Qui surveille les gardiens ? La question n’est pas rhétorique : une attaque supply chain vient de démontrer, de façon particulièrement cuisante, que les entreprises spécialisées en cybersécurité ne sont pas à l’abri d’être compromises par un maillon tiers qu’elles ne contrôlent pas.
Le scénario est redoutable dans sa simplicité. Des cybercriminels ont ciblé Klue, une plateforme d’intelligence compétitive qui agrège des données CRM issues de Salesforce pour le compte de ses clients. En frappant ce point de passage unique, les attaquants ont pu exfiltrer des données appartenant à des dizaines d’entreprises. Parmi les victimes : plusieurs noms majeurs du secteur de la cybersécurité elle-même. L’ironie serait presque comique si les conséquences n’étaient pas aussi sérieuses.
Compromettre un fournisseur de confiance, c’est ouvrir simultanément des dizaines de portes que chaque victime croyait verrouillées.
C’est précisément le principe de l’attaque supply chain, popularisé à grande échelle par l’affaire SolarWinds en 2020 : contourner les défenses d’une cible en passant par un intermédiaire moins protégé. Les grandes entreprises investissent massivement dans leur propre sécurité périmétrique, mais leur exposition réelle dépend de l’ensemble des outils SaaS auxquels elles accordent un accès à leurs données sensibles. Chaque intégration est une surface d’attaque potentielle.
Ce qui frappe ici, c’est le profil des victimes. Des acteurs dont le coeur de métier est précisément de protéger les autres se retrouvent exposés via un outil de veille commerciale, catégorie de logiciel rarement placée en tête des priorités de sécurité interne. C’est là que réside le vrai enseignement : la gestion du risque tiers reste le parent pauvre de la stratégie de cybersécurité, même chez ceux qui devraient le savoir mieux que quiconque.
En savoir plus sur Glorieux Geek
Subscribe to get the latest posts sent to your email.
