Cyberattaque d'Almerys : ce que les pharmaciens doivent anticiper au comptoir
Almerys, l'un des deux grands opérateurs du tiers payant français, a été victime d'une cyberattaque le 22 mai 2026. Alan, MGEN et AG2R La Mondiale parmi les assureurs touchés. Les données administratives ont été exposées — pas les données de santé. Ce que ça change concrètement en officine.
Almerys, opérateur majeur du tiers payant, a subi une cyberattaque le 22 mai 2026. Des données administratives (identité, numéro de sécurité sociale, informations contractuelles) ont été exposées pour les assurés d'Alan, MGEN et AG2R La Mondiale, entre autres. Les données de santé et les coordonnées bancaires ne sont pas touchées. Les pharmaciens doivent anticiper des perturbations du tiers payant et rester vigilants face aux tentatives d'hameçonnage.
Almerys, l'un des deux opérateurs historiques du tiers payant en France, a subi une cyberattaque le 22 mai 2026. La plateforme de délivrance des prises en charge (PEC) a été directement ciblée. La société a mis sa plateforme hors ligne — une restauration est prévue début juin — et a notifié la CNIL et l'ACPR. Tous les membres Alan ont été directement informés par la compagnie.
Ce qui a été compromis — et ce qui ne l'a pas été
Les données exposées concernent les informations personnelles liées aux contrats de complémentaire santé :
- Noms et prénoms
- Dates de naissance
- Numéros de sécurité sociale
- Noms des assureurs santé
- Numéros de contrat
- Dates de début et de fin de couverture
Ce qui n'a pas été touché : coordonnées bancaires, données de santé, historiques de remboursements, adresses postales, numéros de téléphone, emails et mots de passe. Alan le précise explicitement : ses données de santé sont stockées sur ses propres serveurs, indépendamment d'Almerys, et n'ont pas été exposées.
Quels assureurs sont concernés ?
Almerys gère le tiers payant pour un large panel de complémentaires santé. Parmi les organismes dont les assurés sont explicitement concernés : Alan, MGEN et AG2R La Mondiale. L'ensemble des clients utilisant la plateforme est potentiellement impacté.
Les assurés ont été ou seront notifiés directement par leur complémentaire santé. Certains, notamment les clients d'Alan, ont déjà reçu un email d'information.
Ce que ça change au comptoir
Pour les pharmaciens d'officine, cette attaque a deux conséquences immédiates.
Des perturbations possibles sur le tiers payant. La plateforme de délivrance des PEC ayant été ciblée, des délais de validation ou des bascules en mode dégradé sont à anticiper dans les prochains jours. Si une prise en charge ne passe pas, ne bloquez pas le patient : appliquez la procédure dégradée habituelle et demandez au patient de se rapprocher de sa complémentaire pour régularisation.
Une vigilance accrue face aux tentatives d'hameçonnage. Ce type d'attaque s'accompagne systématiquement de campagnes de phishing exploitant les données volées. Des faux emails ou appels téléphoniques prétendant provenir d'Almerys, d'une mutuelle ou de la CNIL peuvent cibler aussi bien les officines que les patients.
Côté équipe : ne jamais transmettre d'identifiants ou de données de connexion par email ou téléphone, quelle que soit l'urgence invoquée. Côté patients : les rassurer — leurs coordonnées bancaires ne sont pas compromises — et les alerter sur les messages alarmistes qui pourraient leur demander de "mettre à jour" leurs informations.
À retenir
- Almerys a subi une cyberattaque le 22 mai 2026, ciblant sa plateforme tiers payant — mise hors ligne, restauration prévue début juin.
- Données exposées : identité, numéro de sécurité sociale, informations contractuelles. Pas de données de santé, pas de données bancaires.
- Assureurs concernés parmi d'autres : Alan, MGEN, AG2R La Mondiale.
- En officine : anticiper les perturbations du tiers payant en mode dégradé et renforcer la vigilance face au phishing.
- Almerys a notifié la CNIL et l'ACPR.
À lire aussi sur Pharmactu :
À lire aussi
Cybersécurité en officine : ce que l'attaque Almerys nous oblige à mettre en place
L'attaque Almerys du 22 mai 2026 a rappelé que l'écosystème officinal — LGO, tiers payant, messagerie, télétransmission — est une cible. Pour une officine moyenne, cinq actions techniques et organisationnelles changent la donne : authentification forte, sauvegardes hors ligne, sensibilisation au phishing, mise à jour systématique des LGO, et procédure d'incident écrite. Aucune n'est coûteuse. Toutes sont attendues par la CNIL en cas de contrôle ou d'incident.
Tiers payant Carte Blanche Partenaires : la nouvelle convention FSPF du 2 juin 2026 (circulaire 2026-28)
La FSPF a publié le 2 juin 2026 sa circulaire 2026-28 actant la convention nationale de délégation de paiement pharmaceutique avec Carte Blanche Partenaires (CBP). Effet rétroactif au 1er janvier 2025, date à laquelle CBP a déployé son propre dispositif de tiers payant indépendant d'Almerys. Code préfectoral à utiliser : 37930151. La norme VISIODROITS® permet la consultation des droits patients en temps réel ; son activation chez l'éditeur logiciel est conseillée pour limiter les rejets de paiement, annoncés inférieurs à 0,5 % par CBP.
Stockage de vaccins chez les médecins : l'USPO exige les mêmes obligations que l'officine
L'article 55 de la LFSS 2026 a créé l'article L. 4211-4 du Code de la santé publique, autorisant les centres de santé, médecins, sages-femmes et infirmiers libéraux à s'approvisionner et détenir des vaccins. Un décret en Conseil d'État doit encore préciser les conditions d'application. L'USPO, dans un communiqué du 3 juillet 2026, exige que ces professionnels soient soumis aux mêmes obligations que les pharmaciens : réfrigérateurs qualifiés avec sonde et relevé de température, sérialisation obligatoire (hors grippe), traçabilité et alimentation du DMP, gestion des retraits de lots, déclaration TVA et respect des règles de tiers payant intégral. L'État a confirmé le 24 mars 2026 que l'approvisionnement se fera exclusivement auprès des officines. L'USPO alerte sur la précipitation du calendrier alors que le décret n'est pas publié et que la campagne automnale approche.