Canvas, 275 millions de dossiers : ce que la brèche vous oblige à revoir dans votre risque tiers

Le 7 mai 2026, la plateforme Canvas (Instructure) utilisée par environ la moitié des établissements d'enseignement supérieur d'Amérique du Nord, a été paralysée par une attaque revendiquée par le groupe ShinyHunters. Les attaquants affirment avoir exfiltré 275 millions de dossiers liés aux étudiants, enseignants et personnels. La page de connexion a été remplacée par un message de rançon, avec une date butoir au 12 mai.

L'incident n'a pas frappé un éditeur de niche. Il a frappé un fournisseur que des milliers d'institutions ne considéraient même plus comme un "tiers", un service tellement intégré qu'il était devenu invisible.

Ce n'est pas un problème Canvas. C'est un problème de concentration SaaS.

Ce que l'incident expose va au-delà d'Instructure :

• Quand un seul fournisseur sert la moitié d'un secteur, ce fournisseur devient une infrastructure critique de facto.

• Les questionnaires annuels (SIG, CAIQ) sont conçus pour vérifier qu'un fournisseur a des contrôles mais pas pour mesurer la concentration systémique qu'il crée dans votre paysage.

• Une « compromission tier-2 » (le SaaS de votre fournisseur) reste invisible jusqu'au jour où elle se retrouve à la une.

L'éducation a été le secteur exposé cette semaine. La semaine prochaine, ce sera un autre SaaS dominant, RH, finance, santé, logistique.

Les 3 questions que votre conseil d'administration posera lundi matin

Si tu es CISO ou GRC lead, prépare ces trois réponses avant la prochaine réunion :

1. Exposition. Quels SaaS portent une part disproportionnée de notre activité ou de nos données ? Si un seul d'entre eux tombait 7 jours, quel serait l'impact opérationnel et financier ?

2. Recours contractuel. Que dit notre contrat sur la durée de notification, les SLA de restauration, les obligations légales du fournisseur en cas de fuite ? Avons-nous le droit de migrer rapidement ?

3. Alternative. Existe-t-il un fournisseur de bascule actuel ou théorique ? Combien de temps pour basculer ? Cette question, posée à froid, est rarement répondable et c'est exactement pour ça qu'elle compte.

Une boucle Third-Party Risk en 6 étapes, applicable cette semaine

Tu n'as pas besoin d'un programme TPRM théorique. Tu as besoin d'une boucle exécutable :

1. Criticité. Liste tes 10-20 SaaS, classe-les par criticité business (pas par taille de contrat). Identifie les « tiers invisibles » ceux que personne ne ferait migrer en 30 jours.

2. Exposition. Pour chaque SaaS critique : quelles données, quelle volumétrie, quelle population utilisateur, quels accès privilégiés ?

3. Contrôles. Au-delà du questionnaire annuel : MFA imposée, journaux d'accès activés et exportés, périmètre de partage de données restreint, RBAC actif.

4. Preuves. Tu ne contrôles pas le fournisseur, mais tu peux collecter des preuves : SOC 2 récent, attestation MFA, dernier test de PRA, certifications réelles (pas marketing).

5. Owner + cadence. Chaque SaaS critique a un owner business + un owner sécurité. Revue trimestrielle minimale ; mensuelle pour le top 5.

6. Scénarios de bascule. Prépare 1 page par SaaS critique : que se passe-t-il s'il tombe 24h, 7 jours, 30 jours ? Qui fait quoi ?

L'angle CTI : voir l'incident venir

La plupart des brèches tiers ne sont pas des surprises pour les attaquants, elles le sont pour les défenseurs. ShinyHunters, Nitrogen et consorts publient, signalent, échangent, vendent. La CTI continue (pas l'audit annuel) permet de voir :

• les mentions du fournisseur sur des marchés d'accès initial,

• les credentials de tes employés circulant sur des plateformes leak,

• l'exploitation active de vulnérabilités sur les technologies que ce fournisseur utilise.

Quand ta CTI suit en continu les acteurs qui ciblent ton secteur ET tes fournisseurs critiques, tu as parfois 30 jours d'avance. Pas toujours. Mais souvent.

Là où FortaRisks intervient

Trois capacités du module Risk Management s'appliquent directement après un événement Canvas :

• Cartographie des dépendances SaaS critiques : criticité, exposition, owner, preuves dans une seule vue.

• TPRM continu : scoring de chaque tiers en continu (surface externe, posture déclarée, victimologie, drift), pas un questionnaire annuel.

• Couche CTI : surveillance des acteurs et des indicateurs liés à tes fournisseurs critiques, pour voir l'attaque venir.

Une bonne gestion du risque tiers ne ralentit pas tes achats. Elle te donne une réponse claire à la question que ton board posera lundi matin.

🎯 Si tu veux structurer ta cartographie tiers et passer du questionnaire annuel à un suivi continu, contactez FortaRisks : https://www.fortarisks.com/contact