Attaque supply chain Klue : les données Salesforce d'entreprises de cybersécurité exposées

23/6/26
👈 les autres actualités

Une seule intrusion chez un prestataire SaaS, et c'est tout un pan de l'industrie de la cybersécurité qui se retrouve exposé. L'attaque dite « supply chain » visant la plateforme Klue continue de faire des victimes : plusieurs entreprises de cybersécurité voient désormais leurs données Salesforce compromises. Un cas d'école qui rappelle aux DPO une vérité dérangeante — votre conformité ne vaut que celle de votre maillon le plus faible.

Ce qui s'est passé

Klue, plateforme d'intelligence concurrentielle utilisée par de nombreuses équipes commerciales, a été le point d'entrée d'une attaque par rebond. En exploitant un identifiant hérité d'une intégration dépréciée, l'attaquant a mis la main sur des jetons OAuth reliant Klue aux environnements Salesforce de ses clients, puis exfiltré les données via l'API Salesforce. Le groupe d'extorsion Icarus revendique l'opération, et la liste des victimes ne cesse de s'allonger : on y trouve des acteurs de premier plan de la cybersécurité.

Les données dérobées concernent principalement des contacts professionnels, des échanges commerciaux, des grilles tarifaires et des battlecards — pas de mots de passe ni de données de paiement à ce stade. Nous avons détaillé le mécanisme technique de l'intrusion dans notre analyse de la fuite Klue et du token OAuth dormant. Le développement du jour, c'est l'élargissement du périmètre : l'incident n'est plus circonscrit à quelques noms, il touche désormais plusieurs fournisseurs de sécurité, eux-mêmes responsables de traitement vis-à-vis de leurs propres clients.

Pourquoi c'est important

Cette attaque illustre le risque sous-traitant dans toute sa brutalité. Au sens du RGPD, Klue agit comme sous-traitant pour le compte de ses clients : ces derniers restent responsables de traitement et donc en première ligne face à leurs propres personnes concernées. Une compromission chez le prestataire n'exonère personne — elle déclenche directement les obligations du responsable de traitement.

Le scénario coche toutes les cases du cauchemar conformité : un fournisseur SaaS de confiance, une intégration oubliée, des jetons d'authentification qui survivent à leur utilité, et une chaîne de dépendances que peu d'organisations cartographient réellement. C'est exactement le type de situation que notre guide sur l'audit des sous-traitants invite à anticiper : connaître ses prestataires, leurs propres sous-traitants ultérieurs, et les accès qu'ils détiennent sur vos systèmes.

Pour les entreprises de cybersécurité touchées, l'ironie est cruelle. Mais le message vaut pour toutes les organisations : la violation de données n'est plus un événement exceptionnel, c'est une probabilité à intégrer dans sa gouvernance.

Ce que ça change pour les organisations

La première question à se poser est simple : suis-je affecté ? Si votre organisation utilise Klue, ou un prestataire connecté à votre Salesforce, le DPO et le RSSI doivent immédiatement déterminer quelles données ont pu transiter et si des données personnelles sont concernées. De cette analyse dépend le déclenchement — ou non — de la notification à la CNIL dans les 72 heures prévue par l'article 33, et le cas échéant la communication aux personnes concernées au titre de l'article 34.

Concrètement, quatre réflexes s'imposent. D'abord, révoquer et faire l'inventaire des jetons OAuth et des intégrations tierces connectées à vos environnements critiques — une intégration dépréciée mais jamais désactivée est une porte ouverte. Ensuite, vérifier que vos contrats de sous-traitance imposent bien des obligations de sécurité et de notification d'incident sous 24 à 48 heures, pour ne pas découvrir une fuite par la presse. Troisièmement, tester réellement votre procédure d'incident : la chronologie de 72 heures se joue dès la prise de connaissance des faits. Enfin, documenter la décision, y compris lorsque vous concluez à l'absence de risque : la traçabilité du raisonnement est, elle aussi, une obligation.

Ce que Leto pense de cette décision

Le maillon faible de la conformité n'est presque jamais le contrat principal — c'est l'intégration qu'on a branchée il y a deux ans et qu'on a oubliée. Tant que les organisations traiteront la cartographie des sous-traitants et la gouvernance des accès tiers comme une formalité administrative plutôt que comme une discipline de sécurité vivante, ces rebonds continueront. La vraie leçon de l'affaire Klue n'est pas qu'un prestataire a été piraté ; c'est que la plupart de ses clients étaient incapables de répondre rapidement à une question pourtant élémentaire : « quelles données ce fournisseur pouvait-il voir ? »

Sources : Numerama — Une attaque supply chain expose des données Salesforce de plusieurs entreprises de cybersécurité ; DataBreaches.net — Klue OAuth breach victim list grows as Icarus hackers claim attack.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026