En bref

  • L'assureur américain Aflac notifie 22,65 millions de personnes du vol de leurs données personnelles et médicales.
  • L'attaque, attribuée à une campagne ciblant le secteur de l'assurance, aurait des liens avec le groupe Scattered Spider.
  • Les données compromises incluent noms, adresses, numéros de sécurité sociale et informations de santé.

Ce qui s'est passé

Aflac, l'un des plus grands assureurs complémentaires aux États-Unis, a révélé que les données personnelles de 22,65 millions de personnes ont été dérobées lors d'une intrusion détectée le 12 juin 2025 sur son réseau américain. L'entreprise procède actuellement à la notification individuelle des victimes, conformément à la réglementation en vigueur.

Les données volées comprennent des noms, adresses postales, numéros de sécurité sociale, identifiants de compte, ainsi que des informations médicales et d'assurance santé. Selon Aflac, les attaquants n'ont pas déployé de ransomware et les opérations de l'entreprise n'ont pas été interrompues, ce qui suggère une exfiltration ciblée de données plutôt qu'une attaque destructive.

Aflac n'a pas nommé le groupe responsable, mais a précisé que l'incident s'inscrivait dans « une campagne contre l'industrie de l'assurance ». Cette formulation coïncide avec les alertes du Google Threat Intelligence Group, qui avait signalé à la même période que le groupe Scattered Spider recentrait ses opérations sur les compagnies d'assurance, après avoir ciblé les secteurs des télécommunications et de la tech.

Pourquoi c'est important

Par son ampleur, cette fuite se classe parmi les plus importantes de l'année 2025-2026. La nature des données volées — numéros de sécurité sociale combinés à des informations médicales — crée un risque élevé d'usurpation d'identité et de fraude à l'assurance pour les victimes. Ces données ont une valeur particulièrement élevée sur les marchés cybercriminels, car elles permettent de monter des dossiers complets d'identité synthétique.

L'implication présumée de Scattered Spider, un groupe connu pour ses techniques sophistiquées d'ingénierie sociale et ses attaques contre MGM Resorts et Caesars Entertainment en 2023, montre que les acteurs menaçants évoluent constamment vers de nouvelles cibles sectorielles. Le secteur de l'assurance, qui détient des volumes massifs de données sensibles, devient une cible prioritaire.

Ce qu'il faut retenir

  • 22,65 millions de personnes sont concernées par le vol de données personnelles, financières et médicales chez Aflac.
  • Le groupe Scattered Spider est suspecté, dans le cadre d'une campagne ciblant spécifiquement le secteur de l'assurance.
  • Les entreprises du secteur doivent renforcer leurs défenses contre l'ingénierie sociale et auditer leurs accès aux bases de données sensibles.

Quels risques pour les personnes dont les données ont été volées chez Aflac ?

Les victimes sont exposées à l'usurpation d'identité, la fraude à l'assurance et l'ouverture frauduleuse de comptes. Aflac propose un service de surveillance du crédit gratuit. Il est recommandé de geler son crédit auprès des agences de notation, de surveiller ses relevés bancaires et de rester vigilant face aux tentatives de phishing exploitant les données volées.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact