Ces derniers mois, ManoMano, Leroy Merlin, Dior et Cartier (pour ne citer qu’eux) ont envoyé à leurs clients le même message embarrassant « vos données ont fuité ». Ce n’était pas les données bancaires qui étaient visées dans ces enseignes mais la donnée client elle-même. Et c’est bien précisément le problème.
La donnée client n’est plus dans une base de données unique derrière un pare-feu. Elle circule dans un système d’information étendu entre e-commerce, CRM, cloud, prestataires, clienteling, moteurs de recommandation et nouveaux usages IA. Chaque brique ajoute de la valeur commerciale mais ouvre une nouvelle porte d’entrée. Voici les principaux angles morts de cette chaîne et comment les couvrir de bout en bout.
- Les cyberattaques visent désormais la donnée d’identité et de relation client, plus que la carte bancaire.
- Le point d’entrée est souvent un tiers : prestataire, plateforme CRM, centre de support externalisé.
- Quatre familles d’angles morts à couvrir : applications, cloud et accès, IA, données et conformité.
- La première étape est de cartographier précisément où sont ses angles morts.
Pourquoi la donnée client est-elle devenue la cible des cyberattaques dans le retail et le luxe ?
ManoMano a notifié en janvier 2026 une extraction de données réalisée depuis le compte d’un agent travaillant chez un sous-traitant de son service client, un pirate revendiquant jusqu’à 37,8 millions de comptes sur le dark web. Leroy Merlin a alerté ses clients en décembre 2025 d’une fuite touchant noms, coordonnées, dates de naissance et données de fidélité. Dior a subi une intrusion sur une base CRM le 26 janvier 2025, détectée seulement le 7 mai, exposant identités, coordonnées et, dans certains cas, des numéros de passeport. Cartier, début juin 2025, a vu accéder noms, e-mails et pays de résidence de sa clientèle.
Que déduire de ces incidents ? La carte bancaire n’est plus la cible privilégiée. Le nom, l’historique d’achat, les échanges avec le service client et la donnée de fidélité valent désormais autant parce qu’ils alimentent le phishing ciblé, l’usurpation d’identité et la fraude au produit de luxe. Et dans la moitié de ces affaires, le cybercriminel n’a pas attaqué l’enseigne directement mais visé un prestataire.
D’ailleurs, La CNIL a enregistré 5 919 violations de données en 2024, soit une hausse de 29 % sur un un an. L’ANSSI recense pour sa part une augmentation de 51 % des incidents d’exfiltrations en France en 2025. La donnée n’est plus volée pour être revendue telle quelle mais pour être exploitée, et c’est cela la nouveauté.
Comment sécuriser les applications e-commerce et le CRM ?
Un site web, un CRM et un outil de clienteling des applications qui évoluent en permanent, au rythme des campagnes et des correctifs. Un pentest annuel fait un état des lieux à un moment donné, il ne voit pas les vulnérabilités introduites entre deux opérations. La sécurité applicative doit être intégrée dans la chaîne de production, avec une analyse du code et des composants tiers intégrée à la CI/CD, à chaque release.
Le maillon faible est la chaîne de dépendances. Un parcours d’achat embarque des dizaines de librairies open source, de plugins et de SDK de paiement ou de marketing. Une seule dépendance compromise dans un tunnel de commande expose directement la donnée carte et la donnée client. Les cartographier et monitorer leurs vulnérabilités est indispensable.
Nouveau risque récent, le code généré en volume par les assistants IA. Créé bien plus vite et pas forcément bien relu, il embarque des défauts que les outils conçus pour le code « humain » ne détectent pas toujours. Le code IA doit être testé au même niveau d’exigence que le reste. L’affaire Dior en est un malheureux exemple avec un intrusion restée invisible plus de trois mois.
Cloud et Zero Trust : comment sécuriser les accès aux données clients ?
Une configuration cloud par défaut est la première cause d’exposition de données clients. Conteneurs, clusters, environnements de données et d’IA doivent s’inscrire dans un référentiel dédié et être audités en continu : configurations, secrets et droits d’accès.
Vient ensuite la question des accès. Dans le luxe et le retail, le clienteling, le CRM et le marketing multiplient les comptes qui touchent à la donnée client. Tant que la sécurité repose sur un périmètre réseau, un seul compte compromis ouvre l’ensemble. Le Zero Trust inverse cette logique avec le principe de moindre privilège, une segmentation fine et une vérification systématique de l’identité.
C’est là que se situe l’angle mort le plus coûteux, le tiers. Chez ManoMano, le compte d’un seul agent chez un sous-traitant a suffi pour exposer des millions de comptes. La donnée client circule en dehors de l’enseigne, chez des prestataires, des SaaS et des API connectés au système d’information. L’inventaire, la traçabilité des accès et l’audit des habilitations permet de mieux se prémunir de ce type d’incident.
Shadow AI et IA en production : quels risques pour la donnée client ?
Dans le retail, l’IA est en production est plus souvent hors radar des équipes sécurité. Beaucoup de modèles exploitent les données client, des moteurs de recommandation au pricing dynamique en passant par les chatbots et la GenAI marketing, et pourtant nombre d’entre eux sont passés en MEP sans revue de sécurité ni responsable clairement désigné. Le premier chantier consiste à recenser les usages dans une cartographie impérativement à jour.
Ces modèles nécessitent une supervision dédiée, distincte de la mesure de la performance métier. Un modèle qui dérive, ou qu’un attaquant manipule par ses intrusions, ne déclenche aucune alerte si personne ne surveille son comportement et ses sorties.
Reste le sujet qui progresse le plus vite, le Shadow AI. Ce sont ces outils d’IA grand public que les équipes marketing, data ou engineering utilisent sans validation. Une large part des usages d’IA en entreprise passe par des comptes personnels, hors de tout cadre, ce qui fait du Shadow AI un des risques majeurs identifiés par les RSSI. Concrètement, des données clients uploadée dans un outil public sort du périmètre de conformité. Il est somme toute assez vain d’interdir l’IA mais comme toute innovation majeure, elle doit être encadrée par une politique d’usage.
Données clients et conformité : quelles sont les obligations RGPD et l’AI Act ?
Les usages IA déplacent des données client vers des modèles tiers, par le RAG, le fine-tuning ou les agents. Chacun de ces flux doit être vérifié quant à la souveraineté de l’hébergement et aux conditions de traitement. Quand l’ANSSI recense une hausse de 51 % des incidents d’exfiltration en France, ces flux IA constituent une voie de sortie d’autant plus dangereuse qu’elle est silencieuses et rarement journalisée.
La traçabilité fait office d’actif défensif. Sans journal des décisions et des traitements IA, il est impossible d’expliquer a posteriori une décision de pricing ou de scoring, face à un client comme à un régulateur. Or la pression monte. La CNIL renforce ses sanctions avec des amendes record. L’AI Act encadre les usages à haut risque dont le profilage et de scoring, avec des obligations qui s’échelonnent jusqu’en 2027.
Et la sanction peut venir de l’étranger ! En février 2026, le régulateur sud-coréen a infligé environ 25 millions de dollars aux filiales locales de Louis Vuitton, Dior et Tiffany, pour avoir mal sécurisé l’accès à leur CRM hébergé dans le cloud. Le message du régulateur rappelle que de choisir une solution SaaS ne transfère pas la responsabilité de protéger la donnée.
Comment évaluer la maturité de sa sécurité IA et données clients ?
Ces quatre angles morts ne sont pas des chantiers indépendants. La donnée client est transverse, elle apparait dans l’application, transite par le cloud et les accès, nourrit les modèles IA et finit encadrée par la conformité. La traiter en silos, c’est protéger chaque domaine isolément en laissant les zones de recouvrement sans responsable. C’est là que les incidents récents ont eu lieu.
L’approche de Harington consiste à mener de front ces chantiers au sein d’un même dispositif pour l’ensemble applications, cloud, accès, modèles IA et données, sans ralentir le delivery ni l’innovation en marche.
Pour aller plus loin, le diagnostic sécurité IA et données client cartographie vos usages, vos flux et vos accès, et vous remet une feuille de route priorisée par impact.
En savoir plus

ManoMano, Leroy Merlin, Dior, Cartier : ce qui fuit aujourd’hui, ce n’est plus la carte bancaire, c’est la donnée client. Tour d’horizon des angles morts à couvrir côté e-commerce, cloud, IA et conformité, et de la façon de les cartographier.

Moderniser votre SI sans intégrer la cybersécurité dès la conception, c’est choisir son risque. Agents IA hors gouvernance, code généré sans audit, legacy non patchés, NIS2, DORA et AI Act : ce chapitre donne aux DSI et RSSI la matrice des risques, les leviers Security-by-Design et l’approche Think Build Run pour sécuriser leur transformation sans…

