendra plus uniquement des institutions. Elle dépendra aussi de notre vigilance à tous.
