ShinyHunters et la chaîne logicielle : « Nos PME sous-traitent leur sécurité à des acteurs dont elles ne contrôlent pas les accès »

# ShinyHunters et la chaîne logicielle : « Nos PME sous-traitent leur sécurité à des acteurs dont elles ne contrôlent pas les accès »

*En 2025 et 2026, le groupe ShinyHunters a continué d'opérer comme une franchise criminelle industrialisée, ciblant des bases de données exposées via des prestataires tiers. Derrière chaque violation, la même mécanique : une PME européenne qui pensait être protégée parce qu'elle s'appuyait sur un grand nom américain. Nous avons interrogé un DSI d'une ETI industrielle française de taille intermédiaire, qui a vécu de l'intérieur une tentative d'intrusion liée à cette chaîne. Il parle sans filtre.*

« ShinyHunters, c'est quoi concrètement pour une PME qui n'est pas dans la cybersécurité ? »

C'est d'abord un nom qu'on découvre après coup, quand on reçoit un appel de notre avocat ou qu'on voit nos données en vente sur un forum. ShinyHunters, c'est un groupe cybercriminel qui a industrialisé la compromission de chaînes logicielles. Ils ne s'attaquent pas frontalement à vous. Ils s'attaquent à quelqu'un qui a vos clés.

Dans notre cas, la tentative est passée par un prestataire de gestion documentaire dont nous utilisions la plateforme SaaS. Ce prestataire s'appuyait lui-même sur une infrastructure cloud américaine. La surface d'attaque réelle, personne ne l'avait jamais cartographiée sérieusement. Ni eux, ni nous. C'est ça le vrai problème : on parle de souveraineté numérique, mais dans les faits, beaucoup de PME européennes ont des dizaines de connexions actives vers des systèmes dont elles ne maîtrisent ni la localisation, ni les droits d'accès, ni les sous-traitants.

« Comment ce type d'attaque révèle-t-il une dépendance structurelle aux acteurs américains ? »

Je vais être direct : le modèle SaaS dominant, celui qu'on a massivement adopté entre 2018 et 2024 sous couvert de modernisation, a créé une illusion de sécurité déléguée. On signait un contrat avec un éditeur qui promettait la conformité, les certifications, les audits. Et on se disait que c'était réglé.

Mais cette promesse repose souvent sur une pyramide de sous-traitance que personne ne regarde vraiment. L'éditeur européen qui vous vend le logiciel héberge chez un acteur américain qui lui-même délègue certains traitements à d'autres fournisseurs. Chaque maillon est une porte potentielle. Et quand ShinyHunters ou un groupe équivalent trouvent une faille dans ce château de cartes, c'est votre base clients ou vos données RH qui se retrouvent exposées.

La dépendance n'est pas seulement technologique. Elle est contractuelle et cognitive : on a appris à faire confiance à des marques, pas à des architectures. C'est ça qu'il faut inverser.

« Sur le plan organisationnel, qu'est-ce que cet incident a changé dans votre gouvernance ? »

Ca a tout changé, franchement. On a réalisé qu'on n'avait pas de cartographie des accès tiers à jour. Pas une liste centralisée de qui peut accéder à quoi, depuis où, avec quel niveau de privilège. C'est basique, mais c'était lacunaire.

Première décision : on a nommé un référent sécurité chaîne logicielle. Ce n'est pas un poste qu'on a inventé, c'est une responsabilité qu'on a explicitement attribuée à quelqu'un en interne — pas externalisée à un cabinet. Cette personne a maintenant pour mission de tenir à jour un registre vivant de nos dépendances tierces, avec un niveau de criticité associé.

Deuxième décision : on a introduit des clauses de réversibilité et d'audit dans tous nos nouveaux contrats SaaS. Si un prestataire ne peut pas nous garantir une visibilité sur ses propres sous-traitants d'hébergement, on ne signe plus. Ca a froissé quelques relations commerciales. Mais je pense que c'est le bon signal à envoyer au marché.

Troisième décision, et c'est peut-être la plus structurante : on a arrêté de traiter la sécurité comme un sujet IT. C'est maintenant un sujet de direction générale, avec un point mensuel au CODIR.

« Quelles compétences internes avez-vous dû développer ou recruter ? »

On avait des compétences réseau, des compétences applicatives. Ce qui nous manquait, c'est ce qu'on appelle la gestion des risques tiers — en anglais, le TPRM, Third Party Risk Management. C'est une discipline à part entière, qui croise de la juridique, de la technique et de la gestion de la relation fournisseur.

On a formé deux personnes en interne sur ce référentiel. Ca existe en Europe, il y a des certifications reconnues, des cadres méthodologiques qui ne dépendent pas d'un éditeur américain pour être mis en œuvre. Ca demande de l'investissement humain, pas des licences.

J'insiste là-dessus parce que le réflexe habituel, c'est d'externaliser ce type d'expertise à un cabinet de conseil ou de souscrire à une plateforme d'évaluation des risques fournisseurs. Il en existe de bonnes en Europe. Mais si vous n'avez pas en interne quelqu'un qui comprend ce que la plateforme vous dit, vous êtes à nouveau dans une posture de délégation aveugle. La compétence d'interprétation doit rester chez vous.

« Les RH sont-elles conscientes de leur rôle dans ce type de risque ? »

Absolument pas, dans la majorité des cas. Et c'est un angle mort énorme. Les données RH — fiches de paie, évaluations, données de santé, données syndicales — sont parmi les plus sensibles qu'une entreprise traite. Et elles sont souvent confiées à des éditeurs SIRH dont on n'a jamais audité sérieusement la chaîne d'hébergement.

Je pense qu'il faut former les DRH à la lecture des contrats de traitement des données. Pas pour en faire des experts techniques, mais pour qu'ils posent les bonnes questions : où sont hébergées nos données ? Qui y a accès en dehors de l'éditeur ? Que se passe-t-il en cas de violation ?

On a intégré un module de sensibilisation sur ce sujet dans notre parcours d'onboarding. Deux heures. Pas sur la technique, sur les réflexes : signaler une anomalie, ne pas connecter un outil SaaS non validé, comprendre pourquoi une demande d'accès inhabituelle doit remonter. Ce sont des comportements organisationnels, pas des skills IT.

« Quel message adresseriez-vous aux DSI d'ETI qui pensent que ShinyHunters, c'est un problème pour les grandes entreprises ? »

Je leur dirais qu'ils ont tout faux, et que cette erreur peut coûter très cher. Les groupes comme ShinyHunters ciblent précisément les maillons faibles de la chaîne. Et les PME/ETI européennes sont souvent ces maillons : elles ont des données de valeur — brevets, bases clients, données industrielles — mais des moyens de protection asymétriques par rapport aux grands groupes.

Et surtout, elles sont interconnectées. Vous êtes fournisseur d'un donneur d'ordre. Votre compromission, c'est potentiellement leur compromission. C'est pour ça que la directive NIS2 s'intéresse désormais à la chaîne logicielle étendue. Ce n'est pas une contrainte réglementaire de plus. C'est une prise de conscience tardive mais juste.

Ma conviction profonde, c'est que la souveraineté numérique ne se joue pas seulement dans les grands arbitrages cloud des directions générales. Elle se joue aussi dans ces choix discrets : à qui je confie mes accès, qui peut lire mes données RH, quel prestataire a les clés de mon système de gestion documentaire. Ce sont des décisions organisationnelles autant que techniques. Et elles appartiennent aux dirigeants européens, pas à des éditeurs dont les serveurs sont à douze fuseaux horaires de distance.

*Propos recueillis par la rédaction de RiffLab Media. L'interlocuteur a souhaité conserver l'anonymat pour des raisons contractuelles liées à la procédure en cours avec son prestataire.*