Non classé

Celios Insight : Cyberattaque chez Sumsub, quand les tiers de confiance deviennent des points de fragilité

10 février 2026 Commentaires fermés sur Celios Insight : Cyberattaque chez Sumsub, quand les tiers de confiance deviennent des points de fragilité

La cyberattaque révélée récemment chez Sumsub (voir l’information officielle sur le site) n’est pas un incident isolé. Elle constitue un signal faible devenu signal fort pour toutes les organisations qui externalisent des fonctions critiques de leur système d’information : vérification d’identité, conformité réglementaire, KYC, lutte contre la fraude.

Le plus inquiétant dans ce dossier n’est pas tant la nature des données exposées que le temps pendant lequel l’intrusion est restée invisible. Découvert 18 mois après, lors d’une revue de sécurité, ce qui pose la question de la détection et de la capacité à investiguer rétrospectivement.

Un incident révélateur d’une illusion de sécurité

Sumsub est un acteur majeur de la vérification d’identité numérique, massivement utilisé par les banques, fintechs, plateformes crypto et services réglementés. À ce titre, elle incarne ce que beaucoup d’organisations considèrent comme un tiers de confiance par défaut.

Or, l’attaque met en lumière une réalité que nous observons régulièrement chez nos clients :
Externaliser une fonction critique ne signifie pas externaliser le risque.

Dans ce cas précis, l’intrusion serait passée par une plateforme tierce de gestion de tickets, via une pièce jointe malveillante. Un scénario tristement classique, mais redoutablement efficace :

  • compromission indirecte,
  • accès à un environnement interne supposé « non critique »,
  • consultation progressive de données personnelles.

Des données “peu sensibles”… mais un risque bien réel

Sumsub indique que les données biométriques, pièces d’identité et informations bancaires n’ont pas été compromises. C’est un point important, mais insuffisant pour rassurer pleinement.

Pourquoi ?

Parce que les données exposées (nom, email, téléphone) sont précisément celles qui alimentent les campagnes de phishing ciblé, l’ingénierie sociale et les attaques par rebond sur d’autres services.
Dans une logique d’attaque en chaîne, ces données sont souvent la première brique.

Le véritable problème : la détection tardive

L’élément le plus préoccupant reste le fait que l’incident n’ait été découvert qu’à l’occasion d’un audit de sécurité, en janvier 2026.
Sans cet audit, l’intrusion aurait probablement continué.

Cela pose plusieurs questions pour les entreprises clientes de ce type de prestataires :

  • À quelle fréquence auditons-nous réellement nos fournisseurs critiques ?
  • Quels signaux faibles sommes-nous capables de détecter ?
  • Quelle visibilité avons-nous sur leurs environnements “support” ou “non-production” ?

Le mythe du tiers “réglementé donc sécurisé”

Sumsub opère dans des environnements soumis à de fortes contraintes réglementaires (KYC, AML, conformité européenne). Pourtant, cela n’a pas empêché l’incident.
La conformité n’est pas la sécurité + la certification n’est pas une garantie d’invulnérabilité.

C’est un point clé que beaucoup d’organisations peinent encore à intégrer dans leur gouvernance IT.

En complément : DORA est applicable depuis le 17 janvier 2025 (et pousse fort la gestion du risque tiers ICT côté finance), et NIS2 renforce les exigences de gestion du risque cyber (dont la supply chain) avec une échéance de transposition au 17 octobre 2024.

Ce que les entreprises doivent retenir (et corriger)

Chez Celios, cet incident renforce plusieurs convictions que nous partageons avec nos clients :

Repenser la gestion des tiers critiques

Tout prestataire manipulant des données sensibles doit être considéré comme une extension du SI interne : cartographie des flux réels, identification des environnements annexes (support, ticketing, CRM), revue des accès et des droits.

Exiger plus que des clauses contractuelles

Les audits de sécurité ne doivent pas être ponctuels ou déclaratifs : audits indépendants réguliers, partage de rapports de sécurité exploitables, capacité à déclencher des audits exceptionnels.

Mettre en place une vraie surveillance des risques fournisseurs

Cela passe par des indicateurs de sécurité fournisseurs, des revues annuelles de criticité, des scénarios de crise intégrant la compromission d’un prestataire clé.

Former les équipes… même chez les partenaires

L’attaque initiale repose sur une pièce jointe malveillante.
C’est un rappel brutal : la cybersécurité reste avant tout un sujet humain, y compris chez les prestataires (le fameux problème entre le clavier et la chaise !)

La question n’est donc plus seulement technique, elle est sociétale et stratégique.

En bref : faire de la cybersécurité un sujet de gouvernance, pas seulement d’IT

L’affaire Sumsub n’est ni une exception, ni un scandale isolé.
Elle est le symptôme d’un modèle où les chaînes de dépendance sont longues, les responsabilités sont diffuses, la confiance est parfois excessive.

Pour les dirigeants, DSI et RSSI, le message est clair : La cybersécurité ne se délègue pas. Elle se gouverne.

Chez Celios, nous accompagnons les organisations dans cette montée en maturité : cartographie des risques, gouvernance des tiers, audits pragmatiques et plans d’action réalistes.
Parce qu’en cybersécurité, ce que l’on ne voit pas est souvent ce qui coûte le plus cher.

 

Celios Insights – Publications proposées par les équipes internes Celios sur un fait d’actualité, une veille, un regard technique ou d’usage.