ALAN a informé ses assurés qu’un de ses partenaires techniques, Almerys, a récemment subi une cyberattaque ayant entraîné une fuite de données concernant l’ensemble de ses clients, dont les adhérents ALAN.

Dans son message adressé aux assurés, ALAN affirme que :

• ses propres systèmes n’ont pas été piratés ;

• les données de santé et les données bancaires ne seraient pas concernées ;

• les mots de passe et les coordonnées personnelles ne seraient pas touchés ;

• et que les espaces personnels des adhérents resteraient sécurisés.

L’entreprise précise néanmoins que les données potentiellement exposées comprennent :

• le nom ;

• le prénom ;

• la date de naissance ;

• le numéro de sécurité sociale ;

• ainsi que diverses informations liées au contrat d’assurance.

ALAN indique également considérer, « par mesure de précaution », que l’ensemble des assurés et de leurs ayants droit pourraient être concernés.

Une communication qui se veut rassurante…

Dans son courrier, ALAN insiste sur plusieurs éléments :

• les plateformes concernées auraient été immédiatement déconnectées ;

• une plainte aurait été déposée ;

• la CNIL et l’ACPR auraient été saisies ;

• des investigations seraient toujours en cours ;

• et l’entreprise affirme renforcer les exigences de sécurité imposées à ses prestataires.

Cette communication vise clairement à rassurer les assurés et à montrer qu’ALAN n’a pas été directement victime d’une intrusion informatique.

…mais qui soulève aussi des questions de fond

Pour Solidaires Finances Publiques 33, cet incident confirme surtout une réalité que nous dénonçons depuis le départ : plus les chaînes de sous-traitance sont longues, plus les risques augmentent.

Même lorsqu’une entreprise affirme que « ses systèmes » n’ont pas été touchés, les données des agentes et agents circulent malgré tout entre différents opérateurs privés disposant d’un accès à des informations particulièrement sensibles.

Et les données concernées ne sont pas anodines.

Le numéro de sécurité sociale, l’état civil complet et les informations contractuelles constituent déjà des données permettant :

• des tentatives d’usurpation d’identité ;

• des campagnes de phishing ciblées ;

• ou des fraudes administratives.

La santé des agentes et agents mérite mieux

Depuis le choix d’ALAN comme opérateur de PSC au ministère, Solidaires Finances Publiques 33 alerte sur :

• l’externalisation croissante des données sensibles ;

• la dépendance à des plateformes privées ;

• la multiplication des sous-traitants ;

• et le manque de garanties réellement souveraines.

Les agentes et agents de la DGFIP manipulent quotidiennement des données sensibles. Ils savent mieux que quiconque qu’aucun système n’est totalement invulnérable.

La confiance ne peut donc pas reposer uniquement sur des éléments de communication.

Elle nécessite :

• de la transparence ;

• des garanties concrètes ;

• des contrôles indépendants ;

• et une véritable maîtrise publique des infrastructures numériques sensibles.

Solidaires Finances Publiques 33 exige

• une information complète des agentes et agents concernés ;

• une transparence totale sur l’ampleur réelle de la fuite ;

• des garanties renforcées sur l’utilisation des données personnelles et médicales ;

• un audit indépendant des dispositifs liés à la PSC ;

• et une limitation du recours aux chaînes de sous-traitance privées.

Nos données personnelles et médicales ne sont pas une marchandise.

La protection des agentes et agents doit être une priorité absolue.