Synthèse de l'incident
Le 30 janvier 2026, la plateforme française de e-commerce spécialisée dans le bricolage et l'aménagement de la maison ManoMano a confirmé avoir été victime d'une fuite de données personnelles affectant une partie de sa clientèle. L'origine de l'incident ne se situe pas dans les systèmes internes de la plateforme, mais dans la compromission du compte d'un agent de service client employé par un sous-traitant chargé de la gestion des demandes d'assistance.
L'attaquant a exploité un accès légitime au système de support client de ManoMano en compromettant les identifiants d'un prestataire externe, contournant ainsi les défenses périmétriques de l'entreprise.
Selon les premières informations communiquées par ManoMano, les données exposées comprennent des noms, adresses e-mail, numéros de téléphone ainsi que le contenu des échanges de support entre les clients et le service d'assistance. Aucune donnée bancaire ni mot de passe n'aurait été compromis dans le cadre de cet incident. La plateforme, qui revendique plus de 50 millions de visites mensuelles et opère dans six pays européens, a procédé à la notification des clients concernés conformément à ses obligations réglementaires.
Anatomie de l'attaque : le vecteur sous-traitant
Le scénario de compromission exploité dans l'affaire ManoMano est un cas d'école en matière de risque tiers (third-party risk). L'attaquant n'a pas eu besoin de forcer les systèmes de la plateforme elle-même. En ciblant un prestataire de service client, il a emprunté un chemin de moindre résistance qui lui a ouvert un accès direct aux données des utilisateurs finaux.
Le mode opératoire probable se décompose en plusieurs étapes :
- Compromission des identifiants : obtention des credentials de l'agent via du phishing ciblé, un infostealer déployé sur le poste de travail du prestataire, ou l'achat d'identifiants sur un marché souterrain (initial access broker).
- Connexion au système de ticketing : l'attaquant se connecte au portail de gestion des demandes de support avec les identifiants légitimes de l'agent, sans déclencher d'alerte de sécurité puisque la connexion provient d'un compte autorisé.
- Extraction des données : consultation et exfiltration progressive des fiches clients, historiques de conversations et coordonnées personnelles accessibles depuis l'interface du support.
Ce type d'attaque est particulièrement pernicieux car il échappe aux contrôles de sécurité conventionnels. Les systèmes de détection d'intrusion, les pare-feux et les solutions EDR de ManoMano n'ont aucune visibilité sur l'environnement de travail du sous-traitant. Le compte compromis était un compte légitime, avec des droits d'accès légitimes, effectuant des opérations de consultation qui entrent dans le périmètre normal de son activité.
Le risque tiers : un angle mort structurel
L'incident ManoMano n'est pas un cas isolé. Les compromissions via la chaîne d'approvisionnement numérique se multiplient et figurent désormais parmi les vecteurs d'attaque les plus exploités. L'ANSSI et l'ENISA alertent régulièrement sur cette tendance, qui reflète une réalité opérationnelle : les entreprises externalisent des fonctions critiques tout en conservant rarement une visibilité suffisante sur la posture de sécurité de leurs prestataires.
Dans le secteur du e-commerce, la sous-traitance du service client est quasi systématique. Les centres de contact externes manipulent quotidiennement des volumes considérables de données personnelles : identités, coordonnées, historiques d'achats, détails de réclamations. Or, ces prestataires ne disposent pas toujours des mêmes niveaux de maturité en cybersécurité que leurs donneurs d'ordre. Les facteurs de risque sont multiples :
- Politique de mots de passe insuffisante et absence de MFA sur les postes des agents.
- Postes de travail partagés entre plusieurs agents, rendant la traçabilité individuelle difficile.
- Absence de supervision des sessions et de détection des comportements anormaux (volume de consultation, horaires atypiques, export de données).
- Rotation élevée du personnel dans les centres de contact, compliquant la gestion des accès et la sensibilisation à la sécurité.
Implications au regard du RGPD
Sur le plan réglementaire, cet incident soulève des questions importantes au titre du Règlement Général sur la Protection des Données (RGPD). En tant que responsable de traitement, ManoMano demeure juridiquement responsable de la protection des données de ses clients, y compris lorsque le traitement est effectué par un sous-traitant.
L'article 28 du RGPD impose au responsable de traitement de ne faire appel qu'à des sous-traitants présentant des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées. L'article 32 exige la mise en place de mesures de sécurité adaptées au risque, incluant notamment la capacité à garantir la confidentialité, l'intégrité et la disponibilité des systèmes de traitement.
La CNIL pourrait examiner plusieurs points critiques :
- Les clauses contractuelles encadrant le traitement des données par le sous-traitant étaient-elles suffisamment précises en matière d'obligations de sécurité ?
- Des audits de sécurité réguliers du sous-traitant avaient-ils été réalisés par ManoMano ou un tiers indépendant ?
- Le principe de minimisation des données était-il respecté, c'est-à-dire l'agent de support avait-il accès uniquement aux données strictement nécessaires à sa mission ?
- Un mécanisme de détection des accès anormaux aux données clients était-il en place sur le système de ticketing ?
Les amendes prévues par le RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Au-delà de la sanction financière, c'est la confiance des consommateurs qui est en jeu pour une plateforme dont le modèle économique repose intégralement sur la relation numérique avec ses clients.
Recommandations concrètes
Encadrement contractuel et audits
- Intégrer des exigences de sécurité mesurables dans les contrats de sous-traitance : MFA obligatoire, politique de mots de passe, chiffrement des postes de travail, journalisation des accès.
- Réaliser des audits de sécurité périodiques chez les sous-traitants manipulant des données personnelles, incluant des tests d'intrusion et des revues de configuration.
- Imposer un droit d'audit contractuel permettant des vérifications inopinées de la conformité aux exigences de sécurité.
Contrôle des accès et surveillance
- Généraliser l'authentification multifacteur (MFA) pour tous les accès des sous-traitants aux systèmes contenant des données personnelles, sans exception.
- Appliquer le principe du moindre privilège : restreindre l'accès des agents de support aux seules données nécessaires au traitement de la demande en cours, en excluant les consultations en masse.
- Déployer une surveillance comportementale (UEBA) sur les comptes des prestataires externes : détection des volumes de consultation anormaux, des horaires atypiques, des tentatives d'export de données.
- Mettre en place des sessions à durée limitée et des mécanismes de déconnexion automatique après inactivité.
Réduction de la surface d'exposition
- Masquer partiellement les données sensibles dans les interfaces de support (affichage tronqué des numéros de téléphone, des adresses e-mail) sauf demande explicite et journalisée de l'agent.
- Segmenter les environnements de travail des prestataires via des postes virtualisés (VDI) gérés par le donneur d'ordre, empêchant la copie locale de données.
- Limiter l'historique accessible : un agent n'a pas besoin de consulter l'ensemble des conversations passées d'un client pour traiter une demande ponctuelle.
Enseignements clés
L'incident ManoMano illustre une réalité que de nombreuses organisations peinent encore à intégrer dans leur stratégie de sécurité : votre niveau de protection ne peut pas excéder celui de votre maillon le plus faible. Externaliser une fonction métier ne signifie pas externaliser le risque qui y est associé. La responsabilité, tant juridique que réputationnelle, reste entièrement entre les mains du donneur d'ordre.
Dans un modèle d'entreprise étendue, chaque prestataire disposant d'un accès aux données constitue une extension du périmètre de sécurité. Ignorer cette réalité, c'est laisser une porte ouverte en espérant que personne ne la trouvera.
La gestion du risque tiers ne peut plus se limiter à une clause contractuelle et un questionnaire de sécurité annuel. Elle exige une surveillance continue, des contrôles techniques effectifs et une capacité de détection en temps réel des comportements anormaux sur les accès délégués. Pour les plateformes de e-commerce qui manipulent des millions de profils clients, cette discipline doit devenir une priorité opérationnelle au même titre que la disponibilité du site ou la performance logistique.
Sources
- ManoMano - Communication officielle relative à l'incident de sécurité (janvier 2026)
- CNIL - Obligations du responsable de traitement en matière de sous-traitance
- ANSSI - Recommandations de sécurité pour la gestion des prestataires
- ENISA - Supply Chain Security: Threat Landscape and Good Practices
Sécurisez votre chaîne de sous-traitance
Vos prestataires et sous-traitants représentent-ils un risque pour vos données clients ? Les experts C-DIM vous accompagnent dans l'évaluation de votre exposition au risque tiers, la mise en conformité RGPD de vos relations contractuelles et le déploiement de contrôles de sécurité adaptés.
Contactez-nousOu écrivez-nous directement à contact@c-dim.fr