Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 a été particulièrement difficile pour les clients de Salesforce. Un groupe criminel aux activités douteuses a mené une série d'attaques contre ses clients, touchant des organisations allant des géants de la technologie comme Google et Cisco aux marques de luxe telles que Chanel et Louis Vuitton. Même des fournisseurs d'infrastructures critiques comme Qantas Airways, FedEx et TransUnion ont été victimes de ces attaques, perpétrées par les attaquants, connus sous les noms de Scattered LAPSUS$ Hunters, ShinyHunters, ou des variantes similaires. Ce groupe, qui semble être une coalition de membres issus de divers autres réseaux criminels, aurait compromis plus de 760 organisations et environ 1.5 milliard d'enregistrements.

Mais Salesforce affirme que ce problème n'est pas de son fait. Comment une attaque a-t-elle pu devenir la principale source de vol de données en 2025, sans que le fournisseur n'admette aucune responsabilité ?

On comprend aisément pourquoi Salesforce a refusé d'assumer la responsabilité de cette attaque. Les pirates ne semblent pas avoir exploité de failles de sécurité dans la plateforme en ligne du fournisseur.

Au lieu de cela, les attaquants ont pénétré les systèmes Salesforce via des failles dans la sécurité des clients, telles qu'une gouvernance OAuth inadéquate, une application MFA manquante, une vérification d'intégration insuffisante et une vulnérabilité à l'ingénierie sociale.

Une méthode courante pour obtenir cet accès consistait à créer une fausse version de l'application Salesforce Data Loader, que les clients utilisent pour télécharger leurs données Salesforce.

L'équipe de Scattered LAPSUS$ utilisait ce faux logiciel pour envoyer un code d'appareil aux serveurs de Salesforce. Ce code était censé être saisi par un utilisateur de Salesforce. Ensuite, un membre du groupe appelait la victime en se faisant passer pour le service d'assistance de son entreprise. Il lui demandait de se connecter à Salesforce et de saisir le code, confirmant ainsi, à son insu, la légitimité de la fausse application (dont elle ignorait tout). Les criminels accédaient alors aux données sensibles de l'entreprise victime sur le compte Salesforce.

Ces failles de sécurité chez les clients ne sont pas des anomalies. Gartner prédit Selon une étude récente d'AppOmni, 99 % des failles de sécurité du cloud d'ici 2025 seront imputables au client. spectacles que 70 % des incidents liés aux logiciels SaaS proviennent d'une combinaison de problèmes d'autorisation contrôlés par le client et d'erreurs de configuration.

Comprendre le modèle de responsabilité partagée

Le risque est que les clients de logiciels tiers soient induits en erreur et se fient uniquement à la plateforme du fournisseur, surtout si ce logiciel est hébergé dans le cloud. Or, en réalité, la sécurité de la plateforme du fournisseur ne garantit pas automatiquement la sécurité des données.

Le secteur du cloud a même un nom pour cela : la responsabilité partagée. Il s'agit d'une compréhension mutuelle des limites de responsabilité entre le fournisseur de services/hébergeur et le client. Nombre d'entreprises semblent l'ignorer ; 53 % des répondants d'AppOmni se disant confiants en matière de sécurité fondent leur confiance sur la robustesse des contrôles mis en place par leurs fournisseurs. Comme l'ont démontré les attaques contre Salesforce, même ceux qui comprennent l'enjeu ne gèrent souvent pas suffisamment la sécurité de leur côté.

Pour Salesforce et les plateformes SaaS, le fournisseur prend généralement en charge l'infrastructure sécurisée, le code applicatif principal, les garanties de disponibilité et les fonctionnalités de sécurité intégrées telles que l'authentification multifacteur (MFA) et le chiffrement. Il incombe donc aux clients de gérer les comptes utilisateurs, d'appliquer l'authentification multifacteur et de gérer les jetons OAuth, de mettre en œuvre le principe du moindre privilège, de gérer les intégrations tierces et de configurer correctement les paramètres de sécurité.

Il incombe également aux utilisateurs de former leur personnel aux menaces de sécurité. Compte tenu de l'ingénierie sociale employée dans ces attaques, cela semble avoir constitué un point faible. Cependant, même si les attaquants parviennent à tromper les utilisateurs, il est indispensable de surveiller leur activité et de détecter les anomalies.

Comment les cadres de conformité peuvent contribuer à prévenir ces violations

Ces faiblesses sont explicitement prises en compte par les normes ISO 27001:2022, SOC 2 et NIS 2, notamment par le biais d'exigences relatives au contrôle d'accès, à la supervision des fournisseurs et à la gestion de la configuration. Les entreprises devraient se référer à ces normes opérationnelles pour améliorer leur situation et éviter de rejoindre la longue liste des entreprises victimes de cyberattaques.

Par exemple, la série de contrôle d'accès A.5.15 Cela nécessite l'établissement de politiques de contrôle d'accès documentées, fondées sur les principes du besoin d'en connaître et du besoin d'utiliser. Le point A.5.16 traite de la gestion des identités, tandis que le point A.5.17 aborde la gestion des informations d'authentification, exigeant un stockage et une transmission sécurisés, le chiffrement des données au repos et en transit, ainsi qu'une rotation régulière.

A.5.18 Ce document couvre les droits d'accès. Il exige des procédures formelles pour l'attribution, la modification et la révocation de ces droits, avec l'autorisation des propriétaires des actifs, et des examens réguliers au moins une fois par an. Les responsables de la conformité peuvent également consulter la section A.8.2, qui régit les droits d'accès privilégiés.

Ces contrôles nécessitent des registres centralisés, des audits réguliers et une validation de la légitimité avant d'accorder l'accès. Ce sont précisément ces mesures qui auraient empêché les victimes d'ingénierie sociale d'autoriser des applications malveillantes.

Ce n'est pas la première fois que des entreprises subissent des violations de données en raison de leurs propres choix de configuration (ou de leur méconnaissance de ces choix). On pense notamment à la série de violations qui ont touché les clients de Snowflake en 2024, dues à des identifiants volés et à l'absence d'authentification multifacteur (alors même que Snowflake proposait cette fonctionnalité). À mesure que les entreprises s'appuient de plus en plus sur les solutions SaaS et y stockent leurs données les plus sensibles, il leur incombe de veiller à la sécurité de leurs accès numériques à ces systèmes.