ServiceNow a appliqué une mise à jour de sécurité à des instances clients hébergées après la détection d’une activité anormale liée à une faille d’accès non authentifié. L’incident rappelle le poids pris par les grandes plateformes SaaS dans les environnements d’entreprise, où les tickets, les workflows et les données opérationnelles peuvent devenir des sources d’information sensibles pour les attaquants.
Une mise à jour appliquée le 5 juin
ServiceNow a informé certains de ses clients d’un incident de sécurité lié à l’exploitation d’une faille permettant, sous certaines conditions, d’obtenir un accès plus large que prévu à des instances de la plateforme. Selon BleepingComputer, qui cite un bulletin de support réservé aux clients, l’éditeur a appliqué le 5 juin 2026 une mise à jour de sécurité sur des instances hébergées.
La faille concernait un point d’accès API susceptible de permettre à un utilisateur non authentifié d’interroger des données au sein d’instances clients. ServiceNow aurait depuis modifié la configuration concernée afin de limiter cet accès aux seuls utilisateurs authentifiés. L’éditeur indique aussi avoir ouvert des dossiers de support auprès des clients potentiellement affectés.
ServiceNow n’a pas détaillé publiquement la nature exacte des données consultées ni le nombre de clients concernés. Cette absence de précision impose de rester prudent sur l’ampleur réelle de l’incident. À ce stade, les éléments disponibles permettent surtout d’établir qu’une faille a été exploitée, que des requêtes ont pu viser des tables d’instances clients, et qu’une correction a été déployée.
Des données opérationnelles à forte valeur
L’enjeu dépasse la seule correction technique. Les instances ServiceNow occupent souvent une place centrale dans les grandes organisations, en particulier pour la gestion des services IT, les demandes internes, les workflows RH, les inventaires d’actifs, les incidents de sécurité ou les processus de support. Même sans base de données clients au sens classique, ce type d’environnement peut concentrer une information opérationnelle précieuse.
Des tickets de support peuvent contenir des éléments de configuration, des détails sur l’architecture interne, des historiques d’incidents, parfois des informations sensibles transmises lors d’un diagnostic. Pour un attaquant, ces données peuvent servir à préparer une intrusion plus ciblée, à comprendre les processus internes d’une entreprise ou à identifier des comptes, des outils et des dépendances critiques.
C’est ce qui rend l’incident particulièrement intéressant pour les DSI et les RSSI. Il ne s’agit pas seulement d’une faille sur une application SaaS, mais d’un rappel sur la valeur accumulée dans les plateformes qui organisent le fonctionnement quotidien de l’entreprise. Plus ces environnements deviennent centraux, plus leur exposition peut produire des effets en chaîne.
Le SaaS critique face à l’exigence de traçabilité
L’incident pose aussi la question de la visibilité laissée aux clients lorsqu’un fournisseur corrige une faille sur une plateforme hébergée. ServiceNow a appliqué une mise à jour et prévenu les organisations concernées, selon les informations disponibles. Pour les entreprises utilisatrices, la difficulté consiste ensuite à comprendre ce qui a pu être consulté, à partir de quels journaux, sur quelle période et avec quelles conséquences possibles.
Cette traçabilité devient essentielle pour les plateformes SaaS critiques. Les entreprises externalisent une partie de leurs processus, mais elles restent responsables de l’évaluation du risque, de la notification éventuelle et de la réponse interne. Elles doivent donc pouvoir disposer rapidement d’éléments exploitables, au-delà d’un simple avis de sécurité.
