CYBERCONSULTING

Cybersécurité PME : que retenir de la cyberattaque mondiale MOVEit en 2024 ?

admin

août 10, 2025

Uncategorized

En 2023, une brèche dans MOVEit, un logiciel de transfert de fichiers utilisé mondialement, a exposé les données sensibles de plus de 2 600 organisations. En 2024, l’analyse de cette attaque révèle des failles critiques toujours présentes chez les PME françaises. Voici comment réagir.

Contexte & actualité : MOVEit, une cyberattaque d’ampleur mondiale encore d’actualité

En mai 2023, Progress Software, éditeur du logiciel MOVEit Transfer, annonce une faille zero-day exploitée activement. Cette vulnérabilité a été utilisée par le groupe de ransomware Cl0p pour exfiltrer massivement des données via des transferts de fichiers automatisés, sans chiffrement supplémentaire.

Selon le FBI et le rapport de l’ENISA publié en janvier 2024, l’attaque a touché plus de 2 600 organisations dans le monde, dont 77 % situées aux États-Unis, mais plusieurs acteurs français impactés l’ont été de manière indirecte via des prestataires ou des filiales.

Le sinistre est désormais considéré comme la plus importante exfiltration de données de 2023. Son ampleur et l’utilisation d’une solution commerciale très répandue en font un cas d’école pour les DSI et RSSI de PME et ETI.

Des exemples français notables

  • Adecco France figure parmi les victimes via une compromission de son prestataire américain utilisant MOVEit.
  • Des collectes de données médicales ou bancaires ont circulé sur des forums cybercriminels dans les semaines suivant l’attaque.

Décryptage technique et risques business

La faille CVE-2023-34362 découvert début juin 2023 concerne un module d’accès API non sécurisé de MOVEit. Elle permet l’exécution de commandes SQL malveillantes (SQL injection) pour injecter du code, voler des identifiants et exfiltrer silencieusement des données sensibles.

Pourquoi cette attaque change la donne ?

  1. Propagation indirecte : un grand nombre de victimes ont été affectées via des prestataires ou des partenaires utilisant MOVEit.
  2. Durée : les exfiltrations ont eu lieu avant même la détection de l’incident, pendant plusieurs jours, à grande échelle.
  3. Complexité de remédiation : de nombreuses entreprises ignoraient que MOVEit était utilisé chez leurs sous-traitants ou qu’il fonctionnait sans surveillance IT dédiée.

Cadre légal & normes : RGPD, NIS2 et obligations de transparence renforcées

Cette attaque a déclenché une avalanche de déclarations de violation auprès des autorités, notamment :

  • CNIL : plusieurs notifications françaises pour fuite de données personnelles ont été publiées dans les 48 h suivant la divulgation technique.
  • RGPD : une exposition de données nominatives implique l’obligation de notifier les personnes concernées sous 72 heures une fois la fuite détectée.
  • NIS2 : dès octobre 2024, la directive européenne exigera des obligations renforcées de cybersécurité et de reporting incident pour les entreprises « essentielles » et « importantes », y compris certaines ETI.

Une responsabilité élargie aux chaînes de sous-traitance

Le RGPD impose la responsabilité conjointe en cas de défaillance d’un sous-traitant n’ayant pas respecté les consignes du responsable de traitement. Ce point sera encore durci par la directive NIS2, imposant une gestion des risques sur la chaîne d’approvisionnement numérique (supply chain cyber).

Bonnes pratiques & priorités d’action pour les PME-ETI

  • Cartographiez vos services tiers (y compris cloud, SaaS, solutions de transfert de données automatisées).
  • Exigez de vos prestataires un plan de sécurité, des tests de pénétration récents et des preuves de correctifs (vérifiez les CVE appliqués).
  • Implémentez un SOC ou SOC mutualisé capable de détecter une activité anormale sur les transferts sortants hors horaires ouvrés.
  • Renforcez la politique Zero Trust : segmentation réseau, MFA systématique, contrôle des API utilisées.
  • Testez votre PRA/PCA à travers des exercices de simulation de compromission de données.
  • Sensibilisez vos équipes aux attaques via partenaires tiers et canaux détournés.

Cas d’usage : Une PME française affectée à distance

Une PME de l’industrie agroalimentaire du Grand Est a été notifiée en juin 2023 d’une compromission indirecte. Son cabinet comptable utilisait une solution RH connectée à MOVEit via une API. Des données de paie ont été exfiltrées. La PME a dû notifier ses employés sous RGPD, engager une réponse juridique et durcir les clauses cyber de ses contrats fournisseurs.

📌 À retenir

  • MOVEit : une faille franchement exploitée a exposé > 80 millions de dossiers à l’international.
  • Les sous-traitants sont souvent la porte d’entrée des cyberattaques (Supply Chain).
  • PME/ETI : vous êtes concernées même si vous n’utilisez pas directement les solutions compromises.
  • RGPD & NIS2 imposent des obligations strictes de reporting et de gestion des risques étendus.
  • Le modèle Zero Trust et l’audit de sécurité tiers deviennent incontournables.

Checklist de sécurisation MOVEit-like

✅ Quick wins

  • Faire un inventaire de ses services de transfert de fichiers et automatisations via API
  • Appliquer tous les correctifs de sécurités publiés sur les outils tiers
  • Renforcer la surveillance SOC sur flux sortants non usuels

🧭 Moyen terme

  • Effectuer un audit de sécurité de sa chaîne de sous-traitance IT
  • Déployer du chiffrement de bout en bout sur les transferts internes et externes
  • Planifier une simulation de crise autour d’une fuite de données tierce

🏛️ Gouvernance

  • Intégrer une politique tierce dans votre PCA/PRA et contrat fournisseurs (clauses cyber)
  • Mettre en conformité avec NIS2 avant octobre 2024 si éligible (audits, gouvernance, outils)

Conclusion : l’effet domino MOVEit vous concerne

La cyberattaque MOVEit prouve que les PME ne sont plus des cibles indirectes, mais des victimes collatérales majeures des défaillances structurelles en cybersécurité inter-entreprises.

Ne subissez pas. Faites auditer vos échanges tiers, contractualisez les responsabilités numériques et simulez les scénarios de crise. La conformité RGPD et l’alignement à NIS2 sont vos meilleures défenses.

🔎 Besoin d’un audit tiers ou d’un plan de sensibilisation Zero Trust ? Nos experts vous accompagnent.

FAQ

Qui est responsable en cas d’attaque via un prestataire utilisant MOVEit ?
En vertu du RGPD, le responsable de traitement et le sous-traitant peuvent être co-responsables si les mesures de sécurité n’étaient pas suffisantes ou contractuellement définies.

MOVEit est-il toujours dangereux ?
Le correctif est disponible depuis juin 2023. Le vrai danger provient désormais des installations non mises à jour ou des attaques similaires sur d’autres logiciels MFT (Managed File Transfer).

Comment savoir si mon entreprise a été exposée ?
Vérifiez vos fournisseurs RH, paie, logiciels métiers ou cloud qui pourraient utiliser MOVEit.
Interrogez vos intégrateurs ou prestataires IT.

Cette attaque est-elle soumise à la déclaration CNIL ?
Oui, si des données personnelles de citoyens européens ont été exfiltrées ou exposées, même indirectement.

Comment intégrer NIS2 à ma gouvernance PME ?
Commencez par une analyse d’éligibilité, un audit de conformité, une mise à jour documentaire (charte IT, gestion des risques) et le renforcement de la supervision.

Sources

Tags :

audit cybersécurité

,

cybersécurité

,

ingénierie sociale

,

pentest boîte grise

,

protection des données

,

sécurité informatique

Share this article :

Discover The Latest Cyber Security Blog Articles