Tiers payant : qui hébergeait les données exposées ?
Publié par Clément Bohic le | Mis à jour le
À quels hébergeurs Almerys et Viamedis avaient-ils confié leurs données de tiers payant ? Sur ce sujet, chacun a son historique.
Et si vous proposiez aux opticiens et aux audioprothésistes un paiement par chèque avec encaissement différé ?
Le courtier Roederer le suggère à ses clients assurés depuis que ces praticiens se sont vu couper l’accès au service de tiers payant de Viamédis. C’était le 31 janvier, à la suite de la cyberattaque que ce dernier venait de subir.
Même si l’incident en question n’a pas touché directement ses systèmes, Roederer a pris des mesures techniques. Dont la mise en place de la double authentification (par SMS) pour la connexion aux comptes existants. Il a aussi suspendu temporairement la possibilité d’en créer de nouveaux.
La continuité du service de tiers payant est effective sur les actes dits « simples », explique le courtier : pharmacie et laboratoire. Le tiers payant « complexe » ne peut pas être organisé à court terme, faute de disposer de la base de données des professionnels de santé. Impossible, donc, de déterminer s’ils font partie d’un réseau et d’ajuster l’éventuelle prise en charge.
La mutuelle Aésio sous-traite elle aussi la gestion du tiers payant à Viamedis… ainsi qu’à Almerys, l’autre organisme à avoir subi une cyberattaque. Même chose, entre autres, pour VIANSANTÉ (groupe AG2R La Mondiale).
CA Assurances ne s’appuie quant à que sur le premier ; Alan, sur le second. Tous trois insistent sur le fait que les cyberattaques ne les ont pas ciblés. Aussi les espaces personnels de leurs adhérents restent-ils accessibles.
Viamedis, longtemps hébergé chez Prosodie… et donc dans la sphère Capgemini
La Fédération des syndicats pharmaceutiques de France a fait son propre exposé de la situation. « Notre partenaire Viamedis […] est victime d’une cyberattaque depuis lundi 29 janvier, par usurpation d’identité du compte d’un professionnel de santé, sur son portail de gestion du tiers payant Viamedis.net », résume-t-elle. Et d’ajouter :
Chez qui Viamedis héberge-t-il ses serveurs ? Historiquement, l’entreprise a recouru aux services de Prosodie. On en trouve trace dès les années 2000. Par exemple dans un document de Télétransmission Santé Réunion à destination des professionnels de santé. On peut notamment y lire que :
Un document plus récent (2017) comporte des mentions similaires. Il y est spécifié que dans « données relatives aux professionnels de santé », il faut inclure celles concernant les bénéficiaires.
Né en 1997, Prosodie avait basculé, en 2011, dans le giron de Capgemini. Devenu Odigo et recentré sur l’édition de solutions CCaaS (centres de contact), il avait obtenu la certification HDS en 2019 (il l’a toujours au dernier pointage). L’année suivante, il était revendu à son ancien propriétaire – à savoir le fonds Apax Partners, devenu depuis lors Seven2. Il revendiquait alors, parmi ses clients, l’Assurance Maladie… et Malakoff-Humanis, la maison mère de Viamedis.
Les liens avec Prosodie apparaissent aussi sur les profils d’anciens de Viamedis. L’un d’entre eux relate ses « relations avec les hébergeurs », dont Cegedim pour l’AS/400… et Prosodie pour les plates-formes Web. C’était sur la période 2010-2017. Viamedis se préparait alors pour la certification HDS…
Depuis, il y a eu un plan de modernisation de la plate-forme technologique du tiers payant, amorcé en 2018. Aux dernières nouvelles, « les données traitées par Viamedis sont administrées et hébergées sur des serveurs propres à l’entreprise chez des ‘Hébergeurs de Données de Santé’ ».
Almerys : une certification HDS et une activité dédiée
Situation différente pour Almerys : l’organisme a la certification HDS (niveaux 3, 5 et 6) depuis le début des années 2010. Il a ainsi bénéficié, par la suite, de multiples agréments pour héberger des données de santé à caractère personnel. Notamment en lien avec les applications Sesame RH et Teamlive. Ou, plus récemment, dans le cadre d’une « activité de délégation de gestion en tiers payant et hors tiers payant » ou d’une « mise à disposition en mode SaaS d’applications destinées à gérer le tiers payant ou hors le tiers payant ».
IBM figure en bonne position parmi les partenaires technologiques d’Amerys. L’entreprise a dégagé, sur son exercice 2022, un chiffre d’affaires net de 60 M€, pour 20 M€ de bénéfice. Elle est la structure historique du groupe be ys, qu’elle avait rejoint en 2016 après le désengagement d’Orange, qui était son actionnaire majoritaire. Son activité se dédie officiellement « aux solutions de gestion de l’assurance santé et prévoyance, d’adhésions, de cotisations et de traitements des prestations ».
be ys (à prononcer « be wise ») dispose d’une entité Be-Itys proposant « une infrastructure sécurisée pour le traitement et l’hébergement [des données] ».
Illustration © natali_mis – Adobe Stock