Une fuite de données chez un prestataire RH expose indirectement des employés de HackerOne. Un incident qui illustre le poids croissant du risque tiers.
HackerOne n’a pas été compromis directement. Pourtant, des données concernant ses employés se retrouvent exposées à la suite d’une fuite chez Navia, un prestataire chargé de la gestion des avantages sociaux. Le cas peut sembler périphérique, mais il est en réalité révélateur d’un mécanisme désormais bien connu : le point d’entrée ne se situe pas toujours là où les entreprises concentrent leurs efforts de sécurité.
Un système d’information élargi aux prestataires et une visibilité limitée
Le système d’information s’est étendu au fil des années bien au-delà des outils internes. Il repose désormais sur un ensemble de services externalisés, dont certains manipulent des données sensibles sans être considérés comme critiques. Les prestataires RH en sont un bon exemple.
Ainsi, la question n’est plus seulement de sécuriser ses propres infrastructures, mais de comprendre les dépendances qui les entourent. Qui accède aux données, dans quelles conditions, avec quelles garanties ? La multiplication des intermédiaires rend ces réponses de plus en plus difficiles à établir.
Un cas révélateur pour l’écosystème cyber
L’incident est d’autant plus marquant qu’il touche une entreprise spécialisée dans la cybersécurité. Il rappelle que la maturité sur les sujets techniques ne suffit pas à couvrir l’ensemble des risques, notamment lorsque ceux-ci relèvent d’organisations externes.
Une problématique très encadrée en Europe
Pour les entreprises européennes, le sujet est particulièrement sensible. Les cadres réglementaires comme le RGPD ou NIS2 imposent une responsabilité étendue, y compris en cas d’incident chez un sous-traitant. Externaliser un service ne signifie pas transférer la responsabilité associée.
