Google confirme une vaste infiltration ayant permis à des pirates d’accéder aux données de plus de 200 entreprises en passant par Gainsight, un prestataire utilisé dans l’écosystème Salesforce. Une nouvelle attaque en chaîne qui souligne encore une fois la vulnérabilité des fournisseurs tiers dans les architectures cloud modernes.
Une attaque par ricochet qui remonte jusqu’à Salesforce
La cyberattaque, révélée par Google Threat Analysis Group, n’a pas visé directement les entreprises victimes. Les pirates sont passés par Gainsight, une plateforme d’analyse et d’engagement client étroitement connectée à Salesforce. En compromettant les comptes et environnements de ce prestataire, les attaquants ont pu accéder à des données synchronisées provenant de plus de 200 organisations clientes.
Parmi les informations potentiellement exposées figurent des données de performance client, des métadonnées de CRM et certains contenus utilisés dans le cadre d’analyses commerciales. Google précise que les opérations ont été menées de manière discrète et méthodique, avec un objectif on ne peut plus clair, celui de collecter un maximum d’informations exploitables sans déclencher d’alertes.
Une nouvelle démonstration des risques liés aux chaînes logicielles
L’incident rappelle les failles déjà mises en lumière par d’autres attaques en cascade : même les entreprises disposant de solides politiques de sécurité restent vulnérables si un maillon externe est infiltré. Lorsque des services comme Gainsight sont intégrés au cœur des environnements Salesforce, une brèche chez l’un peut entraîner une exposition chez tous les autres.
Pour les organisations européennes, cette affaire renforce l’importance d’auditer leurs prestataires cloud et SaaS, de limiter les accès transverses, et de vérifier régulièrement les permissions accordées dans les environnements CRM et marketing.
Une enquête encore en cours
Ni Google ni Salesforce n’ont, à ce stade, communiqué la liste complète des entreprises touchées. Gainsight assure avoir sécurisé ses infrastructures et coopère avec les équipes incident response. Mais l’affaire montre, une fois encore, que les attaques indirectes et notamment par le biais de partenaires ou sous-traitants, deviennent l’un des vecteurs privilégiés des acteurs malveillants.
