Amérique du Nord
Écosystème Salesforce
L'une des cybermenaces les plus importantes de 2025 a vu l'écosystème Salesforce pris pour cible dans le cadre d'une vaste fuite de données provenant de tiers, provoquant une onde de choc dans tous les secteurs à l'échelle mondiale. Cette fuite a exposé plus d'un milliard d'enregistrements provenant de dizaines d'entreprises internationales. La campagne s'est déroulée en plusieurs étapes, ciblant délibérément les maillons les plus faibles de l'écosystème : les utilisateurs humains et les intégrations tierces.
Il est important de noter qu’il ne s’agissait pas d’une intrusion directe dans l’infrastructure centrale de Salesforce. Les cybercriminels ont plutôt profité d’une erreur humaine et d’un accès accordé à un tiers de confiance pour compromettre les instances Salesforce individuelles des clients. L’attaque a suivi un schéma clair et reproductible :
- Tout d'abord, les pirates ont eu recours à l'ingénierie sociale et au hameçonnage vocal (vishing) pour se faire passer pour des membres du personnel informatique et amener les employés à leur accorder l'accès.
- Par la suite, les victimes ont été amenées à autoriser à leur insu des applications connectées malveillantes — telles que de fausses versions de Salesforce Data Loader — ou à divulguer des jetons OAuth associés à des outils légitimes comme Salesloft, Drift et Gainsight. Ces jetons ont permis aux attaquants d'obtenir un accès permanent à l'interface de programmation d'application (API) et de contourner souvent l'authentification multifactorielle (MFA).
- Enfin, les pirates ont utilisé les API de Salesforce pour exporter de grandes quantités de données, à la recherche d'identifiants, d'enregistrements de comptes et d'informations personnelles sensibles.
Les répercussions de cette attaque ont été considérables. Parmi les organisations touchées figuraient des compagnies aériennes telles qu'Air France-KLM, Qantas et Vietnam Airlines, des enseignes de distribution comme IKEA, Adidas et Chanel, ainsi que d'autres grandes entreprises, notamment Google, TransUnion, Toyota et Disney.
La responsabilité de cette violation a été revendiquée par un groupe de pirates informatiques connu sous le nom de « Scattered LAPSUS$ Hunters », qui a mis en ligne un site web clandestin afin d’y publier des échantillons des données volées. Le groupe a menacé Salesforce et ses clients de divulguer d’autres données si aucune rançon n’était versée. Salesforce a publiquement refusé de céder à toute demande de rançon, marquant ainsi clairement sa position contre l’extorsion.
SourceCe que nous avons appris
Cet incident a clairement montré que même les plateformes de sécurité les plus robustes peuvent être compromises lorsque les pirates exploitent des points faibles, tels que les erreurs des utilisateurs et les intégrations de tiers de confiance. Plutôt que d'attaquer Salesforce directement, les cybercriminels ont ciblé des personnes et des autorisations déjà présentes au sein de l'écosystème.
Il a également mis en évidence la manière dont l'ingénierie sociale basée sur l'IA fait monter d'un cran le niveau de sophistication de la cybercriminalité. En utilisant l'IA pour créer des messages et des usurpations d'identité plus convaincants, les cybercriminels peuvent facilement inciter les utilisateurs à leur accorder l'accès ou à approuver des actions malveillantes. Il est donc essentiel que les organisations sensibilisent davantage leurs utilisateurs et surveillent de près les accès accordés à des tiers, les applications connectées et les autorisations relatives aux données.
Royaume-Uni
Jaguar Land Rover (JLR)
Fin août 2025, le constructeur automobile britannique Jaguar Land Rover (JLR) a été victime d'une cyberattaque qui est devenue l'incident cybernétique le plus coûteux de l'histoire du Royaume-Uni. Cette attaque a contraint l'entreprise à mettre hors service ses systèmes dans l'ensemble de ses sites de production à travers le monde et a entraîné des pertes estimées à 1,9 milliard de livres sterling.
L'incident a débuté le 31 août par une intrusion informatique et s'est rapidement transformé en une crise opérationnelle majeure. Bien que JLR ait réagi rapidement pour contenir la menace en mettant ses systèmes hors service, la production dans l'ensemble de ses usines a été interrompue pendant près de cinq semaines. Les répercussions se sont étendues bien au-delà de JLR. Plus de 5 000 partenaires de la chaîne d'approvisionnement ont été touchés, beaucoup d'entre eux ayant dû faire face à des retards de paiement et à de graves difficultés opérationnelles. Certains fournisseurs sont désormais confrontés à des tensions de trésorerie pouvant durer jusqu'à six mois, ce qui illustre à quel point une seule cyberattaque peut avoir des répercussions sur l'ensemble d'un écosystème industriel.
Cette attaque a été attribuée au groupe Scattered LAPSUS$ Hunters, le même groupe impliqué dans la violation de l'écosystème Salesforce et dans plusieurs autres cyberincidents très médiatisés en 2025.
SourceCe que nous avons appris
Les répercussions de cette attaque montrent clairement que les cybercriminels ne se contentent plus du simple vol de données, mais s'attaquent désormais à ce qui permet véritablement aux entreprises de fonctionner : la continuité des activités. L'arrêt mondial des activités de JLR nous rappelle sans équivoque que la cyber-résilience ne se limite pas à la protection des données, mais consiste également à maintenir la production, les paiements et les chaînes d'approvisionnement opérationnels lorsque tout est en jeu.
Même si l'arrêt et le redémarrage d'activités de production à grande échelle sont des opérations complexes et chronophages, cet incident montre pourquoi la plupart des entreprises ne peuvent se permettre de considérer la continuité des activités et la reprise après sinistre (BCDR) comme une préoccupation secondaire. Une stratégie BCDR solide vous aide à maintenir le fonctionnement des fonctions critiques, à limiter les temps d'arrêt et à réduire les répercussions en cascade sur les partenaires et les clients. La leçon à en tirer est claire : la planification de la résilience doit tenir compte du fonctionnement réel de l'entreprise, et pas seulement de la manière dont les données sont protégées.
États-Unis
Universités américaines
Les cyberattaques contre les établissements d'enseignement américains se sont multipliées en 2025, touchant plusieurs grandes universités, notamment des établissements de l'Ivy League tels que l'université de Pennsylvanie et l'université de Princeton. Ces incidents ont entraîné la divulgation de millions de dossiers contenant des informations personnelles relatives aux étudiants, aux anciens élèves, au personnel et aux membres de la communauté universitaire.
À l'université de Pennsylvanie, l'attaque a été découverte le 31 octobre, lorsque des membres de la communauté universitaire ont reçu des courriels qui semblaient provenir de l'École supérieure d'éducation. L'université a confirmé par la suite que des systèmes liés aux activités de développement et aux relations avec les anciens élèves avaient été compromis. Quelques semaines plus tard, l'université de Princeton a révélé une autre violation de données touchant la base de données de son bureau du développement. Alors que l'incident de Penn concernait des informations personnelles identifiables (PII) et certaines coordonnées bancaires, Princeton a déclaré que sa violation se limitait aux noms, coordonnées, adresses et historiques de dons.
Les cyberattaques contre les établissements d'enseignement se multiplient rapidement, principalement parce que les universités stockent d'énormes quantités de données personnelles et financières sensibles. Au-delà des intrusions générales dans les réseaux, les pirates mènent également des campagnes ciblées visant le personnel universitaire. Dans un cas de ce type, Microsoft a mis au jour une campagne de « piratage des salaires » dans laquelle des cybercriminels ont pénétré dans des plateformes RH, telles que Workday, pour détourner les salaires des employés.
SourceCe que nous avons appris
Les attaques basées sur l'ingénierie sociale sont de plus en plus utilisées pour infiltrer les établissements d'enseignement, souvent comme première étape vers le vol de données ou le déploiement de ransomware. Lors de plusieurs incidents survenus en 2025, les équipes informatiques ont réagi rapidement pour verrouiller les systèmes affectés dès la détection d'activités suspectes. Cependant, les attaquants ont tout de même réussi à envoyer des e-mails frauduleux et à accéder à des données sensibles, ce qui montre à quelle vitesse des dommages peuvent se produire dès lors que la confiance est exploitée.
Parallèlement, des campagnes telles que « Payroll Pirate » mettent en évidence une évolution manifeste : on passe désormais de violations de données généralisées et non ciblées à des attaques ciblées visant des systèmes critiques et des personnes spécifiques. Pour réduire les risques, les établissements d'enseignement doivent se doter de mesures de sécurité renforcées, notamment de systèmes avancés de détection des menaces permettant d'identifier rapidement les intrusions, ainsi que de processus fiables de sauvegarde et de restauration qui garantissent la continuité des opérations en cas de perturbation.
Australie
Université de Sydney Ouest
Les universités américaines ne sont pas les seules à être visées : partout dans le monde, les établissements d'enseignement sont devenus des cibles de choix pour les cybercriminels. En 2025, l'université de Western Sydney a subi une série de cyberincidents, ce qui en a fait l'une des violations de données les plus graves dans le secteur de l'éducation signalées au cours de l'année écoulée.
L'université a détecté deux cas d'activité inhabituelle les 6 et 11 août, tous deux liés à un système de gestion des étudiants hébergé par un fournisseur de services cloud tiers. Bien que l'accès à la plateforme ait été bloqué dès la détection de ces activités suspectes, une enquête plus approfondie a révélé que le pirate avait exploité une chaîne de fournisseurs en amont. Un accès non autorisé via ces systèmes tiers et quaternaires a permis au pirate d'accéder au système de gestion des étudiants de l'université et d'exfiltrer des données.
Le pirate informatique a dérobé des informations très sensibles concernant les étudiants, notamment leurs numéros d'identification fiscale, les détails de leur passeport ainsi que des données confidentielles relatives à leur santé et à leur handicap. En décembre, les autorités ont confirmé qu'un ancien étudiant de l'université de Western Sydney avait été inculpé dans le cadre de ces attaques.
SourceCe que nous avons appris
Cet incident montre que les cybermenaces actuelles ne proviennent pas toujours de grands groupes spécialisés dans les ransomwares ou d'acteurs étatiques. Même un employé mécontent ou un ancien étudiant peut mener une attaque sophistiquée, grâce à l'accès facile dont il dispose à des outils prêts à l'emploi.
Il existe aujourd’hui un marché clandestin florissant qui commercialise des kits de logiciels malveillants et des services tels que le « ransomware-as-a-service » (RaaS). Cela réduit les obstacles à l’entrée dans le monde de la cybercriminalité, permettant même à des personnes disposant de compétences techniques minimales de lancer des attaques dévastatrices. Pour lutter contre ce phénomène, les organisations ont besoin de défenses multicouches combinant une surveillance continue, des contrôles d’accès rigoureux et des sauvegardes chiffrées.
Amérique du Nord
Red Hat
Le 2 octobre, Red Hat, l'un des principaux fournisseurs de logiciels open source pour les entreprises, a confirmé avoir été victime d'une cyberattaque visant son instance GitLab dédiée au conseil. Avec une clientèle composée notamment d'agences gouvernementales, d'opérateurs d'infrastructures critiques et de grandes entreprises, cet incident aurait touché les données de plus de 800 organisations.
La veille, un groupe de cybercriminels se faisant appeler Crimson Collective avait rendu publique cette violation. Le groupe a affirmé avoir exfiltré 570 Go de données compressées provenant de plus de 28 000 référentiels, parmi lesquels figuraient des rapports sensibles sur les missions clients (CER). Red Hat a par la suite confirmé avoir détecté un accès non autorisé à une instance GitLab auto-hébergée, utilisée pour la collaboration interne au sein de Red Hat Consulting dans le cadre de certaines missions clients.
Selon Red Hat, l'environnement compromis contenait des spécifications de projet, des extraits de code à titre d'exemple, des communications internes liées au conseil ainsi que des coordonnées professionnelles limitées. L'entreprise a souligné que l'incident s'était limité à cet environnement GitLab dédié au conseil et n'avait pas eu d'incidence sur les produits phares ni sur les systèmes de production de Red Hat.
Toutefois, selon plusieurs sources, les données volées comprenaient près de 3,5 millions de fichiers, ainsi que des rapports sensibles concernant les réseaux informatiques d'organisations issues des secteurs bancaire, des télécommunications et des administrations publiques.
SourceCe que nous avons appris
Les attaques exploitant des systèmes tiers pour dérober des données sensibles ont été un thème récurrent tout au long de l'année dernière. Les pirates ciblent de plus en plus les fournisseurs, les consultants et les plateformes partagées qui disposent d'un accès privilégié à plusieurs organisations, car un seul maillon faible peut exposer des centaines de victimes à la fois.
Pour atténuer ce risque, les entreprises doivent considérer l'accès des tiers comme faisant partie intégrante de leur propre périmètre de sécurité. Cela implique de limiter strictement l'accès des fournisseurs, de réexaminer en permanence les autorisations accordées aux outils tiers et aux intégrations SaaS, et de surveiller toute activité inhabituelle. Des évaluations régulières de la sécurité des fournisseurs, associées à des capacités de détection et de réaction rapides, peuvent aider à repérer les violations à un stade précoce, avant que les attaquants ne puissent se déplacer latéralement ou exfiltrer de grands volumes de données.
