CTOLCTOL Solutions
CTOL Digital SolutionsCTOL Digital Solutions FRCTOL Digital Solutions DACHCTOL 디지털 솔루션希图科技シートーデジタル解決Soluções Digitais CTOLCTOL Soluciones Digitales
Nouvelles
Services Conseil CIO/CTOInformatique en NuageMarketing et Ventes NumériquesScience des Données et Intelligence d'AffairesIA Générative pour les EntreprisesWeb3 et DeFi pour les EntreprisesDéveloppement d'Apps Web et MobilesConsultance en Affaires NumériquesModernisation d'Applications AnciennesDesign Web et Expérience Utilisateur
Industries Aérospatiale et DéfenseAutomobileBanqueMarchés CapitauxCommunications et MédiasBiens de Consommation et ServicesÉnergieSanté et Soins de SantéInternetFabricationAssuranceSecteur Public et SocialCommerce de DétailVoyageTélécommunicationsPharmaceutiqueCapital-Investissement et Capital RisqueÉducationPétrole et GazImmobilierConstruction et Matériaux de ConstructionServices JuridiquesGastronomie et Hôtellerie
PerspectivesLogicielsOutils IA
Contactez-nous

Workday confirme une fuite de données après que des pirates se soient fait passer pour des employés de l'entreprise lors d'appels téléphoniques pour voler les informations de contact des clients

Par
Amanda Zhang
10 min de lecture
InternetApplication

La vulnérabilité OAuth : comment la cyberattaque contre Workday révèle le maillon faible du SaaS d'entreprise

PLEASANTON, Californie — Le 6 août, Workday a découvert que des cybercriminels avaient infiltré l'une de ses bases de données de relations clients tierces par une méthode d'une simplicité trompeuse : des attaquants, se faisant passer pour du personnel des RH et de l'IT, ont convaincu des employés de l'entreprise par téléphone de leur accorder un accès au système. Pas de logiciel malveillant sophistiqué. Pas d'exploits zero-day. Juste une manipulation humaine calculée.

Logo de l'entreprise Workday affiché sur son siège à Pleasanton, Californie. (wikimedia.org)
Logo de l'entreprise Workday affiché sur son siège à Pleasanton, Californie. (wikimedia.org)

Le géant de la technologie des ressources humaines, qui sert plus de 11 000 entreprises clientes et 70 millions d'utilisateurs dans le monde, a divulgué la violation dans un billet de blog publié tard vendredi. Selon la déclaration de l'entreprise, des pirates informatiques ont extrait une quantité non divulguée d'informations personnelles de la base de données, qui contenait principalement des coordonnées professionnelles, y compris des noms, des adresses électroniques et des numéros de téléphone. Workday a souligné qu'il n'y avait "aucune indication d'accès aux locataires clients ou aux données qu'ils contiennent" – les systèmes centraux où les entreprises clientes stockent des fichiers RH en vrac et des données sensibles sur les employés.

Pourtant, cet incident représente bien plus qu'une défaillance de sécurité isolée. La violation de Workday s'inscrit comme la dernière cible en date d'une campagne coordonnée qui a systématiquement compromis de grandes entreprises tout au long de l'année 2025. Ces dernières semaines ont été témoins d'attaques similaires contre les bases de données clients de Google hébergées par Salesforce, les systèmes de Cisco, le géant de l'aviation Qantas, et des détaillants de luxe, y compris Pandora. L'équipe de sécurité de Google a attribué ces violations à ShinyHunters, un groupe cybercriminel connu pour utiliser des tactiques de hameçonnage vocal (vishing) pour manipuler les employés d'entreprise afin qu'ils accordent l'accès aux bases de données.

Le schéma révèle une évolution inquiétante de la cybercriminalité en entreprise : les attaquants ont découvert que la psychologie humaine, plutôt que les vulnérabilités techniques, offre la voie la plus fiable vers les systèmes cloud d'entreprise. Ce changement remet en question les hypothèses fondamentales sur la manière dont les entreprises modernes protègent leurs actifs numériques les plus précieux.

Le pare-feu humain s'effondre

La méthodologie d'attaque révèle une évolution inquiétante de la cybercriminalité en entreprise. Plutôt que d'essayer de pénétrer les systèmes centraux de ressources humaines de Workday, qui servent plus de 70 millions d'utilisateurs dans 11 000 entreprises clientes, les attaquants ont exploité ce que les experts en sécurité considèrent comme le maillon faible de la sécurité cloud d'entreprise : la confiance humaine combinée aux lacunes de gouvernance des jetons OAuth.

Une illustration conceptuelle d'une attaque de vishing (hameçonnage vocal), où un cybercriminel manipule un employé par téléphone pour obtenir un accès au système. (amazonaws.com)
Une illustration conceptuelle d'une attaque de vishing (hameçonnage vocal), où un cybercriminel manipule un employé par téléphone pour obtenir un accès au système. (amazonaws.com)

Selon la divulgation de Workday, les attaquants se sont fait passer pour du personnel RH et informatique par le biais d'appels vocaux, convainquant les employés d'autoriser des applications malveillantes qui ont ensuite extrait des données en masse via des canaux API légitimes. Cette technique contourne entièrement l'authentification multifacteur, car les applications malveillantes fonctionnent avec des jetons d'accès pré-autorisés.

« La sophistication n'est pas dans la technologie, elle est dans l'ingénierie sociale », a expliqué un analyste en cybersécurité familier avec la campagne. « Ces groupes ont industrialisé le processus de manipulation de la psychologie humaine pour obtenir un accès au système. »

La campagne plus large a fait preuve d'une cohérence remarquable dans son approche. L'équipe de sécurité de Google, qui a publiquement attribué des violations similaires à ShinyHunters, a averti que le groupe préparait des sites de fuite de données conçus pour extorquer des victimes – une opération de style rançongiciel sans le déploiement traditionnel de logiciels malveillants.

Au-delà des listes de contacts : la valeur stratégique des données "banales"

Workday a souligné que les informations compromises consistaient « principalement » en données de contact professionnelles – noms, adresses électroniques et numéros de téléphone. Cependant, les experts en sécurité préviennent que cette caractérisation sous-estime la valeur stratégique de ces informations lors des phases d'attaque ultérieures.

« Les bases de données de contacts sont des munitions pour un ciblage de précision », a noté un chercheur en renseignement sur les menaces qui a requis l'anonymat. « Il ne s'agit pas de monétisation immédiate des données, mais de créer la base pour des campagnes d'ingénierie sociale beaucoup plus sophistiquées. »

La corrélation temporelle est particulièrement préoccupante. Workday a découvert la violation le 6 août, la plaçant directement dans la fenêtre opérationnelle de la campagne plus large de ShinyHunters. Des renseignements récents suggèrent que le groupe a collaboré avec d'autres organisations cybercriminelles notoires, dont Scattered Spider et Lapsus$, dans des canaux Telegram partagés.

Implications pour le marché : quand la sécurité devient un frein aux ventes

Pour Workday, coté à 229,60 $ avec un gain quotidien de 1,55 %, l'impact financier immédiat semble contenu. L'action de l'entreprise a fait preuve de résilience en partie parce que la violation n'a pas affecté les données des locataires clients – les dossiers RH et financiers essentiels qui représentent la principale proposition de valeur de Workday.

Cependant, l'incident révèle un risque commercial plus nuancé auquel les entreprises de logiciels sont de plus en plus confrontées : des incidents de sécurité qui ne menacent pas la fonctionnalité principale mais créent des frictions dans l'approvisionnement. Les grandes entreprises clientes mettent déjà en œuvre des questionnaires de sécurité et des exigences d'audit renforcés qui peuvent prolonger les cycles de vente de 60 à 90 jours.

« Nous assistons à un changement fondamental dans la façon dont les entreprises évaluent les fournisseurs de SaaS », a observé un analyste de l'industrie. « Il ne s'agit plus seulement de la sécurité de la plateforme centrale, mais de l'ensemble de l'écosystème d'applications connectées et d'intégrations tierces. »

Cette évolution des acquisitions affecte particulièrement les entreprises des industries réglementées et les contrats gouvernementaux, où les incidents de sécurité peuvent déclencher des réévaluations obligatoires des relations avec les fournisseurs, quelle que soit la portée technique de la violation.

La lacune de gouvernance d'OAuth

Saviez-vous qu'OAuth est un protocole standard ouvert largement utilisé qui vous permet d'autoriser en toute sécurité des applications et des sites web à accéder à vos informations sur d'autres services sans partager votre mot de passe ? Au lieu de donner vos identifiants de connexion, OAuth fournit des jetons d'accès limités et temporaires, agissant comme une « clé de voiturier » qui garde vos identifiants en sécurité tout en permettant aux applications d'effectuer des tâches spécifiques en votre nom. Cette technologie alimente des fonctionnalités populaires comme « Se connecter avec Google » et aide à protéger vos données en ligne en contrôlant précisément les informations auxquelles les applications tierces peuvent accéder.

La vulnérabilité technique exploitée dans ces attaques – la gestion des jetons OAuth – représente une faiblesse systémique à travers l'écosystème du SaaS d'entreprise. Les jetons OAuth, conçus pour permettre une intégration transparente entre les applications cloud, portent souvent des autorisations excessives et manquent d'une surveillance adéquate pour les activités d'exportation de données inhabituelles.

Les chercheurs en sécurité ont identifié plusieurs lacunes spécifiques qui ont permis le succès de la campagne :

  • Les applications connectées avec des autorisations d'accès aux données trop larges restent autorisées indéfiniment, créant des vecteurs d'attaque persistants.
  • La plupart des entreprises manquent de surveillance en temps réel pour les exportations de données en masse ou les anomalies de requêtes API qui indiqueraient un accès non autorisé.
  • La formation des employés se concentre généralement sur les courriels de hameçonnage traditionnels plutôt que sur l'ingénierie sociale vocale sophistiquée.

Le résultat est une surface d'attaque qui s'accroît avec chaque intégration SaaS, créant un risque exponentiel que la sécurité périmétrique traditionnelle ne peut pas gérer.

Réalignement du paysage concurrentiel

La campagne de violations redéfinit la dynamique concurrentielle dans le secteur des logiciels d'entreprise. Les entreprises qui peuvent démontrer une gouvernance OAuth supérieure et une sécurité des applications tierces gagnent des avantages commerciaux, en particulier dans les secteurs verticaux soucieux de la sécurité.

Les principaux concurrents de Workday – Oracle HCM, SAP SuccessFactors et UKG – sont confrontés à des vulnérabilités similaires dans leurs systèmes de gestion de la relation client et leurs écosystèmes de fournisseurs. Cependant, l'incident crée une opportunité marketing pour les fournisseurs qui peuvent démontrer de manière crédible des contrôles de sécurité renforcés autour des applications connectées.

La tendance plus large stimule les investissements accrus dans les outils de gestion de la posture de sécurité SaaS (SSPM), les services de sauvegarde et de tokenisation, et les plateformes de gouvernance des identités. La récente acquisition par Salesforce de Own Company, un spécialiste de la protection des données, signale l'importance stratégique de résoudre ces vulnérabilités au niveau de la plateforme.

Perspective d'investissement : signal versus bruit

Pour les investisseurs institutionnels, l'incident Workday représente un risque opérationnel plutôt qu'un défi de thèse fondamental. Les taux de rétention client élevés de l'entreprise et sa position intégrée dans les flux de travail RH d'entreprise offrent une résilience contre le désabonnement lié à la sécurité.

Cependant, l'incident met en lumière plusieurs thèmes d'investissement susceptibles de s'accélérer :

  • Dépenses en infrastructure de sécurité : Les entreprises augmenteront les budgets pour la gouvernance OAuth, la surveillance des API et les outils de détection des menaces SaaS. Des entreprises comme Varonis, Obsidian Security et AppOmni pourraient bénéficier de cette tendance.
  • Technologies de minimisation des données : Le succès de la campagne dans la monétisation des données de contact "banales" stimulera la demande de solutions de tokenisation, de classification des données et de gestion automatisée de la rétention.
  • Gestion des identités et des accès : Le facteur humain dans ces violations accélérera l'adoption de plateformes avancées de vérification d'identité, d'analyse comportementale et de gestion des accès privilégiés.

Les analystes suggèrent que les investissements technologiques axés sur la sécurité pourraient surperformer les indices SaaS plus larges, car les entreprises priorisent la gouvernance plutôt que la croissance dans leurs stratégies cloud.

Évaluation prospective des risques

La campagne ShinyHunters semble entrer dans une phase plus agressive. Les rapports de renseignement suggèrent que le groupe se prépare à lancer des sites d'extorsion présentant des données volées, imitant les tactiques de rançongiciel sans la complexité technique du déploiement de logiciels malveillants.

Pour les clients de Workday, cela crée des risques opérationnels immédiats. Les informations de contact volées pourraient alimenter des campagnes de hameçonnage ciblées conçues pour compromettre des environnements clients individuels, pouvant potentiellement entraîner des fraudes salariales, des manipulations d'avantages sociaux ou la récolte d'identifiants.

Les analystes de marché prévoient que le succès de la campagne inspirera des opérations similaires, conduisant potentiellement à une période prolongée d'attaques d'ingénierie sociale accrues contre les clients SaaS d'entreprise. Cet environnement pourrait favoriser les fournisseurs qui investissent massivement dans l'éducation à la sécurité des clients et le partage proactif d'informations sur les menaces.

L'incident signale également une évolution réglementaire potentielle. À mesure que l'exfiltration de données de contact s'avère de plus en plus précieuse pour les opérations cybercriminelles, les réglementations en matière de confidentialité pourraient s'étendre pour traiter les informations de contact professionnelles avec les mêmes exigences de protection que les données personnelles des consommateurs.

Le nouveau paradigme de sécurité

La violation de Workday met finalement en lumière l'insuffisance des cadres de cybersécurité traditionnels dans l'environnement d'entreprise cloud-natif. Les attaquants ont réussi non pas grâce à une supériorité technique, mais en exploitant les lacunes humaines et de processus que l'intégration compatible OAuth crée.

Pour les entreprises de logiciels, cela représente à la fois un défi et une opportunité. Celles qui réussiront à réinventer la sécurité comme une fonction d'habilitation client – plutôt qu'une obligation de conformité – pourraient découvrir des avantages concurrentiels sur un marché de plus en plus soucieux de la sécurité.

La leçon plus large s'étend au-delà de tout fournisseur unique : dans un écosystème cloud interconnecté, la sécurité n'est aussi forte que le maillon le plus faible de l'intégration. Comme le démontre la campagne ShinyHunters, cette faiblesse réside de plus en plus non pas dans la technologie, mais dans le jugement humain qui la régit.

Les performances passées ne préjugent pas des résultats futurs. Cette analyse est basée sur des informations disponibles publiquement et les conditions actuelles du marché. Les investisseurs devraient consulter des conseillers financiers pour des conseils personnalisés concernant les décisions d'investissement individuelles.

Vous aimerez peut-être aussi

Cet article est soumis par notre utilisateur en vertu des Règles et directives de soumission de nouvelles. La photo de couverture est une œuvre d'art générée par ordinateur à des fins illustratives uniquement; ne reflète pas le contenu factuel. Si vous pensez que cet article viole les droits d'auteur, n'hésitez pas à le signaler en nous envoyant un e-mail. Votre vigilance et votre coopération sont inestimables pour nous aider à maintenir une communauté respectueuse et juridiquement conforme.

Abonnez-vous à notre bulletin d'information

Obtenez les dernières nouvelles de l'entreprise et de la technologie avec des aperçus exclusifs de nos nouvelles offres

Nous utilisons des cookies sur notre site Web pour activer certaines fonctions, fournir des informations plus pertinentes et optimiser votre expérience sur notre site Web. Vous pouvez trouver plus d'informations dans notre Politique de confidentialité et dans nos Conditions d'utilisation . Les informations obligatoires se trouvent dans les mentions légales