Les fournisseurs de solutions de cybersécurité ne sont plus seulement des remparts contre les attaques : ils en deviennent eux-mêmes les cibles stratégiques. Ces compromissions sont presque systématiquement passées sous silence. En effet, les éditeurs de solutions de sécurité se positionnent comme les garants de la défense numérique de leurs clients.
Admettre publiquement une compromission revient à fragiliser leur promesse de confiance, à éroder leur crédibilité et à exposer leur vulnérabilité — ce qui peut entraîner des conséquences directes sur leurs relations commerciales, la rétention client, voire leur valorisation boursière s’ils sont cotés. Nombre d’entre eux préfèrent donc gérer discrètement les incidents, parfois sous couvert de clauses de confidentialité ou de communication juridique maîtrisée.
Une surface d’attaque négligée, celle des fournisseurs
Fort heureusement, certains éditeurs en parlent, ce qui constitue une œuvre d’utilité publique au sens fort du terme — à la fois pour l’écosystème numérique, pour les entreprises utilisatrices et pour les autres fournisseurs de technologies. SentinelOne, acteur du marché des plateformes de protection des postes de travail et des environnements cloud, a observé ces derniers mois une intensification des attaques dirigées contre ses propres infrastructures. Ces offensives, menées par des groupes criminels motivés financièrement ou par des acteurs étatiques, avaient pour but de compromettre les défenses d’une entreprise dont les solutions protègent des milliers d’organisationsà travers le monde.
Cette situation met en lumière une surface d’attaque souvent négligée : celle des fournisseurs de sécurité eux-mêmes. En compromettant un éditeur de cybersécurité, les attaquants peuvent potentiellement accéder à des informations sensibles sur les mécanismes de défense de nombreuses entreprises clientes, amplifiant ainsi l’impact de leur intrusion.
Infiltration par de faux candidats nord-coréens
Parmi les menaces identifiées, SentinelOne a détecté une campagne d’infiltration particulièrement élaborée, orchestrée par des attaquants affiliés à la Corée du Nord. Ces individus, usurpant des identités ou utilisant des profils fictifs, ont soumis plus de 1 000 candidatures pour des postes au sein de l’entreprise, dont environ 360 profils distincts. Certains ont même tenté d’intégrer l’équipe de renseignement sur les menaces de SentinelLabs.Ces faux candidats utilisaient des CV falsifiés, des identités synthétiques, et participaient à des entretiens techniques via des plateformes comme Zoom ou Teams, en se faisant assister par des tiers via oreillettes ou des logiciels de transcription en direct. En cas de réussite, cette stratégie leur aurait permis d’obtenir un accès interne aux systèmes de l’entreprise, facilitant ainsi des activités de cyberespionnage ou de sabotage. Les candidats frauduleux affinent continuellement leurs techniques pour paraître crédibles, rendant leur détection de plus en plus complexe.
Des attaques « Top-tier » sophistiquées
Contrairement aux attaques opportunistes menées à grande échelle, celles qui ciblent directement les éditeurs de solutions de cybersécurité relèvent d’une logique d’attaque dite « top-tier », c’est-à-dire conçue sur mesure, prolongée dans le temps, et soutenue par des moyens importants (APT étatiques, cybercrime structuré, etc.).Certains profils visaient des postes stratégiques, comme analyste en renseignement sur les menaces, ce qui leur aurait donné un accès aux flux CTI, aux IOC (indicators of compromise) et à des données internes sensibles. Ce mode opératoire, appelé parfois
« faux insider-as-a-service », s’est professionnalisé avec l’utilisation de documents d’identité créés par IA et des techniques d’usurpation d’empreinte numérique (localisation IP, historique GitHub, faux contributeurs open source…).
Collaboration interservices pour contrer les menaces internes
Face à cette menace, SentinelOne a adopté une approche proactive en collaborant étroitement avec ses équipes de recrutement. Des processus de vérification ont été intégrés dès les premières étapes du recrutement, permettant d’identifier rapidement les profils suspects. Les informations recueillies sont ensuite analysées par la plateforme d’intelligence Vertex Synapse, renforçant ainsi la capacité de l’entreprise à détecter et neutraliser ces tentatives d’infiltration.Cette collaboration interservices a permis de sensibiliser les recruteurs aux schémas d’attaque, les transformant en acteurs clés de la cybersécurité de l’entreprise. Les retours d’expérience ont également été utilisés pour automatiser la détection des menaces, réduisant ainsi la charge de travail des équipes RH et renforçant la sécurité globale.
L’importance stratégique du renseignement sur les menaces
L’étude souligne le rôle crucial du renseignement sur les menaces dans la défense des entreprises de cybersécurité. En anticipant les tactiques des attaquants et en partageant les informations recueillies, les entreprises peuvent renforcer leurs défenses et contribuer à la sécurité de l’ensemble de l’écosystème numérique.La stratégie de SentinelOne reposait ainsi sur une intégration étroite entre ses équipes techniques et opérationnelles, favorisant une réponse rapide et coordonnée aux incidents de sécurité. En partageant ses expériences et en développant des outils internes, l’entreprise s’est mise dans une posture proactive, capable de s’adapter aux évolutions constantes du paysage des menaces. Ce faisant, elle apporte sa pierre à l’édifice
cyber collectif.
La publication de cette étude s’inscrit dans cette démarche, offrant un aperçu précieux des défis auxquels sont confrontés les fournisseurs de solutions de sécurité. En brisant l’omerta, SentinelOne prend une initiative d’intérêt général. Ce type de communication n’est pas un aveu de faiblesse — c’est un acte de maturité. Il alerte, éduque et responsabilise l’ensemble du tissu numérique. L’interconnexion rend chaque acteur vulnérable par ricochet, la seule protection durable repose sur la coopération, la transparence et l’intelligence collective.
