L’annonce officielle de Workday a agi comme une onde de choc dans l’univers des solutions RH et financières basées sur le cloud. L’entreprise, qui sert plus de 11 000 clients à travers le monde, a confirmé qu’une brèche avait été ouverte non pas dans ses propres serveurs, mais via une plateforme CRM connectée, exploitée comme maillon faible par les cybercriminels. Cette subtilité est capitale : elle montre que la cybersécurité ne dépend plus seulement de la solidité interne d’une entreprise, mais de toute la chaîne d’acteurs avec lesquels elle interagit.
L’attaque, attribuée au groupe ShinyHunters, illustre une tendance inquiétante : les pirates ne s’attaquent plus uniquement aux infrastructures techniques mais ciblent avant tout les individus, manipulant leur confiance et leurs réflexes pour obtenir des accès stratégiques.
L’efficacité redoutable du vishing et des accès OAuth
Selon les détails communiqués, les assaillants ont déployé une méthode d’ingénierie sociale fondée sur le vishing, une variante du phishing exploitant des appels téléphoniques. En se faisant passer pour des employés du service informatique ou des ressources humaines, ils ont contacté certains collaborateurs de partenaires de Workday, leur demandant de valider des autorisations OAuth. Ces validations, perçues comme de simples démarches techniques, ont en réalité ouvert des portes aux hackers vers les environnements Salesforce connectés.
Grâce à ces accès, ShinyHunters a pu extraire des données de contact : noms, adresses e-mail, numéros de téléphone professionnels. Des informations qui, isolées, peuvent sembler anodines, mais qui constituent une matière première idéale pour alimenter des campagnes massives de phishing et de spear phishing. C’est ainsi que des attaques locales peuvent se décliner à grande échelle, touchant les collaborateurs de multiples organisations.
Workday a tenu à préciser qu’aucune donnée sensible comme les salaires, dossiers RH ou identifiants personnels n’avait été compromise sur ses serveurs. Pourtant, l’incident souligne à quel point la compromission d’un maillon externe peut fragiliser l’ensemble d’un écosystème numérique.
ShinyHunters : la montée en puissance d’un acteur global du cybercrime
Le nom de ShinyHunters est désormais bien connu des experts en cybersécurité. Ce groupe s’est imposé ces dernières années comme l’un des collectifs les plus redoutés de la scène cybercriminelle internationale. Les analyses menées par Google et d’autres acteurs de la sécurité informatique rattachent ShinyHunters à un collectif plus large, « The Com », actif dans des opérations visant des marques mondiales comme Google, Adidas, Cisco, Louis Vuitton, Dior ou encore Tiffany & Co.
Leur mode opératoire repose sur une combinaison ingénieuse : manipuler psychologiquement des employés ciblés pour récupérer des accès légitimes, puis insérer des applications OAuth frauduleuses afin de maintenir une présence discrète dans les systèmes. Cette double approche leur permet de contourner des dispositifs pourtant réputés efficaces comme l’authentification multifactorielle.
Au-delà du vol de données, leur objectif est souvent de revendre ces informations sur des forums clandestins, ou de les utiliser comme point d’entrée pour des intrusions plus profondes. Cette sophistication démontre que les attaques d’ingénierie sociale ne sont pas de simples escroqueries isolées, mais des offensives stratégiques capables d’ébranler des organisations robustes.
Une onde de choc pour le Maroc et l’Afrique
Si l’attaque a visé Workday, ses répercussions dépassent largement le périmètre de l’entreprise américaine. Le Maroc et l’Afrique sont concernés à double titre. D’une part, parce que Workday connaît une adoption croissante sur le continent, en particulier en Afrique du Sud où plus de 250 entreprises s’appuient déjà sur ses solutions. D’autre part, parce que de nombreuses multinationales présentes au Maroc intègrent Workday dans leurs processus RH et financiers via des projets pilotes ou des intégrations locales.
Cela signifie que des organisations marocaines pourraient voir leurs collaborateurs exposés à des campagnes de phishing élaborées à partir des données exfiltrées. Ces attaques ciblées peuvent ensuite être utilisées pour obtenir des informations plus critiques, accéder à des systèmes internes ou compromettre des comptes stratégiques.
Le contexte national rend ce risque particulièrement préoccupant. Malgré les efforts de la CNDP et de plusieurs grandes entreprises pour renforcer les dispositifs de cybersécurité, la sensibilisation des collaborateurs reste inégale. Les techniques de vishing, rarement intégrées dans les formations, peuvent ainsi surprendre même des profils expérimentés.
Les leçons pour les DRH et dirigeants marocains
Cette cyberattaque livre plusieurs enseignements clés pour les entreprises marocaines et africaines.
Premièrement, elle démontre la vulnérabilité en chaîne des environnements numériques. Une organisation peut investir massivement dans la sécurisation de ses systèmes internes ; si ses prestataires, partenaires ou plateformes tierces ne respectent pas les mêmes standards, elle demeure exposée. Cela impose une révision des contrats, des audits de sécurité et une vigilance accrue vis-à-vis des fournisseurs cloud.
Deuxièmement, l’ingénierie sociale doit devenir une priorité absolue des politiques de sensibilisation. Les collaborateurs sont souvent la première ligne de défense, mais aussi le maillon faible si leur vigilance n’est pas entretenue. Les programmes de formation doivent intégrer des scénarios réalistes de vishing, de phishing ciblé et de faux appels émanant de « support IT ».
Troisièmement, la gouvernance des accès OAuth mérite une révision. Les applications tierces connectées aux environnements SaaS doivent être strictement inventoriées, auditées et, si nécessaire, supprimées. Les autorisations doivent être limitées dans le temps, afin d’éviter qu’un accès validé une fois ne devienne une faille permanente.
Enfin, l’investissement en cybersécurité ne peut plus être considéré comme une charge secondaire. Détection des comportements anormaux, outils d’analyse comportementale des identités numériques, solutions de Zero Trust : ces dispositifs doivent intégrer les budgets et la stratégie des entreprises marocaines, quelle que soit leur taille.
L’opportunité d’une prise de conscience collective
L’affaire Workday peut être perçue comme un avertissement salutaire pour les entreprises marocaines. Elle rappelle que la transformation digitale, souvent accélérée dans les domaines RH et financiers, ne peut réussir sans une solide culture de cybersécurité. Le capital humain numérique, constitué par les données des collaborateurs, est devenu une cible privilégiée.
Les DRH, à la croisée des enjeux humains et technologiques, ont un rôle essentiel à jouer. Ils doivent s’assurer que les collaborateurs comprennent l’importance de ne jamais valider à la légère une demande d’accès, de vérifier systématiquement l’identité des interlocuteurs et de signaler toute tentative suspecte. La cybersécurité ne relève pas uniquement des équipes IT : elle est une responsabilité collective, incarnée par chaque collaborateur.
Pour le Maroc, cette affaire peut aussi être un catalyseur de développement. Elle met en évidence l’urgence de renforcer l’écosystème local de cybersécurité, de développer des partenariats public-privé, et de stimuler la formation de talents spécialisés. Dans un pays où les ambitions d’industrialisation et de digitalisation s’intensifient, disposer d’une filière nationale solide en cybersécurité devient un impératif stratégique.
Une menace mondiale aux conséquences locales
Au-delà de l’incident spécifique à Workday, l’attaque orchestrée par ShinyHunters révèle une tendance structurelle : la globalisation des menaces cyber. Les groupes criminels opèrent sans frontières, exploitant les interconnexions des plateformes numériques mondiales pour cibler des entreprises de toutes tailles, sur tous les continents.
Pour les acteurs marocains, cette réalité impose de passer d’une approche défensive à une logique proactive. Anticiper, surveiller, tester régulièrement ses défenses, mais surtout construire une culture interne où chaque collaborateur devient un acteur de vigilance, tel est désormais le seul chemin viable.
L’affaire Workday rappelle que la cybersécurité n’est pas un luxe mais une condition sine qua non de la confiance numérique. À l’heure où le Maroc ambitionne de se positionner comme hub régional de la transformation digitale, la capacité à protéger les données et les collaborateurs sera un facteur déterminant de compétitivité et de résilience.
![[INTERVIEW] Stage PFE : piloter la pyramide de talents chez Deloitte Maroc — Interview avec Mélanie BENALI et Hicham OUAZI l DRH.ma](https://drh-ma.s3.amazonaws.com/wp-content/uploads/2025/11/19103455/Interview-avec-Me%CC%81lanie-BENALI-et-Hicham-OUAZI.jpg)
