Le fournisseur est désormais la surface d'attaque
Pendant une décennie, les équipes de sécurité des entreprises se sont concentrées sur la défense périmétrique : sécuriser le réseau, protéger les points de terminaison, contrôler l'accès aux systèmes internes. Le modèle de menace supposait que les attaquants tenteraient de pénétrer directement l'organisation.
Les données sur les violations de SaaS en 2024 montrent que ce modèle est obsolète. Les violations de SaaS ont augmenté de 300 % en 2024, selon le rapport sur les menaces de sécurité SaaS 2025 d'Obsidian Security. Les attaquants ne ciblent plus directement les organisations — ils ciblent les fournisseurs de SaaS auxquels ces organisations font confiance pour leurs données.
Lorsque votre fournisseur est la surface d'attaque, le fait que votre propre réseau soit sécurisé est sans importance. Les données clients, les dossiers des employés et les informations commerciales sensibles que vous avez traitées par l'intermédiaire de ce fournisseur sont sur leur infrastructure, accessibles avec leurs clés, et exposées lorsque leurs systèmes sont compromis.
Les chiffres des violations de SaaS en 2024
L'ampleur des violations de SaaS en 2024 illustre l'exposition :
Conduent a connu une violation qui a exposé 25,9 millions de dossiers. Conduent fournit des services d'externalisation des processus commerciaux aux agences gouvernementales et aux grandes entreprises — y compris l'administration des avantages, le traitement des paiements et les portails de services aux citoyens. Les 25,9 millions de dossiers comprenaient des individus qui ont interagi avec des services gouvernementaux et n'avaient aucune idée que leurs informations étaient détenues par un fournisseur tiers.
NHS Digital a connu une violation touchant 9 millions de patients. La violation du NHS a exposé des données patients traitées via l'infrastructure d'un fournisseur de SaaS — des informations cliniques que les patients avaient fournies à leurs prestataires de soins de santé et n'avaient aucune raison de croire qu'elles étaient transmises à une plateforme tierce.
Ce ne sont pas des cas isolés. Ils représentent la nouvelle norme en matière d'exposition des données : des violations à grande échelle touchant des millions d'individus qui ont fourni des données à des organisations de confiance, qui les ont transmises à des fournisseurs que ces individus ne connaissaient jamais.
Pourquoi les violations de SaaS sont structurellement différentes
Les violations de réseau traditionnelles nécessitent que les attaquants pénètrent le périmètre d'une organisation, naviguent dans les systèmes internes et exfiltrent des données — un processus en plusieurs étapes avec de multiples opportunités de détection.
Les violations de SaaS fonctionnent différemment. Les attaquants qui compromettent un fournisseur de SaaS accèdent aux données de chaque client ayant traité des informations par l'intermédiaire de ce fournisseur. Une seule compromission entraîne l'accès aux dossiers clients de dizaines ou de centaines de clients d'entreprise simultanément.
La fenêtre de violation de 9 minutes — le temps entre l'accès initial et la compromission des données dans les environnements SaaS, selon les données de réponse aux incidents d'Obsidian Security — reflète cette différence structurelle. Une fois à l'intérieur de l'infrastructure d'un fournisseur, les attaquants rencontrent des données provenant de plusieurs organisations stockées dans un environnement partagé. La surface d'attaque concentre la valeur.
Pour les organisations qui ont signé des accords de traitement des données conformes au GDPR avec leurs fournisseurs de SaaS, la violation n'élimine pas la responsabilité de conformité. L'article 82 du GDPR attribue une responsabilité conjointe aux processeurs de données pour les violations résultant de leur non-conformité aux obligations du GDPR. Mais la responsabilité conjointe nécessite de prouver que le fournisseur n'était pas conforme — une enquête complexe qui prend des mois alors que les données sont déjà entre les mains des acteurs malveillants.
Le DPA ne protège pas les données
L'article 28 du GDPR exige que les organisations n'utilisent que des processeurs qui fournissent des "garanties suffisantes" pour mettre en œuvre des mesures techniques et organisationnelles appropriées. L'accord de traitement des données est la preuve contractuelle de ces garanties.
Comme le BAA de HIPAA, le DPA traite de la relation contractuelle. Il ne traite pas de la réalité technique de ce qui arrive à vos données sur l'infrastructure du fournisseur.
Un fournisseur de SaaS opérant sous un DPA conforme au GDPR peut toujours :
- Stocker les données de vos clients en utilisant un chiffrement côté serveur avec des clés contrôlées par le fournisseur
- Traiter les informations de vos employés dans un environnement multi-locataire partagé avec d'autres clients
- Conserver des journaux de données, des dossiers de traitement et du contenu mis en cache au-delà des objectifs spécifiés dans votre accord
- Avoir son infrastructure compromise de manière à exposer tout ce qui précède
Le DPA crée des obligations. Il ne crée pas une barrière technique à l'exposition des données. Lorsque les attaquants violent le fournisseur en 9 minutes, le DPA ne les ralentit pas.
La hausse de 300 % est un effet de sélection
La hausse de 300 % des violations de SaaS reflète deux tendances qui opèrent simultanément.
Tout d'abord, le volume absolu de données dans les plateformes SaaS a considérablement augmenté en 2024. À mesure que plus d'organisations déplaçaient plus de processus vers des fournisseurs basés sur le cloud, les données disponibles dans les environnements des fournisseurs ont augmenté proportionnellement. Plus de données sur l'infrastructure du fournisseur créent plus d'incitations pour les attaquants à cibler l'infrastructure du fournisseur.
Deuxièmement, les attaquants ont adapté leur méthodologie pour correspondre à la concentration de valeur. Les organisations traitent désormais plus de données sensibles par l'intermédiaire de plus de fournisseurs de SaaS que jamais auparavant — dossiers clients, transactions financières, données RH, documents juridiques, informations de santé. Les fournisseurs de SaaS sont devenus des cibles de grande valeur car violer un fournisseur permet d'accéder aux données de nombreuses organisations.
Le chiffre de 300 % décrit un changement structurel dans la direction des attaques, et non simplement une augmentation de l'activité criminelle générique.
L'architecture Zero-Knowledge comme atténuation des risques fournisseurs
Le changement conceptuel que nécessite l'architecture zero-knowledge est simple : si votre fournisseur ne peut pas être fiable pour garder vos données en sécurité — non pas en raison d'un échec spécifique, mais parce que tout fournisseur peut être compromis — alors vos données ne devraient jamais atteindre votre fournisseur sous une forme identifiable.
L'anonymisation zero-knowledge avant la transmission aux fournisseurs de SaaS change fondamentalement l'exposition à la violation. Lorsqu'un fournisseur utilisant des données traitées par zero-knowledge est compromis :
- Les attaquants accèdent à des dossiers anonymisés sans identifiants clients récupérables
- Aucune notification de sujet de données n'est requise car aucune donnée personnelle n'a été exposée
- Aucune enquête sur la responsabilité conjointe de l'article 82 du GDPR n'est nécessaire
- Aucune enquête d'application réglementaire ne résulte de la violation
La violation affecte le fournisseur. Elle n'affecte pas les données de vos clients car les données de vos clients n'ont jamais été sur les serveurs du fournisseur sous une forme récupérable.
La hausse de 300 % des violations de SaaS change le calcul des risques fournisseurs. Les organisations qui évaluent les fournisseurs uniquement sur la posture de sécurité et les engagements contractuels font confiance à leur fournisseur pour ne pas apparaître dans la prochaine statistique de violation. L'architecture zero-knowledge élimine cette dépendance.
Sources :