Le 11 août 2025, Google a confirmé qu’une partie de sa base Salesforce dédiée aux prospects Google Ads avait été compromise par une attaque orchestrée par plusieurs groupes cybercriminels. Selon 01net, l’opération a permis l’exfiltration de millions de noms d’entreprises, numéros de téléphone et notes commerciales. Si Google insiste sur l’absence de données de paiement ou d’accès direct aux comptes publicitaires, l’affaire soulève des enjeux de sécurité et de conformité bien plus larges pour les entreprises figurant dans cette base.
De la donnée « publique » à l’arme stratégique
Comme l’indique BleepingComputer dans un article publié le 9 août 2025, Google affirme que les données dérobées sont « largement accessibles au public ». Pourtant, leur agrégation dans un fichier structuré en fait un actif exploitable pour des campagnes ciblées de phishing ou de vishing.
Un numéro de téléphone associé à un profil commercial précis peut suffire à construire un scénario d’attaque crédible. Dans un contexte B2B, un appel frauduleux émanant d’un interlocuteur semblant maîtriser votre activité peut aboutir à la divulgation d’informations stratégiques ou à l’exécution de paiements indus.
Pour un dirigeant, l’impact d’une telle fuite ne se mesure pas uniquement en termes techniques. La confiance des clients, partenaires et investisseurs peut être fragilisée. Dans les secteurs où la relation commerciale repose sur la confidentialité et la sécurité, apparaître dans une base de données compromise – même indirectement – peut nuire à l’image de fiabilité de l’entreprise. Selon TechCrunch, les groupes à l’origine de l’attaque – ShinyHunters, Scattered Spider et Lapsus$ – ont déjà ciblé d’autres grands noms du numérique. Leur mode opératoire démontre une sophistication croissante, ce qui alimente la perception d’un risque continu.
Conséquences réglementaires possibles
Au regard du RGPD, la simple exposition de données professionnelles identifiables peut constituer une violation, notamment si elles sont utilisées à des fins frauduleuses. Les entreprises figurant dans la base compromise doivent donc évaluer rapidement :
- si leurs obligations de notification sont déclenchées ;
- s’il est nécessaire d’informer leurs propres clients ou partenaires ;
- quelles mesures de mitigation doivent être documentées pour démontrer leur diligence.
Ne pas agir expose à des sanctions administratives et à un risque juridique accru en cas de litige.
L’incident rappelle que la cybersécurité ne s’arrête pas aux systèmes internes. Dans ce cas, le maillon faible n’était pas un serveur Google central, mais un outil tiers – Salesforce – utilisé dans la relation commerciale. Comme le souligne 01net, c’est cette interface, alimentée par des données d’entreprises prospectées, qui a été ciblée. Pour une organisation, la gouvernance RSE inclut désormais l’audit régulier des partenaires technologiques et la définition de clauses contractuelles spécifiques en matière de sécurité.
Bonnes pratiques pour réduire l’exposition au risque
Si vous figurez dans la base compromise, la réaction ne doit pas se limiter à un simple changement de mot de passe. Les experts en cybersécurité préconisent : la sensibilisation immédiate des équipes aux tentatives de phishing et de vishing ; la vérification renforcée des procédures d’authentification avant toute communication sensible ; la revue des protocoles de validation des paiements et des changements bancaires ; l’intégration de scénarios d’attaque de ce type dans les exercices de gestion de crise.
Ces mesures, si elles sont formalisées et communiquées, peuvent aussi renforcer la position de l’entreprise en matière de conformité et de responsabilité sociétale.
