MSSP piratés : 87 % des prestataires de sécurité touchés en 12 mois — la vraie raison
87 % des MSSP ont subi une attaque réussie en 12 mois (Huntress 2024). Kaseya, SimpleHelp, Change Healthcare : la concentration de privilèges et de tenants fait du SOC une cible prioritaire. Comment UniSOC est conçu différemment.
MSSP piratés en 2024-2026 : 87 % ont subi une intrusion. Et le vôtre ?
TL;DR — Les chiffres sont impossibles à ignorer : 87 % des MSP/MSSP ont subi au moins une intrusion en 12 mois (enquête Huntress 2024), et 47 % en ont subi trois ou plus. Ce ne sont pas que des petits prestataires : Kaseya (1 500 clients aval ransomwarés en une nuit), Change Healthcare (190 M de patients), SimpleHelp en 2025. Quand un MSSP tombe, ce n'est jamais un client qui souffre — c'est tout son portefeuille en cascade.
Le maillon faible n'est plus dans votre SI
Pendant dix ans, la cybersécurité a tourné autour d'une idée simple : protéger le périmètre. Firewall, VPN, EDR, MFA. Puis, en 2020, SolarWinds a montré qu'un attaquant pouvait entrer non pas en cassant votre porte, mais en entrant chez votre serrurier. En 2021, Kaseya a confirmé : REvil a poussé une mise à jour piégée depuis Kaseya VSA, 60 MSP ont été directement compromis, 1 500 entreprises clientes ransomwarées dans la même nuit.
Cinq ans plus tard, le pattern se répète, mais il s'est généralisé : ce n'est plus une catastrophe rare, c'est devenu la norme statistique. C'est l'une des raisons pour lesquelles notre offre entreprises insiste sur la transparence opérationnelle du prestataire.
Le chiffre qui devrait alerter tout RSSI
L'étude Huntress 2024 sur la sécurité des MSP/MSSP donne :
| Indicateur | Valeur |
|---|---|
| MSP ayant subi ≥ 1 intrusion en 12 mois | 87 % |
| MSP ayant subi ≥ 2 intrusions en 12 mois | 69 % |
| MSP ayant subi ≥ 3 intrusions en 12 mois | 47 % |
Autrement dit : si votre MSSP vous dit qu'il n'a jamais été touché, statistiquement il vous ment, ou il ne le sait pas. L'attaque sur un MSSP n'est plus un accident, c'est une stratégie économique de premier plan pour les groupes ransomware. Pourquoi cibler une PME quand on peut cibler le prestataire qui en gère 200 ?
Anatomie d'un MSSP piraté : Kaseya 2021
Le cas Kaseya VSA reste pédagogique parce qu'il combine tous les ingrédients qu'on retrouvera dans presque toutes les attaques aval depuis :
- Une vulnérabilité 0-day dans le RMM (Remote Monitoring & Management) Kaseya VSA — CVE-2021-30116, contournement d'authentification + injection SQL.
- Un canal légitime de distribution — la mise à jour passe par le mécanisme officiel de patch.
- Une chaîne de confiance non vérifiée — les agents Kaseya sur les machines clientes acceptent la mise à jour sans la valider de manière indépendante.
- Un effet de levier massif — un seul exploit chez Kaseya = 1 500 entreprises chiffrées en quelques heures.
REvil a demandé 70 M$ en bitcoin pour une clé universelle. Plusieurs MSP ont fermé. La leçon : le vecteur d'attaque le plus rentable en 2021 était votre fournisseur de cybersécurité lui-même.
2024-2025 : le pattern se reproduit, en pire
Quatre incidents récents montrent que rien n'a fondamentalement changé :
SimpleHelp (janvier-mai 2025)
Trois CVE dans SimpleHelp — un RMM utilisé par des MSP — ont été exploitées par DragonForce ransomware (rapport Sophos). Les attaquants ont compromis le serveur SimpleHelp d'un MSSP, puis utilisé les agents installés chez ses clients pour pousser le ransomware en aval. Pattern Kaseya-like, 4 ans plus tard, sur un autre RMM.
Change Healthcare (février 2024)
Pas un MSSP au sens strict, mais un opérateur de plateforme santé qui mutualise les flux pour 190 millions de patients américains. Vol de credentials d'un employé support publiés sur un Telegram de stealers, puis 9 jours de mouvement latéral, 6 To exfiltrés, ransomware. 22 M$ payés — et l'acteur a fait un exit scam, gardant les données. Coût total estimé > 2,4 Md$ pour UnitedHealth.
Snowflake (avril-juin 2024)
160 organisations compromises via le SaaS de data warehouse Snowflake. AT&T a perdu les enregistrements téléphoniques de quasi tous ses clients sur 6 mois, Ticketmaster s'est fait voler 560 M de comptes clients. Pas un breach de Snowflake en lui-même, mais une mutualisation de credentials volés par infostealers, sans MFA imposée par défaut.
CrowdStrike (19 juillet 2024)
Pas un piratage, mais une erreur QA chez l'éditeur EDR : un fichier de configuration mal formé crashe 8,5 millions de machines Windows en BSOD. Delta Airlines arrête, le NHS s'arrête, des banques s'arrêtent. Coût estimé : 5 Md$ rien que pour les 500 plus grandes entreprises Fortune. Démonstration que donner un EDR à kernel-mode à un fournisseur unique sans staged rollout = vous lui confiez la clé du désastre.
Pourquoi tant de MSSP tombent : 5 causes structurelles
1. Le RMM est une cible premium
Tout MSSP utilise un outil de Remote Management (Kaseya, SimpleHelp, ConnectWise, NinjaRMM, Datto, N-able…). Cet outil a, par design, un accès admin sur des centaines de parcs clients. Un seul 0-day = jackpot.
2. La centralisation des credentials
Beaucoup de MSSP stockent les credentials d'accès à leurs clients dans un unique vault central. Compromettre ce vault = ouvrir 200 portes d'un coup.
3. La mutualisation de l'agent
Les MSSP poussent souvent le même agent custom chez tous leurs clients. Si cet agent a un bug ou un backdoor, tous les clients sont touchés simultanément.
4. Le déficit RH
Les MSSP eux-mêmes souffrent de la pénurie d'analystes. Beaucoup tournent avec des équipes sous-staffées, du burnout, et des process incomplets — donc des intrusions internes mal détectées.
5. La pression commerciale sur le SLA, pas sur la sécurité
Le marché MSSP est concurrentiel. Le client compare les SLA et les prix, rarement la sécurité interne du prestataire. Résultat : les MSSP investissent dans le commercial, pas dans leur propre sécurité.
Comment UniSOC est conçu pour résister à ce risque structurel
Nous avons construit UniSOC en partant de l'hypothèse inverse : un jour, quelqu'un essaiera de nous compromettre — l'architecture doit rendre l'effet de levier impossible.
Pas de RMM, pas d'agent universel
Notre agent Sylink-EDR ne contient pas de fonctions de remote management au sens RMM. Il fait de la détection, de la collecte, de la quarantaine YARA — pas du déploiement de logiciel. Un attaquant qui compromet UniSOC ne récupère pas un moyen de pousser du code arbitraire chez vous.
Isolation tenant strictement enforced
Chaque tenant a son propre
tenant_id MongoDB, ses propres collections de findings, ses propres clés EDR (préfixe edrt_). Un analyste UniSOC voit uniquement le tenant en cours d'investigation. Un breach interne de notre console ne donnerait pas un accès "tous tenants" automatique.
Audit Trail IA + actions
Toute requête au LLM, toute décision d'auto-réponse, toute action d'isolation est loggée avec l'identité de l'analyste, le timestamp, la justification. En cas d'intrusion interne, on peut reconstituer qui a fait quoi.
Code-signing strict + staged rollout
Nos mises à jour Sylink-EDR sont signées MSI WiX, déployées en staged rollout (5 % → 25 % → 100 % par tenant), avec rollback automatique si > 0,5 % d'incidents post-déploiement. Le scénario CrowdStrike du 19 juillet 2024 ne pourrait pas se produire chez nous au même volume.
Souveraineté hôte
Hébergement Unitel France HDS V2, pas de filiale US, pas de Cloud Act applicable. Voir Datacenter Unitel HDS V2 et HDS, SecNumCloud, RGPD : décryptage 2026.
Threat intel sur fuites de credentials
Notre pipeline Telegram OSINT scanne en continu les dumps publiés. Si un credential lié à votre tenant est exposé, vous êtes alerté avant qu'un attaquant l'utilise. C'est exactement ce qui aurait évité Change Healthcare.
Les 4 questions à poser à votre MSSP cette semaine
- « Combien d'intrusions internes avez-vous subies en 24 mois ? Documentées par un audit tiers ? » Si la réponse est "zéro" sans preuve, fuyez.
- « Votre RMM/agent peut-il pousser du code arbitraire sur mes machines ? Comment l'audit-êtes-vous ? » S'il ne sait pas, c'est qu'il ne contrôle pas le risque Kaseya.
- « Où sont stockées mes données de logs ? Êtes-vous soumis au Cloud Act ? » S'il dit "AWS Frankfurt c'est OK", il n'a pas lu le sujet (voir notre article Cloud Act et SOC souverain).
- « Vos analystes voient-ils tous les tenants ou un seul à la fois ? » Si la réponse n'est pas "un seul, et c'est tracé", l'isolation tenant est probablement bidon.
Conclusion
87 % de probabilité d'intrusion chez votre fournisseur, ce n'est plus un risque résiduel — c'est le scénario central dont on doit parler dans tout contrat MSSP en 2026. La bonne question n'est plus "mon SOC va-t-il être attaqué ?", mais "quand mon SOC le sera, l'effet de levier sur mes données sera-t-il limité ?".
UniSOC ne prétend pas être incompromis. Nous prétendons que l'architecture rend l'effet de levier coûteux pour un attaquant, et la détection rapide pour vous. C'est une différence de design, pas de marketing — c'est ce que nous détaillons dans la présentation de la plateforme SOC managé UniSOC.
Vous évaluez la sécurité interne de votre MSSP actuel ? Demandez notre audit comparatif gratuit → — 12 questions techniques, comparé sur le marché français, en 5 jours ouvrés.