Fuite de données chez Alan (assurances) : ce que les courtiers doivent comprendre

Alan, l'assurtech qui couvre plus d'un million de membres en France, Belgique, Espagne et Canada, vient d'informer ses adhérents d'une fuite de données personnelles. Noms, prénoms, dates de naissance, numéros de sécurité sociale, contrats d'assurance. Le tout mis en vente sur le dark web.

Ce n'est pas Alan qui s'est fait pirater. C'est Almerys, son prestataire technique en charge du tiers-payant en France. Mais pour les assurés, la distinction est invisible. C'est le nom d'Alan qui apparaît dans l'email d'alerte envoyé à tous les adhérents. C'est la confiance en Alan qui est entamée.

Le bilan revendiqué par le pirate : 44 millions de lignes de données et 15,4 millions de numéros de sécurité sociale uniques, potentiellement répartis sur 674 organismes clients d'Almerys. L'authenticité complète du fichier n'a pas encore été confirmée officiellement par Almerys. Mais c'est la deuxième fois en deux ans que la société est visée. Fin janvier 2024, une attaque sur Almerys et Viamedis avait exposé les données de 33 millions de personnes. L'enquête de la CNIL ouverte à l'époque n'est toujours pas terminée.

Qu'est-ce qui s'est passé, concrètement

Almerys est un gestionnaire de tiers-payant. C'est la boîte technique qui fait le lien entre votre mutuelle et votre médecin quand vous ne payez pas la consultation en totalité. Un intermédiaire invisible mais qui voit passer les données de millions d'assurés.

Vendredi 22 mai, Almerys a informé ses clients, dont Alan, MGEN, Harmonie Mutuelle et AG2R, qu'un pirate avait accédé à ses systèmes. Le hacker, connu sous le pseudonyme "Lagui", affirme n'avoir rencontré aucune double authentification. Les données couvriraient une période allant de 2010 à 2026.

Alan a réagi vite : notification immédiate de tous ses adhérents par email, alerte à l'ACPR (le régulateur des assurances), préparation de la notification à la CNIL. Mais le mal est fait. La confiance se construit en années et se perd en un email.

Ce que ça signifie pour les courtiers belges

Alan est une assurtech qui distribue en direct, sans passer par des courtiers. Vos clients ne sont pas chez Alan et vous ne proposez pas leurs produits. Alors pourquoi en parler ?

Parce que le scénario peut se reproduire à l'identique avec n'importe quelle compagnie de votre portefeuille. AG, Ethias, Baloise, AXA, Vivium : toutes font appel à des prestataires techniques pour le traitement des données, la gestion des sinistres, l'hébergement de leurs plateformes. Si l'un de ces prestataires se fait pirater, c'est vous, courtier, qui êtes en première ligne face au client. Pas la compagnie. Vous.

Quand un assuré apprend que ses données ont fuité, il ne décroche pas son téléphone pour appeler le siège de la compagnie. Il appelle son courtier.

L'indépendance comme protection

C'est ici que le rôle du courtier indépendant prend tout son sens. Si vous proposez des produits chez plusieurs compagnies et que l'une d'entre elles subit une fuite de données, votre crédibilité de courtier reste intacte. Vous n'êtes pas cette compagnie. Vous êtes le conseil indépendant qui guide ses clients vers les meilleures solutions.

Un agent exclusif lié à une seule compagnie piratée subit le même dommage réputationnel que la compagnie elle-même. Le courtier multi-compagnies, lui, peut dire à ses clients : "Nous avons été informés, voici ce que nous savons, voici ce que nous recommandons." Il reste dans son rôle de conseil.

Cette indépendance, c'est aussi une protection structurelle. Vos données clients ne sont pas centralisées chez un seul partenaire. Si un prestataire tombe, vous avez des alternatives. Vous ne dépendez pas d'un seul maillon.

Vendredi dernier, on en parlait justement

Dans notre dernière vidéo sur LinkedIn, nous racontions le cas réel d'un bureau de courtage du Brabant wallon dont le compte email avait été compromis. Des centaines d'emails frauduleux envoyés à tous les contacts : clients, compagnies, partenaires. Un matin, tout bascule.

Le parallèle avec l'affaire Alan/Almerys est frappant. Dans les deux cas, c'est un maillon technique qui cède. Dans les deux cas, c'est la confiance qui prend le premier coup.

Dans cette vidéo, nous partagions trois réflexes essentiels : ne jamais éteindre la machine (elle contient les preuves), prévenir immédiatement son équipe et ses prestataires, et changer tous les mots de passe accessibles depuis le poste compromis. Des réflexes simples, mais que la plupart des bureaux découvrent le jour où il est déjà trop tard.

Ce que vous pouvez faire maintenant

La chaîne n'est qu'aussi solide que son plus faible maillon. Vous ne pouvez pas empêcher une compagnie ou un prestataire de se faire pirater. Mais vous pouvez limiter votre exposition.

1. Diversifiez vos partenaires. C'est le fondement du métier de courtier. Plus vous travaillez avec des compagnies différentes, moins une fuite chez l'une d'elles impacte l'ensemble de votre activité et de votre réputation.

2. Activez la double authentification partout. Le pirate d'Almerys affirme qu'il n'y avait pas de double authentification. C'est la mesure la plus simple et la plus efficace. Email professionnel, CRM, accès compagnies, outils de gestion : activez-la sur tout.

3. Préparez un plan de réponse. Si demain une compagnie vous informe d'une fuite, savez-vous quoi dire à vos clients ? Le RGPD impose une notification à l'autorité de contrôle dans les 72 heures calendrier. Mieux vaut avoir réfléchi à la procédure avant.

4. Gardez vos données clients chez vous. Votre CRM, vos dossiers, vos notes : ce sont vos outils, pas ceux de la compagnie. Si vous centralisez tout chez un seul prestataire et qu'il se fait pirater, vous perdez le contrôle.

5. Communiquez en amont. Un courtier qui parle de cybersécurité à ses clients avant qu'un incident arrive, c'est un courtier qui montre qu'il anticipe. Envoyez un email de sensibilisation. Rappelez les bons réflexes. Vos clients sauront que vous veillez.

La confiance se prépare

Ce qui protège, c'est la structure. L'indépendance du courtier, la diversification des partenaires, et la capacité à réagir vite quand ça arrive.

Le prochain incident ne sera peut-être pas en France. Et le prochain nom dans les gros titres ne sera peut-être pas Alan. Ce sera peut-être une compagnie avec laquelle vous travaillez. Ce jour-là, la question sera : êtes-vous le courtier qui avait anticipé, ou celui qui découvre le problème en même temps que ses clients ?