Quand “Scattered LAPSUS$ Hunters” nous rappelle une vérité dérangeante : la sécurité SaaS commence chez vous

1 milliard d’enregistrements. 40 entreprises majeures. Une seule vulnérabilité : la confiance mal placée.

L’attaque récente sur les environnements Salesforce orchestrée par le collectif “Scattered LAPSUS$ Hunters” n’est pas juste une statistique de plus dans l’histoire de la cybercriminalité. C’est un révélateur brutal d’une réalité que beaucoup d’organisations préfèrent ignorer.

Ce que les chiffres ne disent pas (mais devraient)

En octobre 2025, ce super-groupe cybercriminel – fusion de Scattered Spider, ShinyHunters et LAPSUS$ – a ciblé des géants comme Google, Cisco, FedEx, Disney, Toyota et Marriott. Leur méthode ? Pas d’exploit technique sophistiqué. Du vishing classique (arnaque par téléphone) et de l’abus d’OAuth via des intégrations de confiance comme Salesloft Drift.

Le coût moyen d’une violation de données en 2025 ? 4,44 millions USD globalement, mais 10,22 millions USD aux États-Unis. Pour le secteur financier, ce montant grimpe à 9,28 millions USD par incident. Ces chiffres ne capturent même pas l’érosion de confiance, la perte de clients (38% changent de fournisseur après une violation), ou la chute boursière moyenne de 7,5% qui suit.

Mais voici la question qui devrait tous nous tenir éveillés la nuit :

La plateforme Salesforce n’a pas été compromise. Alors, qui est responsable ?

C’est là que réside le malaise. Salesforce a explicitement déclaré que son infrastructure n’avait pas été cassée. Les attaquants ont exploité les lacunes du côté client : authentification multifacteur (MFA) non imposée, gestion négligée des intégrations OAuth, permissions excessives, absence de détection des identités non-humaines suspectes.

Bienvenue dans la réalité inconfortable du modèle de responsabilité partagée SaaS.

L’illusion dangereuse du “Ils s’occupent de tout”

Trop d’organisations migrent vers le SaaS avec l’hypothèse silencieuse que la sécurité est entièrement déléguée au fournisseur. Erreur fatale.

Dans un modèle SaaS, le fournisseur sécurise :

• L’infrastructure physique et le réseau
• La plateforme applicative elle-même
• Les sauvegardes et la disponibilité du service
• La conformité de son infrastructure

Mais vous, le client, restez responsable de :

✓ Gestion des identités et des accès : Qui peut accéder ? Avec quels privilèges ? La MFA est-elle imposée universellement ?

✓ Configuration et gouvernance des applications : Avez-vous désactivé l’accès anonyme ? Limité le partage externe ? Défini des politiques de rétention ?

✓ Gestion des intégrations tierces : Quelles applications OAuth ont accès à vos données ? Quand ont-elles été auditées pour la dernière fois ?

✓ Surveillance et détection des menaces : Surveillez-vous les connexions anormales, les modifications de configuration, la création d’identités non-humaines suspectes ?

✓ Sécurité des données : Vos données sensibles sont-elles classifiées ? Les permissions d’accès respectent-elles le principe du moindre privilège ?

✓ Formation et sensibilisation : Vos employés peuvent-ils identifier une tentative de vishing ?

Dans le cas de l’attaque Scattered LAPSUS$ Hunters, ce sont précisément ces responsabilités côté client qui ont échoué.

La standardisation arrive enfin : CSA SSCF, une boussole dans le brouillard

Face à cette complexité, la Cloud Security Alliance (CSA) a publié en septembre 2025 le SaaS Security Capability Framework (SSCF) v1.0 – le premier standard industriel définissant les contrôles de sécurité que chaque application SaaS devrait offrir à ses clients.

Le SSCF structure 41 contrôles essentiels autour de 6 domaines :

1. Change Control & Configuration Management : Gestion sécurisée des changements
2. Data Security & Privacy : Gestion du cycle de vie des données
3. Identity & Access Management : Authentification forte, gouvernance des identités non-humaines
4. Interoperability & Portability : Contrôle des exports et intégrations
5. Logging & Monitoring : Logs exploitables livrés sous 24h
6. Security Incident Management : Notification d’incidents et forensique

Ce framework ne remplace pas SOC 2 ou ISO 27001 – il les complète en traduisant des exigences abstraites en capacités concrètes et configurables.

Plus important encore : le SSCF aurait directement adressé les failles exploitées dans l’attaque Salesforce. Le contrôle IAM-SaaS-19 (Allowlisting des tiers) aurait permis de détecter l’intégration malveillante. Le contrôle IAM-SaaS-06 (Gouvernance des identités non-humaines) aurait immédiatement signalé la création d’applications OAuth suspectes.

Au-delà du framework : l’outillage qui change la donne

Avoir un framework, c’est bien. Avoir la capacité de l’opérationnaliser à l’échelle de dizaines ou centaines d’applications SaaS, c’est mieux.

C’est précisément la promesse des solutions SaaS Security Posture Management (SSPM) comme notre partenaire AppOmni – reconnu comme leader par Frost & Sullivan et classé “Strong Performer” par Forrester.

Un SSPM moderne offre :

🔍 Visibilité unifiée : Vue consolidée de votre posture de sécurité SaaS sur l’ensemble de vos applications

⚙️ Détection de dérive de configuration : Identification automatique des écarts par rapport aux baselines de sécurité

🔐 Gouvernance des accès et des identités : Surveillance des permissions excessives et des accès à données sensibles

🔗 Gestion des intégrations OAuth : Inventaire et évaluation des applications tierces

📊 Normalisation des logs : Flux d’événements uniformisés pour détection des menaces

⚡ Automatisation de la remédiation : Workflows guidés pour correction rapide des vulnérabilités

La question n’est plus “si”, mais “quand”

L’attaque Scattered LAPSUS$ Hunters n’est pas un cas isolé. C’est un symptôme d’une tendance qui s’accélère.

Regardons les faits de 2024-2025 :

Snowflake (Mi-2024) : 165 organisations compromises

• Victimes : AT&T (109 millions d’enregistrements), Ticketmaster, Santander Bank, LendingTree, Neiman Marcus
• Vecteur d’attaque : Identifiants volés via infostealers, absence de MFA
• Montant extorqué : 2,7 millions USD confirmés
• La faille ? Pas la plateforme Snowflake, mais les configurations clients : MFA non activée, identifiants non renouvelés depuis 2020, absence de listes d’IP autorisées

Microsoft / Midnight Blizzard (Janvier 2024) : Attaque étatique russe

• Cible : Emails de dirigeants Microsoft, équipes cybersécurité et juridiques
• Vecteur d’attaque : Password spray sur compte test non protégé, puis abus d’une application OAuth legacy avec permissions full_access_as_app
• Impact : Accès aux correspondances internes, exfiltration de code source
• La faille ? Compte test legacy sans MFA, application OAuth obsolète avec permissions excessives non auditée

Cloudflare (Novembre 2023) : Exfiltration via Atlassian

• Vecteur d’attaque : Tokens OAuth d’une précédente violation réutilisés pour accéder à l’instance Atlassian
• Impact : Accès aux dépôts de code internes, exfiltration de code source lié aux technologies opérationnelles
• La faille ? Tokens OAuth non révoqués après incident précédent, permissions OAuth non surveillées

Dropbox Sign (Avril 2024) : Compromission d’identités non-humaines

• Vecteur d’attaque : Accès à un outil de configuration automatisé, compromission d’un compte de service avec privilèges élevés
• Impact : Accès à la base de données clients Dropbox Sign
• La faille ? Surveillance inadéquate des identités non-humaines (service accounts, clés API)

Le pattern est clair : Les attaquants ne cherchent plus à “hacker” l’infrastructure. Ils marchent simplement par la porte d’entrée en exploitant :

• L’absence ou la non-application de la MFA
• Les applications OAuth et intégrations mal gouvernées
• Les identités non-humaines (service accounts, tokens API) non surveillées
• Les comptes dormants ou legacy non déprovisionés
• Les permissions excessives non auditées

Les cybercriminels ont compris que les applications SaaS, qui hébergent vos données les plus sensibles, restent souvent le maillon le plus faible de votre architecture de sécurité. Et contrairement aux attaques réseau traditionnelles, ces failles sont entièrement dans votre périmètre de responsabilité.

La migration cloud a déplacé les données. Il est temps que la maturité sécuritaire suive.

Trois actions concrètes dès maintenant :

1. Auditez votre posture SaaS : Commencez par vos applications critiques (Salesforce, Microsoft 365, Workday, ServiceNow). Quelles sont vos configurations actuelles ? Qui a accès à quoi ?

2. Évaluez vos applications par rapport au SSCF : Utilisez le framework CSA comme baseline. Vos fournisseurs SaaS offrent-ils les contrôles nécessaires ? Les utilisez-vous ?

3. Investissez dans un SSPM : La gestion manuelle ne scale pas. Les solutions comme AppOmni vous permettent de passer d’une approche réactive à une posture proactive de sécurité SaaS.

💡 La sécurité SaaS n’est pas une option – c’est votre responsabilité fiduciaire envers vos clients, vos employés et vos actionnaires.

🔗 Découvrez le framework CSA SSCF : https://cloudsecurityalliance.org/artifacts/saas-security-capability-framework-sscf

🛡️ Intéressé par AppOmni et les solutions SSPM ? Contactez-moi pour une démonstration personnalisée et un audit de votre posture SaaS actuelle.

Sources :

• IBM Cost of a Data Breach Report 2025
• Cloud Security Alliance SaaS Security Capability Framework v1.0
• Google Threat Intelligence Group reports on UNC6040/UNC6395
• Forrester Wave: SaaS Security Posture Management Q4 2023