Les entreprises investissent de plus en plus dans leur propre cybersécurité, mais un angle est encore négligé : la sécurité de leurs fournisseurs. Or, les attaques récentes le prouvent, les cybercriminels exploitent les tiers pour contourner les défenses les plus robustes. Ces « attaques par rebond », qui visent la chaîne d’approvisionnement numérique, peuvent avoir des conséquences dramatiques, allant de la fuite de données à l’arrêt complet d’activité.
Des attaques de plus en plus ciblées via les tiers
Les cybercriminels l’ont bien compris : pourquoi s’attaquer à une entreprise fortement sécurisée quand on peut passer par un prestataire plus vulnérable ? Cette tactique, désormais courante, est confirmée par le baromètre 2024 du CESIN, qui indique que 27 % des entreprises ont été victimes d’une attaque indirecte via un tiers. Ces attaques sont causées, entre autres, par des vulnérabilités critiques non corrigées, des prestations mal encadrées, ou encore des défauts de sécurité chez des fournisseurs qui ouvrent la porte à des ransomwares ou à des fuites de données.
Un exemple récent : en février 2025, l’éditeur français de logiciels financiers Harvest a été victime d’une attaque par ransomware, après l’exploitation d’une faille chez l’un de ses hébergeurs. Résultat : des logiciels critiques pour les conseillers en gestion de patrimoine ont été indisponibles, paralysant des centaines d’acteurs du secteur. Des données sensibles ont également été exfiltrées, certaines publiées sur le dark web, impactant des clients majeurs des assurances et du secteur bancaire. Ce cas illustre parfaitement les effets collatéraux massifs que peut provoquer une compromission chez un prestataire.
Une gestion des tiers encore trop négligée
La tendance est à l’aggravation. « Les cybercriminels se tournent vers des cibles moins protégées, comme certains fournisseurs ou ETI, ce qui explique que les grandes structures restent davantage épargnées », explique Mylène Jarossay, présidente du CESIN. Pourtant, dans de nombreuses organisations, la cartographie des tiers est incomplète, les contrats manquent de clauses de sécurité, et les prestations ne sont pas suffisamment encadrées ni auditées. En cascade, un seul maillon faible peut exposer toute une chaîne.
Des obligations réglementaires qui changent la donne
Le législateur l’a bien compris et face à ces risques systémiques, les autorités européennes réagissent. La directive NIS2, applicable dès octobre 2024, impose aux entités essentielles et importantes de gérer activement la sécurité des tiers. Elle prévoit des évaluations de sécurité continues, l’intégration de la gestion des prestataires dans les politiques de cybersécurité, et des capacités de réponse rapide. Dans le secteur financier, le règlement DORA soumet même directement certains prestataires TIC à des exigences réglementaires strictes, indépendamment de leurs clients. Ces évolutions montrent que la cybersécurité des fournisseurs devient un enjeu de conformité, et plus seulement un sujet de bonnes pratiques.
Les tiers ne sont plus des acteurs secondaires : ils sont devenus des leviers d’attaque stratégiques pour les cybercriminels. Le cas Harvest et les nouvelles obligations réglementaires sont autant de signaux forts : les entreprises doivent reprendre le contrôle de leur écosystème numérique. Cela passe par une meilleure cartographie, des contrats encadrant les exigences de sécurité, des audits réguliers et un pilotage continu. Car dans un monde interconnecté, la sécurité du plus faible reste celle de tous.
