Quelles leçons tirer de la communication de crise cyber Viamedis et Almerys

33 millions de français sont concernés par la violation de données d’ampleur Viamedis et Almerys. Et les professionnels de santé le sont également !

Ce n’est que le début d’une crise majeure que viennent de connaître les organismes des tiers payant Viamedis et Almérys et par conséquent, assurés sociaux, professionnels de santé et organismes sociaux (Sécurité sociale, MSA…)

En effet, le 29 janvier 2024, une cyberattaque d’ampleur a frappé Viamedis et Almerys.

Plus d’un français sur deux est concerné. 

Pire, on apprenait vendredi 9 février, à l’Université des DPO et révélé par le journal IT for Business que “d’autres données ont été collectées qui concernent les professionnels de santé et, dans certains cas, les entreprises. […] » explique Olivier Gilbert, président de l’ Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP). 

« Le communiqué de la CNIL se focalise sur la volumétrie des profils des assurés et les données relativement inoffensives qui ont été exfiltrées mais passent sous silence les données dérobées concernant les professionnels de santé, des données plus critiques comme le login de connexion du professionnel de santé à son portail de tiers payant, son numéro de téléphone et son RIB ! » relève Nicolas Samarcq, administrateur de l’AFCDP.

Quelle communication de crise ?

Refaisons la chronologie pour comprendre les éléments de communication.

29 janvier 2024 : Détection de l’attaque par les équipes de Viamedis et Almerys. 

Le 1er février : Seule VIamedis annonce la cyberattaque dans un communiqué de presse et précise le périmètre.

Le site internet de Viamedis est mis en veille. Le site d’Almerys fonctionne sans aucune mention de la violation.

7 février 2024: La CNIL annonce l’ouverture d’une enquête dans un communiqué

9 février : le site cybermalveillance.gouv.fr met en ligne un formulaire de dépôt de plainte pour les assurés victimes. Une enquête pour délit est diligentée et confiée à la Brigade de Lutte contre la cybercriminalité pour « atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel provenant d’un délit ».

Le même jour, l’ACDP révèle que les données des professionnels de santé sont usurpées et révèle l’ampleur des dégâts sur les acteurs et système de santé et de confiance numérique.

Notre analyse

Les entreprises ont rapidement réalisé la déclaration de violation de données auprès de CNIL dans les délais impartis conformément au RGPD.

Elles ont également diffusé des informations sur les réseaux sociaux et par le biais de communiqué de presse.

Elles ont collaboré rapidement avec les autorités.

Néanmoins, les communications de Viamedis et Almérys sont imprécises.

Au lieu d’informer, de rassurer et d’inciter les assurés et les professionnels à agir, les communications de Viamedis proposent d’attendre. Almerys garde le silence.

Les premières informations du communiqué de Viamedis sont floues. Elles indiquent un faible nombre de personnes concernées.

Les deux entreprises minimisent la gravité de l’attaque. Viamedis souligne que les données bancaires et médicales n’ont pas été compromises. 

L’information après vérification est contredite par différentes sources quelques jours après précisant des violations concernant les professionnels de santé.

Par ailleurs, la communication est institutionnelle et technique pour Viamedis. Elle ne répond pas aux conséquences de l’onde de chocs. La communication incite les bénéficiaires ou les professionnels à ne pas agir. Or, il est urgent de réagir.

Les entreprises ne proposent aucune solution concrète pour aider les acteurs à se protéger des risques de fraude et d’usurpation d’identité. La communication laisse alors un sentiment de laxisme ou d’impuissance auprès des publics à la recherche d’information.

Les mutuelles prennent en charge une partie de la communication par leurs différents canaux pour protéger leurs adhérents.

Alors que pouvaient faire Viamedis et Almerys ?

Bien qu’il soit toujours aisé de refaire le “match”, la communication de crise les opérateurs auraient pu mieux gérer la situation en adoptant une communication transparente, empathique et proactive.

Par exemple, les entités auraient pu :

• Communiquer directement pour Almerys
• Donner des chiffres clairs et éclaircir l’ampleur des conséquences
• Transmettre des messages d’empathie,
• Mettre en place des plateformes ou outils de communication pour informer les publics et tiers.
• Reconnaître l’impact de l’incident sur les personnes et leurs familles mais aussi les professionnels.
• Témoigner de l’empathie
• Proposer les premiers gestes à accomplir 
• Communiquer régulièrement sur les actions entreprises pour endiguer le choc et accompagner les parties prenantes avec des messages et canaux adaptés à chaque cible.

Cette mauvaise communication de crise va entraîner une perte de confiance conséquente. 

Non seulement Viamedis et Almerys vont avoir des difficultés à renouer la confiance mais ce sont également, par ricochet, les mutuelles et les professionnels de santé qui sont liés à cette méfiance.

Par ailleurs, cette crise jette, à tort, un doute sur la solidité de la numérisation du secteur de la santé et des procédures administratives et la protection des patients.

Evidemment les sanctions juridiques et financières seront lourdes.

Comme le rappelle l’ANSSI dans son “guide de communication de crise cyber ”, ces événements redoutés doivent être anticipés et régulièrement joués en exercice sous le regard de professionnels de la communication.

Ce type de messages générateur d’anxiété, de désordre et de défiance auraient alors été corrigés en phase de simulation …