En bref

  • Le groupe ransomware Unsafe a revendiqué le 4 juillet 2026 une compromission touchant Deutsche Bank via un prestataire tiers — une plateforme marketing et d'incentives pour partenaires commerciaux basée en Allemagne.
  • Données revendiquées : emails de salariés, hashes de mots de passe, adresses postales, extraits de bases de données internes publiés comme preuve.
  • Action requise : les organisations utilisant des tiers marketing ou d'incentives doivent auditer leurs flux de données partagés et vérifier les clauses de notification de leur prestataire.

Les faits

Le 4 juillet 2026, le groupe de ransomware Unsafe a listé Deutsche Bank sur son site de fuite dark web, revendiquant avoir compromis l'établissement financier allemand et avoir accès à des données internes sensibles. En preuve de sa revendication, le groupe a publié des extraits de bases de données incluant des sorties de terminaux et des commandes apparentées à des exports de plusieurs bases de données.

Deutsche Bank a réagi rapidement, précisant par l'intermédiaire d'un porte-parole que l'incident n'affectait pas son propre réseau. Selon la banque, la compromission concernait une entreprise tierce en Allemagne qui gère une plateforme marketing et d'incentives destinée aux partenaires commerciaux de Deutsche Bank. La confirmation de cet accès via un prestataire marketing externe est révélatrice d'une surface d'attaque souvent sous-estimée : les plateformes tierces de marketing, CRM, et gestion de partenaires disposent fréquemment d'un accès à des données de contacts, de salariés et de clients, sans toujours être soumises aux mêmes standards de sécurité que l'organisation principale.

Les données revendiquées comme dérobées comprennent des adresses email de salariés Deutsche Bank, des hashes de mots de passe, des adresses postales, et des enregistrements de bases de données internes. Si les hashes de mots de passe sont confirmés, le risque est double : credential stuffing direct sur des comptes Deutsche Bank si les mots de passe sont faibles ou réutilisés, et campagnes de spear phishing exploitant les adresses email et données postales pour des attaques d'ingénierie sociale ciblées contre des employés de la banque.

Le groupe Unsafe est actif depuis décembre 2022. Après une période de relative discrétion en 2024 et 2025, il a significativement intensifié son activité en 2026. Selon les données de threat intelligence disponibles, ses cibles sont concentrées aux États-Unis, en Allemagne, en Suisse et en France, avec une prédilection pour les services financiers et les infrastructures critiques. Son arsenal technique inclut l'exploitation de vulnérabilités zero-day dans des logiciels tiers et le déploiement de malwares historiques comme GrandCrab et Emotet comme vecteurs d'accès initial.

Le modèle opératoire d'Unsafe est la double extorsion : chiffrement des systèmes cibles couplé à la menace de publication des données exfiltrées. Dans le cas Deutsche Bank, la revendication sur le site de fuite avant toute négociation publique connue suggère soit un échec des négociations privées, soit une stratégie de pression visant à maximiser la visibilité médiatique de la revendication pour forcer une réaction.

L'incident intervient dans un contexte réglementaire particulièrement attentif. La réglementation européenne DORA (Digital Operational Resilience Act), entrée en vigueur pour les entités financières en janvier 2025, impose des exigences strictes en matière de gestion du risque tiers ICT, incluant des obligations de due diligence sur les prestataires, des procédures de notification d'incident, et des tests de résilience. Un incident affectant un prestataire de Deutsche Bank constitue exactement le type de scénario que DORA entend encadrer, et la capacité de la banque à démontrer qu'elle a respecté ses obligations de surveillance du tiers concerné sera scrutée par les régulateurs.

Plus largement, cet incident rappelle une réalité structurelle de la cybersécurité des grandes entreprises : la surface d'attaque effective d'une organisation ne se limite pas à ses propres systèmes. Elle englobe l'ensemble des prestataires ayant accès à des données ou des systèmes internes — plateformes marketing, outils RH, solutions de gestion des partenaires, intégrateurs, sous-traitants de traitement de données. Chacun de ces tiers représente un vecteur potentiel d'intrusion, et leur niveau de maturité sécurité est rarement équivalent à celui de l'organisation principale.

À la date de publication, Deutsche Bank n'a pas commenté l'étendue exacte des données dérobées ni les mesures prises vis-à-vis du prestataire concerné. Aucun autre établissement financier n'a été cité dans le cadre de cette même compromission de prestataire tiers.

Impact et exposition

L'impact direct concerne Deutsche Bank et ses partenaires commerciaux dont les données seraient présentes sur la plateforme tierce compromise. Les salariés identifiés dans le dataset sont exposés à des campagnes de spear phishing et potentiellement à des risques liés à la réutilisation de mots de passe. Pour les organisations françaises, cet incident illustre le risque DORA/NIS2 lié aux prestataires tiers peu matures : une brèche chez un fournisseur marketing peut exposer des données sensibles sans que l'organisation principale ait failli dans ses propres défenses.

Recommandations

  • Cartographier les prestataires ayant accès à des données salariés ou partenaires : les plateformes marketing, CRM tiers et outils d'incentives sont souvent négligés dans les évaluations de risque tiers ICT.
  • Exiger des standards de sécurité contractuels minimaux pour les prestataires : MFA obligatoire, chiffrement des données au repos, notification d'incident sous 72h, droit d'audit sécurité annuel.
  • Mettre en oeuvre une politique de moindre accès pour les tiers : un prestataire marketing n'a pas besoin d'accéder à des hashes de mots de passe — limiter les données partagées au strict nécessaire.
  • Documenter le cadre DORA pour votre portefeuille de fournisseurs ICT critiques et non critiques, et vérifier que les processus de notification d'incident tiers sont opérationnels.
  • Sensibiliser les salariés identifiés dans des datasets de prestataires compromis aux risques de phishing ciblé et forcer la rotation des mots de passe potentiellement exposés.

Que signifie concrètement une brèche "via un tiers" pour l'obligation de notification RGPD et DORA d'une banque comme Deutsche Bank ?

Sous le RGPD, Deutsche Bank en tant que responsable de traitement reste responsable des données personnelles transmises à un sous-traitant, même si la brèche survient chez ce dernier. L'obligation de notification à l'autorité de contrôle compétente (BaFin côté allemand, CNIL si des résidents français sont affectés) dans les 72 heures s'applique dès que la banque a connaissance d'une violation probable de données personnelles — que la source soit interne ou un tiers. Sous DORA, la banque doit en outre documenter et rapporter l'incident de sécurité ICT à son autorité compétente selon les délais prescrits, même si l'origine est un prestataire tiers. La capacité à démontrer que des mesures de due diligence adéquates ont été prises sur ce prestataire avant l'incident sera déterminante pour l'évaluation réglementaire.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit