Aflac notifie 22,65 millions de personnes après une intrusion attribuée à Scattered Spider. Données de santé et numéros de sécurité sociale compromis.
En bref
- L'assureur américain Aflac notifie 22,65 millions de personnes après une intrusion datant de juin 2025
- Données volées : dossiers d'assurance, données de santé, numéros de sécurité sociale, informations personnelles
- L'attaque est attribuée à une campagne ciblant le secteur de l'assurance, potentiellement liée au groupe Scattered Spider
Les faits
Aflac, l'un des plus grands assureurs complémentaires aux États-Unis, a commencé en mars 2026 la notification de 22,65 millions de personnes dont les données personnelles ont été volées lors d'une intrusion détectée le 12 juin 2025. L'entreprise avait initialement divulgué l'incident le 20 juin 2025, l'attribuant à un « groupe cybercriminel sophistiqué ». L'investigation, conclue le 4 décembre 2025, a permis d'évaluer l'ampleur réelle des données compromises, selon SecurityWeek et The Record.
Les documents exfiltrés contiennent des informations sur les réclamations d'assurance, des données médicales, des numéros de sécurité sociale et d'autres données personnelles de clients, bénéficiaires, employés, agents et autres individus liés aux opérations américaines d'Aflac. L'attaquant n'a pas déployé de ransomware — l'objectif était purement l'exfiltration de données. Aflac n'a pas nommé le groupe responsable, mais a indiqué que l'attaque s'inscrivait dans une « campagne contre le secteur de l'assurance », ce qui pointe vers le groupe Scattered Spider, actif contre les assureurs à la même période selon Google Threat Intelligence.
Impact et exposition
Avec 22,65 millions de victimes, c'est l'une des plus grandes fuites de données de santé aux États-Unis en 2025-2026. Les données médicales et les numéros de sécurité sociale sont parmi les informations les plus exploitables pour la fraude à l'identité et l'usurpation. La valeur d'un dossier médical sur le dark web reste 10 à 50 fois supérieure à celle d'un numéro de carte bancaire, car il ne peut pas être « annulé » comme une carte.
Pour les entreprises françaises et européennes du secteur de l'assurance, cet incident est un signal d'alarme. Scattered Spider a démontré sa capacité à cibler spécifiquement le secteur, et les assureurs européens disposent de données tout aussi sensibles au regard du RGPD. Les filiales françaises et européennes de grands groupes d'assurance américains pourraient être indirectement exposées si des données transfrontalières figurent dans le périmètre compromis.
Recommandations
- Les assureurs doivent renforcer la détection des techniques de Scattered Spider : vishing, ingénierie sociale ciblée, abus d'outils IT légitimes
- Mettre en place une segmentation stricte des bases de données contenant des données de santé et des SSN
- Activer le monitoring DLP (Data Loss Prevention) sur les endpoints et les flux sortants pour détecter les exfiltrations massives
- Si vous êtes client Aflac : activer la surveillance d'identité proposée et geler votre crédit auprès des bureaux de crédit
Pourquoi neuf mois entre l'attaque et la notification des victimes ?
L'investigation forensique a duré de juin à décembre 2025 pour déterminer précisément quelles données avaient été accédées parmi des millions de dossiers. Ce délai, bien que frustrant pour les victimes, est courant dans les brèches de cette ampleur. La réglementation américaine impose la notification « dans un délai raisonnable » après la conclusion de l'enquête, ce qui a été respecté ici. En Europe, le RGPD impose un délai de 72 heures pour la notification à l'autorité de contrôle, mais pas nécessairement aux individus.
Qui est Scattered Spider et pourquoi cible-t-il les assureurs ?
Scattered Spider (aussi connu sous les noms UNC3944, Muddled Libra, Octo Tempest) est un groupe cybercriminel anglophone spécialisé dans l'ingénierie sociale et le SIM swapping. Après avoir ciblé les télécoms et la tech en 2023-2024, le groupe s'est tourné vers le secteur de l'assurance en 2025, attiré par le volume de données sensibles (santé, financières, identitaires) et la relative immaturité cyber de certains acteurs du secteur.
À retenir
22 millions de victimes, des données de santé et des numéros de sécurité sociale : Aflac illustre pourquoi le secteur de l'assurance est devenu une cible prioritaire en 2025-2026. Les assureurs européens doivent tirer les leçons de cet incident avant que Scattered Spider ou un groupe similaire ne s'intéresse à leurs données, protégées par le RGPD mais pas pour autant inviolables.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
ShinyHunters vole 350 Go de données à la Commission européenne
ShinyHunters revendique le vol de 350 Go de données depuis l'infrastructure AWS de la Commission européenne. Deuxième brèche en 2026 pour l'institution.
LexisNexis piraté : 400 000 profils cloud exposés via React2Shell
LexisNexis confirme une brèche via React2Shell : 400 000 profils cloud exposés, dont 118 comptes gouvernementaux américains. FulcrumSec publie 2 Go de données.
CTRL : un toolkit RAT russe sur-mesure cible les entreprises via RDP
CTRL, un toolkit RAT russe développé en .NET, combine phishing Windows Hello, keylogging et tunneling RDP via FRP pour cibler les entreprises.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire