Fin août 2025, Google et Cisco ont annoncé avoir été victimes de fuites de données après une série de campagnes de phishing vocal, également appelées vishing. Des cybercriminels se sont fait passer pour du support informatique afin d’accéder à des bases de données hébergées sur des logiciels tiers, notamment des CRM. L’incident met en lumière les risques liés aux attaques indirectes, mais aussi la nécessité pour les entreprises de renforcer la sécurité et la gouvernance de leurs données lorsqu’elles passent par des prestataires.
Une attaque par vishing ciblant des CRM tiers
Le groupe de renseignement sur les menaces de Google a révélé qu’un groupe de hackers avait réussi à infiltrer les outils Salesforce de près d’une vingtaine d’entreprises, aux États-Unis comme en Europe. Les attaquants se sont fait passer pour du personnel de support technique, parvenant ainsi à obtenir des accès frauduleux.
Google a tenu à rassurer ses utilisateurs en expliquant que les données compromises se limitaient à des informations commerciales de base, comme des noms et coordonnées d’entreprises. Cisco a de son côté confirmé avoir également été visé, sans préciser l’ampleur de l’incident.
Un problème qui dépasse les géants du numérique
Cet incident illustre un risque majeur pour toutes les entreprises : même les organisations les mieux protégées peuvent être exposées par la faille d’un prestataire ou d’un outil tiers. Ici, c’est l’écosystème Salesforce qui a servi de porte d’entrée aux attaquants, montrant à quel point la chaîne de sous-traitance numérique est devenue un maillon critique de la cybersécurité.
Ce que dit le RGPD sur la sous-traitance et la sécurité des données
Le RGPD rappelle que la responsabilité des données ne s’arrête pas à la frontière de l’entreprise. Lorsqu’une organisation confie des informations à un sous-traitant, elle doit s’assurer que celui-ci respecte des mesures de sécurité adaptées. Cela suppose de négocier des contrats de sous-traitance solides, d’évaluer régulièrement les risques et d’être capable de réagir rapidement en cas d’incident.
Les leçons pour les dirigeants d’entreprise
Pour les dirigeants, cet épisode souligne trois points essentiels.
D’abord, les attaques par ingénierie sociale comme le vishing représentent une menace croissante : la sensibilisation des équipes est aussi importante que les mesures techniques. Ensuite, les logiciels tiers – CRM, solutions RH, outils de collaboration – constituent souvent des cibles privilégiées pour les cybercriminels, car ils concentrent des volumes importants de données. Enfin, la confiance des clients repose sur la capacité à démontrer que des mesures préventives existent et qu’un plan de réponse est en place en cas d’incident.
Conclusion : anticiper plutôt que subir
La fuite de données chez Google et Cisco rappelle que personne n’est à l’abri et que la maîtrise des sous-traitants et outils numériques est un enjeu majeur de gouvernance. Pour les entreprises, il ne s’agit pas seulement de se protéger, mais aussi de montrer à leurs partenaires et clients qu’elles prennent la sécurité et la conformité au sérieux.
