Le fournisseur est désormais la surface d'attaque
Mis à jour pour 2026
Pendant une décennie, les équipes de sécurité ont poursuivi un seul objectif : empêcher les attaquants d'entrer dans le réseau. Sécuriser le périmètre. Protéger les points de terminaison. Contrôler les accès. L'ancien modèle supposait que les attaquants cibleraient directement l'organisation.
Les chiffres de 2024 montrent que ce modèle est dépassé. Les violations de données SaaS ont bondi de 300 % en 2024, selon le rapport Obsidian Security 2025 SaaS Security Threat Report. Les attaquants ne ciblent plus les organisations directement. Ils ciblent les outils SaaS auxquels ces organisations confient leurs données.
Quand votre outil cloud est la cible de l'attaque, un réseau interne sécurisé ne protège pas. Les enregistrements clients, les documents des employés et les contenus sensibles résident sur les serveurs de l'outil. Ils sont verrouillés avec les clés de l'outil. Ils sont exposés quand l'outil est compromis.
Chiffres des violations SaaS en 2024
Les totaux des violations de 2024 illustrent l'ampleur du risque.
Conduent a subi une violation qui a exposé 25,9 millions d'enregistrements. Conduent gère l'externalisation de processus métier pour les agences gouvernementales et les grandes entreprises. Il gère les prestations, les paiements et les services aux citoyens. Les 25,9 millions de personnes touchées ignoraient qu'un tiers détenait leurs informations.
NHS Digital a subi une violation touchant 9 millions de patients. Les dossiers de patients ont été exposés via les serveurs d'un outil cloud. Les patients avaient confié ces informations à leurs prestataires de soins. Ils n'avaient aucune raison de savoir qu'elles avaient atteint une plateforme tierce.
Ce ne sont pas des cas isolés. C'est le nouveau schéma. Les grandes violations touchent maintenant des millions de personnes qui ont fait confiance à une organisation, mais dont les informations personnelles étaient détenues par une autre qu'elles ne connaissaient pas. Pour comprendre comment la loi attribue la responsabilité dans ces cas, consultez notre aperçu de la conformité RGPD.
Pourquoi les violations SaaS fonctionnent différemment
Une violation réseau classique nécessite de nombreuses étapes. Les attaquants doivent franchir le périmètre. Ils doivent se déplacer dans les systèmes. Ils doivent extraire des documents. Chaque étape est une occasion d'être détecté.
Les violations SaaS fonctionnent différemment. Quand des attaquants compromettent une plateforme cloud, ils accèdent aux enregistrements de chaque client ayant transmis du contenu via cette plateforme. Une seule violation fournit des documents provenant de dizaines ou centaines de clients à la fois.
La fenêtre de 9 minutes — temps entre le premier accès et le vol d'enregistrements dans les environnements SaaS, selon les données d'Obsidian Security — montre la rapidité du processus. À l'intérieur d'une plateforme partagée, les attaquants trouvent le contenu de nombreux clients en une seule fois. Cette concentration de valeur rend chaque attaque très efficace.
Les contrats ne comblent pas cette lacune. L'article 82 du RGPD attribue une responsabilité partagée aux sous-traitants pour les violations qu'ils causent. Mais prouver une faute prend des mois. Entre-temps, les enregistrements ont déjà disparu. Notre page sécurité et conformité explique comment les outils zéro-connaissance changent ce résultat.
Le DPA ne protège pas vos enregistrements
L'article 28 du RGPD exige que les organisations n'utilisent que des sous-traitants offrant des "garanties suffisantes." Le contrat de traitement des données est la preuve écrite de ces garanties.
Comme un Business Associate Agreement HIPAA, le DPA couvre le côté juridique. Il ne couvre pas ce qui arrive à vos documents sur les serveurs du prestataire.
Un outil cloud doté d'un DPA entièrement conforme au RGPD peut quand même :
- Stocker les enregistrements clients avec un chiffrement côté serveur utilisant des clés contrôlées par le prestataire
- Traiter les informations des employés dans un environnement partagé utilisé par de nombreux autres clients
- Conserver les journaux et le contenu mis en cache au-delà des usages convenus
- Subir une violation qui expose tout ce qui précède
Le DPA crée des obligations légales. Il ne crée pas de barrière technique contre l'exposition. Quand des attaquants compromettent la plateforme en 9 minutes, le DPA ne les ralentit pas.
Pour une aide en langage clair sur les obligations de l'article 28, consultez le glossaire RGPD.
Pourquoi la hausse de 300 % est structurelle
La hausse de 300 % reflète deux forces agissant simultanément.
Premièrement, le volume d'informations sensibles dans les plateformes SaaS a fortement augmenté en 2024. Plus d'organisations ont déplacé plus de travail vers des outils cloud. Plus de documents ont atterri sur des serveurs tiers. Plus de contenu signifie plus de raisons d'attaquer ces serveurs.
Deuxièmement, les attaquants se sont adaptés. Les organisations transmettent désormais des enregistrements clients, des journaux financiers, des informations RH, du contenu juridique et des données de santé via des outils SaaS. Frapper une plateforme rapporte des enregistrements de nombreux clients à la fois. La logique récompense les attaques sur les plateformes plutôt que sur les organisations individuelles.
Le chiffre de 300 % n'est pas un pic de criminalité générique. Il marque un changement structurel dans la direction des attaques.
L'anonymisation zéro-connaissance comme solution
La solution commence par un simple changement de perspective. Si toute plateforme peut être compromise — et le bilan 2024 le prouve — aucune plateforme ne devrait recevoir les informations personnelles de vos clients sous une forme lisible.
L'anonymisation zéro-connaissance avant le téléchargement change totalement le risque de violation. Quand une plateforme contenant du contenu traité par zéro-connaissance est attaquée :
- Les attaquants accèdent à des enregistrements anonymisés sans identifiants clients lisibles
- Aucune notification des personnes concernées n'est nécessaire car aucune information personnelle n'a été exposée
- Aucune enquête sur la responsabilité solidaire au titre de l'article 82 du RGPD n'est requise
- Aucune suite réglementaire ne résulte de la violation
L'attaque touche la plateforme. Elle n'atteint pas vos clients. Leurs informations personnelles ne sont jamais arrivées sur les serveurs de la plateforme sous une forme lisible.
Ce n'est pas de la théorie. C'est un simple fait : il n'y a pas d'enregistrements à voler parce qu'aucun n'a été transmis sous une forme lisible. La FAQ répond aux questions fréquentes sur l'anonymisation zéro-connaissance. Notre page tarifs indique ce que cette protection coûte à grande échelle.
La hausse de 300 % change le calcul du risque. Évaluer un fournisseur uniquement sur la base de sa posture de sécurité et de ses clauses contractuelles revient à parier que votre fournisseur ne figurera pas dans le prochain titre d'actu. L'anonymisation zéro-connaissance supprime ce pari.