theNet by CLOUDFLARE

Réduire les risques envers la confidentialité posés par les applications tierces

Les stratégies à suivre pour prévenir les violations et limiter les dégâts

Les applications tierces ont toujours présenté un certain degré de risques envers la sécurité et la confidentialité. Les acteurs malveillants reconnaissent que les vulnérabilités des logiciels leur permettent d'accéder à des données sensibles. Toutefois, à l'instar de l'accroissement du nombre d'intégrations d'applications, l'utilisation croissante des outils SaaS et la forte dépendance envers ces derniers ont amplifié le problème. Les acteurs malveillants disposent désormais de davantage de vulnérabilités à exploiter.

La violation de données du chatbot Drift de Salesloft en août 2025 (un événement qui a touché des centaines d'entreprises) démontre que les applications SaaS tierces et leurs intégrations font peser un risque grave sur la confidentialité.

Dans le cas de cette attaque particulière, les cybercriminels ont compromis la plateforme d'interaction commerciale Drift de Salesloft. Ils ont ainsi dérobé des jetons OAuth, qui leur permettaient d'accéder aux instances Salesforce intégrées utilisées par les entreprises. Les entreprises dont les instances Salesforce ont été affectées par la violation ont rapidement désactivé l'accès accordé aux acteurs malveillants, mais pas avant que ces derniers n'aient pu exfiltrer les données de leurs instances Salesforce, notamment les champs de texte des dossiers du service client. Nous disposons d'informations qui indiquent que des centaines d'entreprises ont été touchées, mais seules quelques-unes d'entre elles ont divulgué publiquement les effets de cette attaque.

Lors de cet incident concernant la plateforme Salesloft Drift, les acteurs malveillants ont exfiltré les données clients, ce qui constituait déjà un préjudice en soi. Or, les pirates pourraient également se servir de ces informations pour causer davantage de dégâts. En effet, les cybercriminels utilisent souvent des informations volées dans le cadre de leurs techniques d'ingénierie sociale. Les acteurs malveillants qui se sont attaqués à la plateforme Drift de Salesloft ont en outre dérobé des identifiants et des jetons numériques susceptibles de leur permettre d'accéder à d'autres applications intégrées.

Ces vulnérabilités font courir un risque accru à un vaste éventail de données sensibles. Si l'attaque qui a frappé le chatbot Salesloft Drift a effectivement conduit à un vol d'informations concernant les clients (coordonnées et support), les violations peuvent exposer des données encore plus sensibles, comme des secrets professionnels, des données financières concernant l'entreprise ou des informations médicales. La violation de données subie en 2025 par le fournisseur de service client tiers contracté par Discord a ainsi conduit au vol de diverses informations concernant les clients de Discord, comme leur nom, leur adresse e-mail, le numéro de leur carte de paiement et la photo de la pièce d'identité officielle importée dans leur dossier, parmi bien d'autres.

Au-delà de la réponse immédiate aux violations de données tierces, les entreprises doivent également s'attaquer à leurs répercussions à plus long terme. Elles peuvent ainsi se retrouver confrontées à des amendes réglementaires, à des poursuites judiciaires et à une perte de confiance de la part de leurs clients, autant de facteurs susceptibles d'avoir un effet direct sur leurs revenus.

En tant qu'entreprise figurant parmi les leaders dans le domaine de la confidentialité, comment pouvons-nous mieux gérer les risques posés par les applications et les intégrations de logiciels tiers ? La mise en œuvre de bonnes pratiques en la matière vous permettra de réduire les vulnérabilités et d'accélérer la vitesse de résolution des incidents lorsque ces attaques se produiront (si elles se produisent, bien entendu).

Comprendre les risques posés par les applications tierces

Les acteurs principaux dans le domaine de la confidentialité ne connaissent que trop bien les conséquences potentielles d'une violation de données. Votre entreprise pourrait ainsi faire l'objet d'une enquête réglementaire et, potentiellement, se voir infliger une amende par la Federal Trade Commission (FTC, la Commission fédérale américaine du commerce), le département de la Santé et des Services sociaux (pour les infractions à la loi HIPAA), les procureurs généraux des États-Unis ou les autorités chargées de la protection des données (DPA, Data Protection Authorities) dans de nombreux pays à travers le monde.

Fait tout aussi important : les violations de données peuvent avoir une incidence sur la réputation de votre entreprise, la confiance de vos clients et vos revenus. Lorsque des données sont exposées, les clients cherchent souvent des recours dans les clauses de violation de contrat ou sous la forme de crédits de service. Dans le pire des cas, ils perdent totalement confiance et mettent fin à la relation commerciale.

Les attaques contre les applications tierces et les intégrations accentuent ce risque. Le déploiement d'un certain nombre de protections pour vos propres systèmes constitue un bon point de départ, mais il est plus difficile de s'assurer que vos fournisseurs de services mettent en place des mesures de protection équivalentes. C'est en partie la raison pour laquelle les règlements tels que le Digital Operational Resilience Act (DORA, la loi sur la résilience opérationnelle numérique) de l'UE exigent que les entités couvertes mettent en place d'importantes mesures de contrôle préalable à l'égard de leurs fournisseurs de services et de la chaîne d'approvisionnement de ces derniers. Un certain nombre de mesures d'exécution imposées par l'ATD de l'UE et la FTC des États-Unis ont également adopté une position qui veut que les entités soient considérées comme responsables même lorsque la violation s'est produite sur le système d'un de leurs fournisseurs de services.

Réduire les risques de confidentialité liés aux tiers

Quatre bonnes pratiques contribuent à réduire fortement les risques liés à la confidentialité des données tierces et à atténuer les dégâts susceptibles de découler d'une violation. Ces pratiques ne doivent bien évidemment pas être des événements ponctuels, mais un effort continu visant à évaluer les fournisseurs, à affiner les plans, à rester informé des exigences en matière de notification et à s'adapter aux évolutions.

1. Ne faites pas intrinsèquement confiance à tous les fournisseurs de SaaS.

Travaillez avec vos collègues de l'IT et de la sécurité afin de procéder à un contrôle préalable complet des fournisseurs avant d'adopter de nouvelles applications SaaS. Assurez-vous que vos fournisseurs aient pris des dispositions pour obtenir des certifications, protéger la sécurité des données et maintenir une hygiène suffisante en matière de données. Veillez surtout à ce que votre équipe comprenne bien comment configurer correctement vos applications.

  • Certifications : les fournisseurs doivent disposer de toutes les certifications pertinentes dans votre secteur, comme le respect des normes SOC 2 et ISO 27701, mais aussi PCI DSS 4.0, HIPAA ou FedRAMP.

  • Utilisation et sécurité des données : découvrez comment les fournisseurs utiliseront et protégeront vos données. Vous pouvez décider de ne pas travailler avec certains fournisseurs s'ils ne peuvent répondre à vos exigences. Vous pourriez, par exemple, exiger de leur part la garantie qu'ils n'utiliseront pas vos données pour entraîner le modèle IA qu'ils sont en train de développer. Vous pouvez également insister sur le fait que vos données soient stockées séparément et chiffrées de manière distincte des données d'autres entreprises.

  • Hygiène concernant les données : assurez-vous que les fournisseurs ne collectent que le minimum de données sensibles nécessaires pour atteindre leur objectif. La minification des données constitue un principe fondamental des réglementations relatives à la confidentialité des données, comme le règlement général sur la protection des données (RGPD). Les fournisseurs doivent également s'engager à ne conserver que les données nécessaires (et seulement pendant la durée nécessaire) afin de se conformer aux réglementations en vigueur. Le fait de limiter la collecte et la conservation des données permet de réduire l'exposition en cas de violation. Certaines des données exfiltrées lors de la violation subie par Discord (comme les photos des pièces d'identité) auraient, par exemple, dû être remplacées par un jeton, puis supprimées.

  • Configurations : veillez à ce que votre équipe IT comprenne bien la marche à suivre pour configurer les nouvelles applications SaaS. Intéressez-vous notamment à la manière dont elles sont intégrées aux autres applications. De même, veillez à bien évaluer la granularité des autorisations. Les acteurs malveillants ne doivent pas bénéficier d'un accès facilité à plusieurs systèmes s'ils compromettent un seul compte ou une seule application.

2. Travaillez avec les équipes de sécurité et les autres équipes afin de définir un plan de réponse.

Les cybercriminels continueront de lancer des attaques tant qu'ils identifieront des vulnérabilités au sein des applications SaaS. Mettez une équipe en place et planifiez une réponse rapide.

Équipe de crise : comme je l'ai déjà écrit, les équipes chargées de la confidentialité et de la sécurité doivent travailler ensemble dans le cadre d'un programme de sécurité axé sur la confidentialité. Ce programme doit inclure une équipe de crise, qui comprendra non seulement des collaborateurs issus des équipes chargées de l'IT, de la cybersécurité, des opérations et de la confidentialité, mais également du service juridique et de la communication. Ces partenariats doivent être mis en place avant qu'une crise ne survienne afin de ne pas vous contraindre à concevoir des rôles et à attribuer des responsabilités dans l'urgence.

Guide de réponse : vous devez impérativement disposer d'un guide de réponse documenté afin que tous les membres de vos équipes sachent exactement ce qu'ils doivent faire lorsqu'un événement se produit. Ce guide doit inclure les éléments suivants :

  • Établissement des faits : cherchez les réponses aux questions concernant l'identité des protagonistes, la nature, le lieu et le moment de la violation. Ces processus doivent inclure le fait de vérifier qu'un incident s'est réellement produit, la documentation relative à la chronologie de l'incident, la détermination du point d'entrée (définir si l'attaque résulte d'une vulnérabilité tierce, par exemple), ainsi que l'identification des données et des systèmes affectés. Le vol de secrets professionnels nécessite une réponse différente de celle qui sera mise en œuvre suite à une perte d'informations personnelles concernant les clients. De la même manière, une violation de données de grande ampleur exigera une réponse différente par rapport à une violation de moindre envergure.

  • Isolement et récupération : définissez les procédures qui permettront d'isoler les systèmes affectés, de révoquer les identifiants compromis et de prévenir d'autres pertes de données. Les équipes de sécurité peuvent alors s'attaquer à la cause première de la violation et restaurer les données si nécessaire. Testez ces phases du plan à l'avance. Si un incident survient, vous devez pouvoir exécuter le plan que vous avez mis au point.

3. Assurez-vous de comprendre vos obligations en matière de notification.

Conformément à la multitude de lois qui s'appliquent à votre entreprise, vous devrez contacter vos clients en cas de violation exposant des données concernant ces derniers. En fonction de l'endroit où se situent ces clients, vous pourriez avoir à respecter plusieurs législations locales aux États-Unis, chacune disposant d'exigences différentes en matière de notification. Si vous avez des clients dans l'UE et que vous contrôlez des données personnelles, le RGPD exige que vous avertissiez ces derniers en cas de risque élevé que leurs informations conduisent à une usurpation d'identité, à des pertes financières, à la discrimination ou à toute autre forme de préjudice.

Les entreprises publiques doivent également informer la SEC en cas de violation importante. Si votre entreprise est de type B2B, vous pouvez déjà disposer de conditions de notification spécifiques intégrées aux contrats de vos clients. Vous pourriez, par exemple, vous retrouver dans l'obligation de signaler la violation dans un délai de 24 à 72 heures.

Lorsque les violations sont dues à des applications tierces, vous devez comprendre les obligations de notification dont relèvent toutes les parties. Ces obligations dépendent de l'entreprise qui contrôle et traite les données.

La conformité à l'ensemble de ces exigences en matière de notification constitue une tâche des plus complexes. Pour réduire cette complexité, vous pouvez définir une politique respectant les règles les plus strictes pour l'ensemble de vos clients, par exemple, en avertissant toutes les parties concernées dans les 24 heures même s'il n'existe qu'une faible possibilité qu'elles souffrent d'un préjudice suite à la violation. Vous pouvez également tenter de trouver votre chemin au sein de la complexité des notifications et les traiter différemment en fonction de la juridiction. Les deux approches comportent des avantages et des inconvénients. De même, chacune peut avoir une incidence sur la confiance de vos clients.

Qu'arrivera-t-il si vous informez un client qu'il est peu probable qu'il subisse des dégâts à la suite d'une violation ? Ce client vous fera-t-il moins confiance ? Ou davantage ? Et si vous décidez de ne pas informer un client particulier d'une violation de données, car vous n'avez aucune obligation juridique de le faire ?

En plus de réfléchir aux prescriptions légales, n'hésitez pas à vous mettre à la place de vos clients. Pensez à ce qu'ils aimeraient savoir et à quel moment, ainsi qu'à la manière dont votre décision pourrait affecter votre relation avec eux.

4. Faites preuve d'adaptabilité.

Les applications SaaS, les intégrations logicielles, les tactiques criminelles et les réglementations relatives à la confidentialité évoluent constamment. Toutes les entreprises doivent se préparer à l'inattendu, même celles qui planifient de manière extensive. L'important réside dans votre capacité à réagir rapidement, à tirer un enseignement des incidents qui surviennent et à adapter vos stratégies en conséquence.

Renforcer la sécurité des applications SaaS

Les acteurs malveillants continuent de viser les applications SaaS afin d'accéder à des données sensibles concernant les clients et les entreprises. S'il s'avère parfois impossible de bloquer totalement les attaques, vous pouvez néanmoins tenter de réduire au minimum les risques de violations et les dégâts subis par votre entreprise, vos partenaires et vos clients.

Cloudflare contribue à la sécurisation des applications SaaS et de leurs intégrations. Après l'incident concernant la plateforme Drift de Salesloft, nous avons annoncé que nous travaillions sur des solutions qui consolident les connexions SaaS derrière un proxy unique afin d'améliorer la détection et la réponse à une compromission potentielle.

Comme nous sommes nous-mêmes un fournisseur de services cloud, nous nous efforçons en permanence de renforcer la sécurité de nos services, de surveiller nos fournisseurs de services tiers et de préserver la confiance de nos clients. Nous nous engageons également à faire preuve de transparence concernant les incidents, comme nous l'avons expliqué après la violation de données subie par Salesloft Drift. De même, nous sommes constamment en train d'apprendre et de nous adapter en conséquence. Nous sommes par ailleurs impliqués dans un vaste ensemble d'activités, comme la publication de rapports sur la transparence, la publication de déclarations de non-injonction, le développement de technologies d'amélioration de la confidentialité et l'établissement de normes. Toutes ces initiatives ont pour objectif de contribuer à bâtir un Internet meilleur, plus privé et plus sécurisé.

En parallèle, notre cloud de connectivité vous aide à faire face aux risques envers la sécurité et à vous conformer à une gamme complète de réglementations en matière de confidentialité, tout en maîtrisant la complexité. Vous pouvez ainsi mettre en place une sécurité robuste et cohérente pour l'ensemble de vos applications et de vos environnements, mais aussi déployer les mesures de contrôle nécessaires au respect d'un vaste éventail de lois et de normes à l'égard de la confidentialité, le tout depuis une plateforme unique et unifiée.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Approfondir le sujet

Vous trouverez davantage d'informations sur les raisons pour lesquelles une plateforme unifiée est essentielle à la rationalisation de la conformité à une large gamme de règlements dans notre livre blanc intitulé Comment un cloud de connectivité rationalise la conformité en matière de sécurité.

Auteur

Emily Hancock – @emilyhancock
Chief Privacy Officer, Cloudflare


Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

  • Les raisons pour lesquelles les applications SaaS tierces introduisent de nouveaux risques envers la confidentialité

  • Quatre bonnes pratiques à mettre en œuvre pour réduire les risques liés aux tiers

  • Les raisons pour lesquelles les équipes chargées de la confidentialité et de la sécurité doivent collaborer à la réduction des risques et à la réponse aux incidents

Ressources associées

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

DÉMARRAGE

SOLUTIONS

SUPPORT

CONFORMITÉ

INTÉRÊT PUBLIC

ENTREPRISE

© 2026 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale