Imaginez que vous dirigez une fintech qui gère les données de centaines de milliers de clients bancaires. Un matin, vous découvrez que des hackers ont pénétré votre système via… votre propre fournisseur de firewall. C’est exactement ce qui est arrivé à Marquis, une entreprise texane spécialisée dans la visualisation de données pour banques et credit unions. Cette histoire récente, survenue fin 2025 et révélée début 2026, illustre de manière brutale à quel point la cybersécurité en chaîne d’approvisionnement est devenue le talon d’Achille des entreprises technologiques modernes.
Dans un secteur où la confiance est la matière première la plus précieuse, une seule faille chez un prestataire peut provoquer un effet domino catastrophique. Que s’est-il réellement passé chez Marquis ? Pourquoi pointent-ils du doigt SonicWall ? Et surtout : quelles leçons concrètes les fondateurs, CMOs et responsables sécurité des startups doivent-ils en tirer dès aujourd’hui ?
Le déroulement de l’attaque : un ransomware par rebond
Tout commence en réalité plusieurs mois avant que Marquis ne s’en rende compte. En 2025, SonicWall – un acteur majeur dans le domaine des pare-feu et solutions de sécurité réseau – subit une intrusion dans son service de sauvegarde cloud. Les attaquants parviennent à accéder aux fichiers de configuration et aux identifiants de connexion de très nombreux clients.
Marquis, qui avait récemment migré vers les appliances de sécurité SonicWall et utilisait leur solution de backup dans le cloud, fait partie des victimes collatérales. Selon les propres termes de l’entreprise fintech :
« Notre enquête a déterminé que les hackers ont obtenu des informations sur notre firewall lors de la brèche chez SonicWall, ce qui leur a permis de contourner nos protections. »
– Communication interne Marquis aux clients (janvier 2026)
Une fois en possession du fichier de configuration et des credentials associés, les attaquants n’ont plus eu qu’à se connecter directement aux équipements de Marquis comme s’ils étaient légitimes. Ils ont ensuite déployé un ransomware classique, chiffrant les systèmes et exfiltrant au passage une quantité massive de données sensibles : noms, adresses, numéros de sécurité sociale, informations financières… le cocktail parfait pour l’usurpation d’identité et la fraude bancaire.
SonicWall : d’abord 5 %, puis 100 % des clients cloud impactés
L’histoire est d’autant plus troublante que SonicWall n’a pas communiqué de la même manière tout au long de l’incident. Voici l’évolution du discours officiel :
- Septembre 2025 → Annonce initiale : « Moins de 5 % des clients potentiellement concernés »
- Octobre 2025 → Rectification majeure : « En réalité, tous les clients utilisant le service de backup cloud ont vu leurs configurations et credentials accédés »
Cette évolution du périmètre a de quoi inquiéter. Quand un fournisseur de sécurité annonce d’abord une attaque mineure puis admet plusieurs semaines plus tard que l’ensemble de sa base cloud est compromise, cela remet sérieusement en question la transparence et la maturité de sa gestion de crise.
Du côté de SonicWall, on reste très prudent face aux accusations de Marquis :
« Nous n’avons aucune nouvelle preuve établissant un lien entre notre incident de septembre 2025 et les attaques ransomware actuelles sur les firewalls et autres équipements edge. »
– Bret Fitzgerald, porte-parole SonicWall
La position est claire : sans preuve formelle apportée par Marquis, SonicWall refuse d’endosser la responsabilité directe.
Marquis envisage de se retourner contre son fournisseur
Dans sa communication aux clients touchés, Marquis va plus loin que de simples regrets. L’entreprise annonce étudier sérieusement plusieurs pistes juridiques et financières :
- Recouvrement des frais engagés pour répondre à l’incident
- Indemnisation des coûts supportés par ses propres clients
- Compensation pour les dommages subis (réputation, perte de confiance, etc.)
Cette posture est relativement rare dans le paysage tech. La plupart des victimes préfèrent rester discrètes pour éviter d’envenimer leur relation commerciale avec le fournisseur incriminé. Ici, Marquis choisit la voie offensive, probablement parce que le volume de données compromises est très important et que l’image de marque d’une fintech repose presque entièrement sur la sécurité perçue.
Pourquoi les configurations firewall sont-elles si sensibles ?
Pour beaucoup d’entrepreneurs et de responsables marketing, la notion de « fichier de configuration firewall » reste assez abstraite. Pourtant, ces fichiers sont parmi les plus critiques dans l’infrastructure d’une entreprise connectée :
- Ils contiennent les règles d’accès (qui peut entrer, qui peut sortir)
- Ils incluent souvent des clés pré-partagées, mots de passe administrateur, certificats
- Ils révèlent l’architecture réseau interne (adresses IP, VLANs, NAT, VPNs…)
- Certains incluent même des objets nommés qui trahissent le nom des serveurs internes
En clair : avec un fichier de configuration SonicWall et les credentials associées, un attaquant peut littéralement se promener dans le réseau comme chez lui, sans même avoir besoin d’exploiter une vulnérabilité zero-day. C’est exactement ce qu’on appelle une attaque de type living-off-the-land : utiliser les outils légitimes contre leur propriétaire.
Les leçons stratégiques pour les startups et scale-ups tech
Cet incident n’est pas un cas isolé. Il s’inscrit dans une tendance lourde observée depuis 2023-2024 : les attaques sur la chaîne d’approvisionnement logiciel et matériel. Voici les principaux enseignements que les fondateurs, CTO et responsables sécurité devraient intégrer dès maintenant :
1. La backup cloud d’un produit de sécurité n’est PAS neutre
Stocker ses configurations les plus sensibles chez le même éditeur qui fournit le produit de sécurité crée une dépendance critique. Dès qu’une seule de ces deux couches (le produit ou le cloud de backup) est compromise, tout s’effondre.
2. Appliquer les patchs rapidement reste essentiel… mais insuffisant
Marquis a vérifié si un patch non déployé aurait pu être exploité. La réponse était négative. Cela rappelle une réalité désagréable : même avec un patching parfait, une compromission de credentials légitimes rend tous les patchs inutiles.
3. Zero Trust ne protège pas contre les accès légitimes volés
Les principes Zero Trust (vérification continue, moindre privilège, micro-segmentation) sont excellents… tant que les identifiants de haut niveau ne sont pas volés en amont. Ici, les attaquants disposaient de comptes administrateur SonicWall légitimes.
4. Prévoir une clause de responsabilité fournisseur dans les contrats
De plus en plus d’entreprises tech intègrent désormais des clauses spécifiques « supply chain security » et « notification d’incident sous 24/48h » dans leurs contrats SaaS / hardware critiques. Marquis semble regretter de ne pas avoir eu de levier contractuel suffisamment fort.
Que faire concrètement la semaine prochaine dans votre startup ?
Voici une checklist actionnable en 5 points que vous pouvez partager dès lundi matin avec votre équipe technique :
- Faites l’inventaire de tous les équipements / services qui sauvegardent leurs configurations dans le cloud de leur propre éditeur
- Identifiez les comptes à privilèges élevés qui ont accès à ces backups
- Mettez en place une rotation forcée des credentials d’administration tous les 60–90 jours maximum
- Activez l’alerting en temps réel sur toute connexion administrative depuis une nouvelle géolocalisation ou un nouvel horaire
- Envisagez une solution de backup chiffrée côté client (client-side encryption) pour les configurations les plus sensibles
Ces mesures ne coûtent pas forcément très cher, mais elles peuvent multiplier par dix la difficulté pour un attaquant qui aurait obtenu un premier accès chez votre fournisseur.
L’impact business & marketing d’une telle brèche
Pour une fintech B2B qui vend de la confiance à des banques et credit unions, l’impact d’une brèche de cette ampleur dépasse largement le coût direct du ransomware. On parle ici :
- Perte potentielle de contrats en cours de négociation
- Retrait de référencement par certains partenaires bancaires
- Augmentation massive des primes d’assurance cyber
- Nécessité de campagnes de communication de crise très coûteuses
- Churn client difficile à quantifier mais souvent très élevé
Dans ce contexte, la décision de Marquis de pointer publiquement SonicWall et d’évoquer des poursuites financières n’est probablement pas seulement une réaction émotionnelle : c’est aussi une tentative de limiter le churn en montrant aux clients qu’ils ne restent pas passifs face à l’incident.
Vers une responsabilisation accrue des fournisseurs critiques ?
Si de plus en plus d’entreprises victimes adoptent la même posture que Marquis, on pourrait assister dans les 18–24 prochains mois à :
- Une multiplication des procès opposant clients et fournisseurs SaaS / hardware
- Une exigence croissante de transparence sur les incidents fournisseurs (type SolarWinds, MOVEit, Okta…)
- L’apparition de nouveaux standards contractuels « cybersecurity supply chain »
- Une montée en puissance des clauses d’indemnisation automatique en cas de compromission prouvée des credentials cloud
Les fournisseurs historiques comme SonicWall, Cisco, Fortinet, Palo Alto Networks et consorts vont probablement devoir revoir leurs conditions générales et leurs SLA en profondeur s’ils veulent conserver la confiance des entreprises de taille moyenne et grande.
Conclusion : la confiance ne se présume plus, elle se prouve
L’affaire Marquis / SonicWall est un rappel douloureux mais nécessaire : dans le monde de 2026, déléguer une partie de sa surface d’attaque à un prestataire ne dispense aucunement de garder un œil critique sur ce que ce prestataire fait de vos données les plus sensibles.
Pour les startups et scale-ups tech, le message est clair : la cybersécurité n’est plus seulement une ligne budgétaire ou une case à cocher lors d’un audit. C’est un élément central de proposition de valeur, au même titre que le product-market fit ou la qualité de l’expérience utilisateur.
Et vous, avez-vous déjà audité les solutions de sécurité que vous utilisez quotidiennement ? Savez-vous où sont stockées vos configurations les plus critiques ? Peut-être est-ce le bon moment pour le vérifier.
La guerre cyber ne se gagne pas uniquement avec les meilleurs outils… mais avec les meilleures chaînes de décision et les meilleures chaînes d’approvisionnement sécurisées.
