Analyse des principaux incidents de sécurité et de l’actualité cybersécurité en 2025
Les incidents de cybersécurité ne sont pas de simples titres spectaculaires ; ce sont des rapports post-incident rédigés en conditions réelles. Chaque interruption de service, chaque violation de données et chaque compromission de la chaîne d’approvisionnement met en lumière des failles dans la gestion des identités, les configurations ou les accès tiers que l’on pensait maîtrisés.
La récente vague d’incidents majeurs en 2024 et 2025 a rendu une chose évidente : aucun secteur, aucun fournisseur et aucune région n’est désormais réellement « hors périmètre ».
Dans cet article, nous passons en revue les incidents les plus marquants et, surtout, ce qu’ils révèlent des lacunes actuelles en matière de défense et de plans de réponse aux incidents.
Considérez ces cas comme des exercices appliqués à votre propre environnement : pour chaque violation, posez-vous la question suivante : l’aurions-nous détectée à temps, contenue rapidement et communiquée de manière claire ? En mettant ces incidents en perspective avec votre infrastructure, votre chaîne d’approvisionnement et votre environnement Microsoft 365, vous pouvez tirer des enseignements des situations les plus critiques vécues par d’autres organisations afin de renforcer votre propre résilience.
Octobre 2024 – Violation de la sécurité d’Internet Archive et attaque DDoS
Début octobre 2024, l’organisation à but non lucratif Internet Archive (connue pour Wayback Machine) a subi une importante violation de données affectant plus de 31 millions de comptes d’utilisateurs. Les attaquants ont eu accès à une base de données de 6,4 Go contenant les adresses e-mail, les noms d’utilisateur et les mots de passe hachés Bcrypt des utilisateurs, entre autres informations.
À peu près au même moment, un groupe de hacktivistes baptisé BlackMeta a lancé une série d’attaques par déni de service distribué (DDoS) contre les sites web des Archives, les mettant temporairement hors ligne. Cet incident a mis en évidence les vulnérabilités de la gestion de la configuration des Archives (un fichier de configuration GitLab exposé aurait été le vecteur de l’attaque).
Deux enseignements peuvent être tirés de cet incident. Même si vous êtes une organisation à but non lucratif ou « trop insignifiante pour être vulnérable », vous êtes toujours une cible. De plus, vous devez toujours vérifier la configuration de vos développeurs pour leurs référentiels de code, car une configuration insuffisante pourrait avoir des répercussions négatives sur vous à l’avenir.
Décembre 2024 – Piratage du Trésor américain par un groupe APT chinois
Fin décembre 2024, le département du Trésor américain a révélé avoir été victime d’une cyberattaque commanditée par l’État et attribuée au gouvernement chinois.
Des hackers liés à un groupe APT (Advanced Persistent Threat) chinois ont exploité une faille dans la chaîne d’approvisionnement en compromettant une plateforme d’identité et d’assistance à distance de BeyondTrust, un fournisseur utilisé par le Trésor. En obtenant une clé d’administration BeyondTrust, les hackers ont pu accéder à distance aux postes de travail de plusieurs employés du Trésor et voler des documents non classifiés.
Les responsables du Trésor ont qualifié cet incident de « grave incident de cybersécurité » et ont averti les autorités américaines chargées de la cybersécurité (CISA) le 8 décembre 2024, peu après que BeyondTrust les ait alertés de l’intrusion. Cette violation, qui fait suite à d’autres attaques liées à la Chine contre des cibles américaines, a exacerbé les tensions et a conduit à un examen urgent de la sécurité des accès tiers et des cyberdéfenses du gouvernement.
La principale leçon à tirer ici est de comprendre votre modèle de menace et les risques liés à la dépendance. Si vous avez mis en place une solution de sécurité, où se trouve la « clé principale » de cette solution ? Que se passe-t-il si elle est compromise, et comment le détecter avant qu’il ne soit trop tard ?
Janvier 2025 – Exploits critiques de type « zero day » sur les VPN (Ivanti et SonicWall)
En janvier 2025, des hackers ont activement exploité des vulnérabilités critiques de type « zero day » dans deux produits d’accès à distance très utilisés par les entreprises, ce qui a déclenché des alertes de sécurité d’urgence dans le monde entier. Ivanti (Pulse Secure) a révélé que son appliance Connect Secure VPN contenait une faille critique permettant de contourner l’authentification, qui était exploitée dans la nature.
Cette faille zero-day, qui permettait l’exécution de code à distance sans connexion, a été utilisée pour infiltrer au moins 17 organisations (dont Nominet, le registre de noms de domaine britannique) dès décembre 2024. Les chercheurs de Mandiant ont établi un lien entre les exploits VPN d’Ivanti et un acteur malveillant basé en Chine, compte tenu des outils et des logiciels malveillants utilisés.
À peu près à la même époque, SonicWall a averti qu’une faille zero-day dans son VPN Secure Mobile Access (SMA) série 1000 était également exploitée de manière similaire par des attaquants. Microsoft et la CISA ont confirmé que la faille SonicWall, qui permettait également l’exécution de code à distance sans authentification, avait été utilisée dans des attaques, avec des incidents survenus également en juillet.
Ces défaillances successives de la sécurité VPN ont révélé le potentiel alarmant d’abus des systèmes d’accès à distance fiables par des adversaires, ce qui a conduit les organisations du monde entier à publier en urgence des correctifs et des mesures d’atténuation critiques.
Ce ne sont là que deux exemples d’une tendance observée ces dernières années, où les technologies que vous avez déployées pour protéger votre réseau (pare-feu, appareils VPN) sont si mal conçues et entretenues qu’elles constituent au contraire un point d’accès facile pour les hackers informatiques qui souhaitent s’introduire dans votre environnement.
Quelle que soit la taille de votre fournisseur, vous devez exiger de lui qu’il fasse mieux. Il est tout simplement inacceptable d’acheter des technologies de sécurité censées vous protéger, mais qui vous rendent en réalité plus vulnérable.
Cybersecurity Report 2026
L’accélération des menaces mondiales sous l’impulsion de l’IA
Mars 2025 – Campagne d’espionnage des routeurs Juniper Networks
En mars 2025, la société de cybersécurité Mandiant a révélé une campagne d’espionnage en cours visant les infrastructures réseau. Un groupe APT lié à la Chine (UNC3886) exploitait une vulnérabilité récemment découverte dans le système d’exploitation Junos de Juniper Networks, le système d’exploitation des routeurs Juniper.
À partir de la mi-2024, les attaquants ont utilisé cette faille zero-day pour accéder aux routeurs d’entreprises et peut-être même d’administrations, puis ont implanté des logiciels malveillants de type « backdoor » sur les appareils. Ces portes dérobées furtives ont permis aux hackers de surveiller le trafic réseau et de s’introduire plus profondément dans les réseaux sans être détectés.
Juniper a corrigé la faille dès sa découverte, mais cet incident a été comparé à des attaques passées visant la chaîne d’approvisionnement et les infrastructures. Il a mis en évidence le fait que les acteurs malveillants avancés ciblent désormais directement les routeurs réseau et les pares-feux pour mener des activités d’espionnage à long terme, contournant ainsi la sécurité traditionnelle des terminaux.
Cet incident peut être signalé directement à votre équipe réseau. Les routeurs et les commutateurs font partie de la « plomberie » de votre infrastructure et, une fois déployés, ils ont tendance à être oubliés tant qu’ils fonctionnent.
Cela en fait également un excellent endroit où les hackers peuvent se cacher, d’autant plus que vous ne pouvez pas y exécuter de solution EDR (Endpoint Detection and Response). Veillez donc à surveiller les changements de configuration et à les maintenir à jour.
Juin 2025 – Une attaque par ransomware contre UNFI perturbe la chaîne d’approvisionnement alimentaire
En juin 2025, une attaque par ransomware contre United Natural Foods, Inc. (UNFI), une importante entreprise de distribution alimentaire, a démontré l’impact réel des cyberattaques sur les chaînes d’approvisionnement. UNFI, connu pour être le principal distributeur de Whole Foods et d’autres épiceries, a détecté une activité non autorisée sur ses systèmes informatiques le 5 juin.
Afin de contenir la menace, l’entreprise a mis hors ligne les systèmes affectés, ce qui a temporairement paralysé sa capacité à traiter les commandes et à effectuer les livraisons. En conséquence, certains détaillants alimentaires ont connu des pénuries de produits et des retards de livraison. La perturbation a duré plusieurs jours et UNFI a déclaré que l’incident entraînerait des retards opérationnels et des coûts supplémentaires.
L’impact sur la chaîne d’approvisionnement alimentaire a attiré l’attention des régulateurs et a mis en évidence la nécessité de renforcer les cyberdéfenses dans les secteurs de la distribution et de la fabrication, car même de brèves interruptions peuvent avoir des effets en cascade sur les consommateurs.
Si votre entreprise fournit un service qui fait partie d’un réseau plus large d’entreprises où une interruption peut avoir un effet domino, touchant le public ou des infrastructures critiques, votre modélisation des risques doit en tenir compte, et pas seulement l’effet immédiat qu’une cyberattaque peut avoir sur vos propres opérations. En effet, aux yeux du public (et des régulateurs), vous serez tenu responsable de ces répercussions plus larges.
Juillet 2025 – Scattered Spider Hacks (compagnies aériennes et commerce de détail – violation de Qantas)
Dans certains rapports sur divers incidents survenus au cours des dernières années, « Scattered Spider » a été qualifié de groupe de hackers informatiques. Ce n’est pas tout à fait exact, car il s’agit plutôt d’une affiliation lâche de nombreux acteurs différents, utilisant des tactiques similaires. Il est donc plus juste de parler de techniques « de type Scattered Spider ».
eur approche repose largement sur l’ingénierie sociale, consistant à tromper le personnel du service d’assistance (souvent externalisé) pour qu’il réinitialise les identifiants. Il s’agit moins de pirater des ordinateurs que de pirater des personnes. Une autre différence notable par rapport à de nombreux autres acteurs malveillants est qu’ils sont jeunes, vivent dans des pays occidentaux et sont de langue maternelle anglaise, ce qui a conduit, comme on pouvait s’y attendre, à l’arrestation de nombre d’entre eux au cours des deux dernières années.
Plus tôt en 2025, Scattered Spider avait été impliqué dans des attaques contre de grands détaillants britanniques (Marks & Spencer, Co-op, Harrods) et des compagnies d’assurance comme Aflac.
En juillet 2025, le groupe s’est tourné vers le secteur aérien. Qantas Airways, la compagnie aérienne nationale australienne, a annoncé qu’une plateforme de centre de contact tierce qu’elle utilise avait été compromise, exposant les dossiers d’environ 6 millions de clients. Les données volées comprenaient les noms, les coordonnées, les dates de naissance et les numéros de voyageur fréquent, mais pas les informations financières.
Qantas a confirmé avoir été victime d’une tentative d’extorsion liée à cette violation, et les cyberenquêteurs ont noté que l’attaque portait la marque des tactiques de Scattered Spider. À peu près à la même époque, WestJet (Canada) et Hawaiian Airlines (États-Unis) auraient également été touchées par des incidents similaires.
La principale leçon à tirer de ces attaques est de revoir vos procédures d’assistance, en particulier pour la réinitialisation des identifiants (« J’ai perdu mon téléphone »), surtout pour les comptes à privilèges élevés. Toutes les informations habituelles utilisées pour la vérification (numéro d’employé, nom du responsable, nom de jeune fille de la mère, etc.) peuvent être trouvées sur LinkedIn et d’autres réseaux sociaux et ne sont pas suffisamment sécurisées.
Dans un premier temps, exigez que toute personne souhaitant récupérer un compte privilégié le fasse en personne dans les locaux de l’entreprise.
Juillet 2025 – Attaque par ransomware contre Ingram Micro
Au cours de la première semaine de juillet 2025, Ingram Micro, l’une des plus grandes sociétés de distribution informatique au monde, a été mise hors ligne par une attaque critique par ransomware.
Le 4 juillet, des informations ont fait état d’une panne majeure des systèmes d’Ingram Micro ; la société a rapidement confirmé qu’elle avait été victime d’une attaque par ransomware et qu’elle avait proactivement mis hors ligne de nombreux systèmes afin de la contenir. L’attaque a perturbé les activités d’Ingram à l’échelle mondiale, paralysant ses systèmes de commande en ligne et de logistique pendant près d’une semaine.
Le 10 juillet, le distributeur avait rétabli toutes ses activités commerciales, mais pas avant d’avoir eu un impact significatif sur les revendeurs et les partenaires qui dépendent des services de la chaîne d’approvisionnement d’Ingram. Les journalistes spécialisés dans la cybersécurité ont identifié un groupe de ransomware relativement nouveau, appelé SafePay, comme étant le responsable.
Contrairement à UNFI ci-dessus, Ingram Micro n’a pas de présence publique, mais la leçon à tirer ici est que si votre entreprise est essentielle au bon fonctionnement de nombreuses autres, une interruption (dans ce cas pendant plus d’une semaine) aura un impact considérable sur les autres et entraînera une pression accrue pour payer, ce que vous devez inclure dans votre évaluation des menaces.
Juillet 2025 – Attaques « ToolShell » Zero Day contre Microsoft SharePoint
En juillet 2025, des chercheurs en sécurité ont mis en garde contre une vague continue de cyberattaques exploitant de nouvelles vulnérabilités zéro-day dans les serveurs Microsoft SharePoint sur site, collectivement baptisées « ToolShell ». Au 23 juillet, plus de 400 serveurs SharePoint dans le monde avaient été compromis via cette chaîne d’exploits. Nous avons publié un article de blog contenant plus de détails sur cette attaque ici.
Les attaques ont permis un accès non autorisé et l’exécution de code sur les hôtes SharePoint, donnant ainsi aux attaquants un pied dans les réseaux d’entreprise des victimes. Diverses victimes ont été signalées, notamment des entreprises du secteur privé et au moins quelques agences gouvernementales américaines ; même le ministère américain de l’Énergie a confirmé avoir été « très peu affecté » par les violations de SharePoint.
Les équipes de veille stratégique de Microsoft ont attribué cette activité à plusieurs groupes chinois soutenus par l’État (nommés Linen Typhoon, Violet Typhoon et Storm-2603) qui ont rapidement adopté ces exploits dès qu’ils ont été connus. Par ailleurs, des criminels liés à un nouveau ransomware appelé Warlock ont également utilisé ToolShell pour infiltrer des organisations et déployer des logiciels malveillants.
Microsoft a publié des correctifs pour les failles SharePoint et, en collaboration avec des agences telles que la CISA, a exhorté toutes les organisations à effectuer immédiatement la mise à jour.
Il convient donc d’évaluer soigneusement si vous souhaitez continuer à utiliser des logiciels sur site (quel que soit le fournisseur), car ceux-ci ne sont souvent pas la priorité des fournisseurs, qui privilégient leurs offres SaaS. Si vous devez absolument les utiliser.
Août 2025 – Salesloft+Drift
À la fin du mois d’août 2025, il est apparu clairement que Salesloft, une intégration pour Salesforce (et Slack / Pardot), avait été compromise, et Salesforce a désactivé l’intégration de Drift à ces systèmes.
L’attaque a en fait commencé en juin 2025, avec le piratage du compte GitHub de Salesloft, suivi de l’accès à leur environnement AWS, où les auteurs de la menace ont obtenu des jetons OAuth pour accéder aux environnements des clients de Drift.
Ce type d’attaque de la chaîne d’approvisionnement, où le piratage d’un seul fournisseur peut potentiellement donner aux attaquants l’accès à des centaines d’organisations victimes, est particulièrement dangereux. Les jetons OAuth sont extrêmement puissants, et une fois qu’ils sont en possession des criminels, seule leur révocation et celle de l’intégration elle-même peuvent vous protéger, et non l’authentification multifactorielle (MFA) ou la réinitialisation des identifiants (contrairement aux identifiants utilisateur compromis).
La liste des victimes est longue et comprend BeyondTrust, CloudFlare, CyberArk, Nutanix, Palo Alto Networks, Qualys, Rubrik, Tenable et Zscaler.
La réponse à l’incident est difficile, car si vous êtes touché, vous devez déterminer à quelles données l’intégration avait accès, quelles informations d’identification supplémentaires pour d’autres systèmes pourraient être disponibles dans ces données (et ainsi de suite), puis réinitialiser toutes ces informations d’identification. Il existe également un risque d’exposition ou d’amendes, selon le contenu des données qui ont été exfiltrées.
La leçon à tirer ici est exactement celle que nous avons soulignée dans notre rapport de l’année dernière : les identités non humaines et les intégrations via les API et OAuth dans le cloud et chez vos différents fournisseurs SaaS doivent faire l’objet d’une surveillance afin de détecter toute activité anormale. Cela fait partie de la structure d’identité, n’est pas supervisé et est donc extrêmement attractif pour les pirates.
Septembre 2025 – Jaguar Land Rover
Le lundi 1er septembre 2025, la production de Jaguar Land Rover (JLR) s’est arrêtée dans ses usines du Royaume-Uni, de Slovaquie, du Brésil et d’Inde. Comme cette situation perdure et que seule une production limitée a repris au moment de la rédaction de cet article, quatre semaines plus tard, cette attaque par ransomware a eu un impact considérable sur JLR et ses fournisseurs.
Les détails techniques ne sont pas encore disponibles, mais la plupart des systèmes informatiques de JLR étaient externalisés à Tata Consultancy Services (TCS), qui fait partie du groupe Tata, propriétaire de JLR depuis 2008.
De nombreuses industries manufacturières, y compris l’industrie automobile, s’orientent vers des chaînes d’approvisionnement entièrement automatisées, avec des pièces arrivant « juste à temps » et des processus de conception et de fabrication entièrement numériques. Cela peut bien sûr être très efficace, mais il est essentiel de comprendre le réseau complexe d’interdépendances d’un système aussi vaste et de veiller à ce que la cybersécurité soit intégrée à chaque point faible.
Bien que JLR dispose d’énormes réserves de trésorerie (les estimations pour le seul mois de septembre prévoient une dépense de 900 millions de livres sterling), le gouvernement britannique a garanti un prêt de 1,5 milliard de livres sterling pour l’aider à faire face aux conséquences. L’impact financier global devrait s’élever à 1,9 milliard de livres sterling, avec plus de 5 000 organisations touchées par l’attaque.
JLR emploie plus de 34 000 personnes, dont 120 000 dans sa chaîne d’approvisionnement, et certains de ces fournisseurs devraient faire faillite. Il semble également que JLR n’ait pas souscrit d’assurance contre les cyberattaques et ait donc dû prendre en charge l’intégralité des coûts liés à cette catastrophe.
La leçon à tirer est claire : depuis une dizaine d’années, tous les secteurs d’activité réclament à grands cris une transformation numérique. Si celle-ci est importante pour toute entreprise, ne pas prendre les mesures appropriées pour atténuer les faiblesses en matière de cybersécurité dans chaque partie du système global comporte des risques énormes. Assurez-vous également de disposer d’une assurance cybersécurité adaptée à votre profil de risque.
La dernière conclusion qui donne à réfléchir est qu’avec le plan de sauvetage du gouvernement, il est probable que les futures attaques cibleront les entreprises britanniques, car elles sont plus susceptibles de payer.
Octobre 2025 – Compromission totale de F5
En octobre 2025, F5 Networks (un important fournisseur de contrôleurs de livraison d’applications et d’équipements de sécurité réseau) a révélé avoir été victime d’une attaque très sophistiquée menée par un acteur étatique.
L’enquête qui a suivi a révélé que les attaquants avaient probablement obtenu un accès initial fin 2023 en exploitant un système F5 qui avait été laissé par erreur exposé en ligne, contournant ainsi les politiques de sécurité internes. Cette faille a permis aux pirates informatiques de s’implanter et de maintenir un accès furtif à long terme au réseau interne de F5 pendant au moins 12 mois sans être détectés.
La faille n’a été découverte qu’en août 2025, après quoi F5 l’a rendue publique à la mi-octobre, soulignant de graves préoccupations en matière de sécurité de la chaîne d’approvisionnement, étant donné que les produits F5 sont profondément intégrés dans l’infrastructure de nombreuses organisations. Une fois à l’intérieur, les intrus ont utilisé une porte dérobée malveillante personnalisée (baptisée « BRICKSTORM ») pour se déplacer latéralement dans l’environnement virtualisé de F5 tout en contournant les contrôles de sécurité. BRICKSTORM, attribué à un groupe d’espionnage lié à la Chine connu sous le nom d’UNC5221, a permis aux attaquants de rester pratiquement invisibles.
À un moment donné, ils sont même restés inactifs pendant plus d’un an, probablement pour dépasser la période de conservation des journaux de F5 et effacer toute trace de la compromission initiale. Lorsqu’ils se sont réactivés, les pirates ont exfiltré des fichiers extrêmement sensibles, notamment des parties du code source propriétaire BIG-IP et des rapports internes sur des vulnérabilités non divulguées (zero-day) dans les produits F5. Ces données volées ont permis aux pirates de découvrir des failles de sécurité qui n’avaient pas encore été corrigées ou rendues publiques, une mine d’informations que les experts ont comparée à une « clé passe-partout » pour de futures attaques potentielles contre les appareils F5 dans le monde entier.
Cet incident a mis en évidence à quel point une seule violation bien exécutée d’un fournisseur de technologies de base peut présenter des risques importants, car les plateformes de F5 sont utilisées pour protéger et équilibrer la charge des applications critiques sur les réseaux gouvernementaux et d’entreprise à l’échelle mondiale.
La leçon à tirer ici est dérangeante et fait écho à la violation de SolarWinds en 2020 : même le plus grand fournisseur de cybersécurité peut être compromis par un attaquant déterminé, et sans surveillance et journalisation adéquates, cela peut rester indétectable pendant très longtemps.
Cette affaire est en cours et, bien que nous ne disposions pas encore de suffisamment de détails techniques pour prédire l’issue finale dans les mois à venir, si votre réseau repose sur des équipements F5, vous devez tout mettre à jour, y compris toutes les informations d’identification.
Anticipez la prochaine vague d’incidents de cybersécurité grâce à une protection multicouche, ancrée dans la réalité du terrain
Hornetsecurity Advanced Threat Protection et 365 Total Protection renforcent votre environnement Microsoft 365 avant que les attaquants ne puissent s’y implanter, vous aidant ainsi à prévenir les types d’incidents mis en lumière dans ce rapport. Ces solutions bloquent les exploits zero-day, les liens malveillants, les tentatives d’usurpation d’identité et les identités compromises au niveau de l’email et des outils de collaboration, empêchant les menaces d’atteindre vos systèmes critiques.
Associées à une meilleure hygiène de configuration et à un contrôle plus strict des fournisseurs et des accès tiers, elles vous permettent de passer d’une réaction aux incidents récents à une prévention proactive des prochains.
Planifiez une démonstration dès aujourd’hui pour découvrir comment Hornetsecurity peut vous aider à combler les failles révélées par les attaques majeures récentes et à bâtir une architecture de sécurité prête à faire face aux incidents autour de Microsoft 365.
Conclusion
Les incidents décrits dans cet article mettent en évidence une réalité importante, mais inconfortable : la plupart des défaillances en cybersécurité sont systémiques, et non aléatoires. Un simple fichier de configuration exposé, une intégration dotée de privilèges excessifs ou une connexion tierce non contrôlée peuvent entraîner une interruption de service à plusieurs millions d’euros ou un incident de sécurité d’ampleur nationale.
Pris ensemble, ces incidents démontrent à quelle vitesse une vulnérabilité peut être exploitée et à quel point son impact peut se propager dans les chaînes d’approvisionnement et les services critiques.
Les incidents majeurs récents montrent également que la technologie seule ne suffit pas. Les organisations sont confrontées à des schémas récurrents : inventaires d’actifs incomplets, systèmes on-premises hérités toujours exposés à Internet, identités non humaines insuffisamment surveillées et services tiers bénéficiant d’accès étendus et durables.
Un routeur oublié ou un jeton OAuth non supervisé peut suffire à fragiliser une stratégie de sécurité pourtant solide.
Les organisations qui parviennent à maîtriser la prochaine vague de menaces considèrent la sécurité comme un système vivant, cartographié, mis à jour, validé et surveillé en continu. Cela implique de comprendre ses dépendances, de tester régulièrement les scénarios de réponse aux incidents et de s’assurer que les contrôles résistent à la pression, et pas seulement sur le papier.
La résilience repose sur l’anticipation de la défaillance, sa détection rapide et son confinement avant qu’elle ne dégénère en crise majeure.
Les violations de sécurité ne sont plus des cas exceptionnels ; elles sont devenues des tests réguliers de votre niveau réel de résilience. Utilisez ces incidents comme feuille de route pour renforcer votre posture dès maintenant, afin que, lorsque la prochaine vague d’incidents de cybersécurité touchera votre secteur, vous puissiez réagir rapidement, clairement et avec assurance, plutôt que dans l’urgence.
FAQ
Quel est le principal point commun entre ces incidents majeurs de sécurité ?
Dans l’ensemble de ces incidents, le fil conducteur n’est pas une sophistication extrême, mais des faiblesses fondamentales en matière d’identité, de configuration et de gestion de la confiance. Les attaquants exploitent généralement un point faible unique : un identifiant exposé, une intégration trop permissive, un équipement en périphérie non corrigé ou un service cloud mal configuré. Ils n’ont pas besoin de contourner tous les contrôles ; il leur suffit d’une seule faille non surveillée pour s’introduire, puis progresser discrètement.
Pourquoi les compromissions de la chaîne d’approvisionnement et des tiers sont-elles si dangereuses ?
Ces compromissions se situent à l’intersection de privilèges élevés et d’une faible visibilité. Une plateforme fournisseur, une intégration ou un prestataire de centre de contact peut connecter discrètement des centaines, voire des milliers d’organisations. En cas de compromission, l’ampleur de l’impact est considérable. Comme l’ont montré les cas de 2024 et 2025, les jetons OAuth, les outils de support à distance et les intégrations cloud disposent souvent d’accès larges et persistants, faciles à négliger et difficiles à révoquer une fois l’incident déclenché.
Quels enseignements concrets les organisations doivent-elles tirer de ces incidents ?
Commencez par analyser votre infrastructure et votre écosystème SaaS du point de vue d’un attaquant : cartographiez vos dépendances, identifiez les relations de confiance fragiles et partez du principe qu’un identifiant, un jeton ou une configuration finira par être exposé. Surveillez les identités non humaines et les intégrations tierces, testez vos procédures de support et de restauration, appliquez rapidement les correctifs sur les systèmes en périphérie critiques et évitez d’exposer directement des services on-premises à Internet. Ensuite, ajoutez des protections spécialisées – telles que le portefeuille de solutions Hornetsecurity pour Microsoft 365 – afin de détecter en amont les attaques ciblant les emails, les identités et la chaîne d’approvisionnement, et empêcher que des incidents ne se transforment en crises majeures.
