Extorsion SaaS : vos intégrations tierces, vecteur numéro un

Zara via Anodot-Snowflake, 7-Eleven via Salesforce, Vercel via Context.ai : en quinze jours, les trois compromissions médiatisées reposent toutes sur le même schéma. Ce n'est plus votre SI qui tombe, c'est un SaaS tiers qui vous porte préjudice par ricochet. Et très concrètement, la plupart des RSSI que je rencontre n'ont pas la cartographie pour s'en défendre.

Le SaaS tiers, nouveau maillon faible

Les groupes d'extorsion comme ShinyHunters ne cherchent plus à percer vos pare-feux. Ils observent votre stack marketing, analytics, CRM et observabilité, identifient le fournisseur le plus faible du lot et remontent la chaîne jusqu'à vos données. Le pattern est mécaniquement plus rentable : un seul pivot technique chez un éditeur SaaS, et c'est potentiellement plusieurs dizaines de clients finaux compromis en cascade.

Ce qui était autrefois du supply chain attack réservé aux APT sponsorisées — SolarWinds, 3CX, XZ Utils — est devenu le mode opératoire standard des groupes criminels. Le ROI est évident : vous frappez un maillon dont la surveillance est nécessairement inférieure à celle d'une grande entreprise, vous récupérez des tokens OAuth à durée de vie trop longue, et vous vendez ensuite les accès par lots sur votre forum préféré.

Ce que les SOC ne regardent pas

Quand j'auditerais en 2023 un SI, on parlait d'EDR, de SIEM, de MFA. En 2026, la question clé devient : combien de vos tiers ont un accès OAuth permanent à vos données, et qui les révoque ? Dans neuf organisations sur dix, la réponse est : personne. Les intégrations accumulées depuis cinq ans restent actives même lorsque l'outil n'est plus utilisé. Les tokens émis par les anciens admins survivent à leur départ. Les service principals Azure et les service accounts GCP créés pour des POC oubliés continuent de tourner.

La visibilité SaaS côté client est souvent dramatique. On découvre en audit des connecteurs Snowflake actifs chez des fournisseurs qui ont eux-mêmes été revendus à deux reprises depuis la signature du contrat. On découvre des portées OAuth Salesforce accordées à des apps tierces qui ne sont plus maintenues. Ce sont exactement ces zones grises que les groupes comme ShinyHunters exploitent.

Ce que je recommande en audit terrain

Trois actions opérationnelles, dans l'ordre de ROI :

Premièrement, lister tous les tokens OAuth actifs sur vos SaaS majeurs (Microsoft 365, Google Workspace, Snowflake, Salesforce, GitHub) et les confronter à la liste des prestataires encore sous contrat. Toute intégration non justifiée par un contrat actif doit être révoquée dans la semaine. Cela dépoussière en général 30 à 60 % des accès.

Deuxièmement, imposer une durée de vie maximale aux tokens — 90 jours est raisonnable, 7 jours est idéal pour les intégrations critiques — et forcer le renouvellement via un workflow validé. C'est inconfortable pour les équipes métier, mais cela tue net 80 % des scénarios d'extorsion par tiers.

Troisièmement, et c'est le plus négligé : exiger contractuellement de vos SaaS critiques qu'ils vous notifient sous 24 heures tout incident impactant leurs infrastructures. La plupart des contrats standards laissent l'éditeur libre de communiquer à son rythme, ce qui transforme les 24 premières heures — les plus précieuses — en zone aveugle.

Conclusion

ShinyHunters n'a pas inventé le modèle, mais il l'industrialise. Les deux prochaines années vont voir une multiplication des cas où une PME française se retrouve en fuite de données non parce qu'elle a été piratée, mais parce que son fournisseur analytics, son plugin Slack ou son SSO partenaire l'a été. Anticiper, c'est d'abord cartographier. Et cette cartographie commence maintenant, pas à la prochaine ligne budgétaire.