Viamedis et Almerys : 33 millions d'assurés exposés
📰 Ce qui s'est passé
Janvier-février 2024, deux opérateurs de tiers payant santé sont victimes d'attaques coordonnées : Viamedis puis Almerys. Au total, 33 millions de Français voient leurs données de santé partiellement exposées (état civil, garanties, employeur, mutuelle). Les attaquants ont compromis des comptes de professionnels de santé puis utilisé l'API légitime pour extraire les données en masse.
💡 La leçon
Les API qui semblent inoffensives (consultation de droits) deviennent des armes une fois un compte légitime compromis. Le rate limiting, l'audit log, la détection d'usage anormal et la rotation périodique des credentials professionnels sont des contrôles essentiels souvent négligés.
🎯 Votre mini-action de la semaine
Demande à ton DSI : nos APIs ont-elles un rate limit ? Un audit log centralisé ? Une alerte sur usage anormal (volume, IP, heure inhabituelle) ? Trois questions, trois indicateurs de maturité.
Source : CNIL · 7 février 2024