Cyberattaques via les fournisseurs, un risque systémique qui tend à se banaliser

Des opérations à l’arrêt, des files d’attente qui débordent, des équipes réquisitionnées dans l’urgence : derrière ces scènes, on retrouve de plus en plus souvent un même déclencheur – un prestataire numérique compromis. Quand un tiers vacille, c’est la sécurité au travail et la continuité d’activité qui s’effritent.

Sous-traitance numérique : quand le risque tiers devient un risque métier

Le périmètre de défense d’une organisation ne s’arrête plus à ses murs. Systèmes d’enregistrement aéroportuaires, gestion des identités, transferts de fichiers, télémaintenance industrielle : autant de fonctions externalisées chez des éditeurs et infogéreurs. Une attaque réussie contre l’un d’eux se propage comme une onde de choc : files d’attente ingérables, reprise manuelle des procédures, surcharge cognitive, hausse du risque d’accident et d’erreur humaine. Les retours d’expérience abondent : la compromission de la chaîne logicielle SolarWinds a exposé jusqu’à 18 000 clients à un code malveillant ; les failles de MOVEit ont touché plus de 2 500 organisations dans le monde. Les données du baromètre CESIN-OpinionWay confirment la tendance : en France, plus d’une entreprise sur deux déclare au moins un incident impliquant un fournisseur. Au-delà du seul IT, c’est le management des risques opérationnels et humains qui est en jeu.

Des incidents en cascade : aviation, santé, industrie

Ces derniers mois ont illustré de façon brutale l’effet domino. En septembre 2025, une cyberattaque visant un fournisseur européen de systèmes d’enregistrement et d’embarquement a perturbé des aéroports majeurs, dont Bruxelles, Heathrow et Berlin. Les organisations ont basculé en mode dégradé : enregistrement sur iPad, procédures papier, vols annulés. Pareil dans la santé : en 2024, plusieurs établissements français ont été ralenties par des attaques frappant des prestataires techniques, au point d’impacter la continuité des soins. Les forces de l’ordre ont documenté des rançongiciels d’envergure contre des groupes hospitaliers régionaux, et la Cour des comptes a recensé de multiples incidents dans les CH. Dans l’industrie, des groupes de premier plan ont subi des arrêts de production ou des exfiltrations après compromission de partenaires connectés à leurs réseaux. Moralité : chaque maillon sous-traité est désormais une surface d’attaque qui, si elle cède, met sous tension les salariés, les équipes HSE et la sûreté des opérations.

Gouvernance & conformité : du RSSI au COMEX

Traiter le risque fournisseur comme un simple “projet IT” est voué à l’échec. Le RSSI reste l’architecte de la maîtrise technique, mais le pilotage doit remonter au COMEX : arbitrages budgétaires, priorisation des fournisseurs critiques, acceptation (ou non) des risques résiduels. Le cadre réglementaire pousse dans ce sens : NIS2 impose des exigences renforcées en matière de sécurité des chaînes d’approvisionnement pour des secteurs essentiels (transport, santé, énergie, administration, infrastructures numériques). Côté référentiels, l’ISO/IEC 27036 et le NIST SP 800-161 fournissent une ossature solide pour intégrer la gestion du risque de chaîne d’approvisionnement au dispositif global (politiques, évaluation, réponse, surveillance). L’enjeu est double : fiabiliser les opérations de terrain et protéger les collaborateurs exposés lors des bascules en mode manuel, quand la pression augmente et que le taux d’erreurs peut grimper.

Plan d’action : sécuriser les relations fournisseurs sans freiner l’activité

Voici une trame pragmatique à adapter selon la criticité métier et la maturité sécurité :

1. Cartographier les dépendances : inventorier tous les tiers, leurs sous-traitants et les flux d’accès (humains, API, accès distants), avec un scoring de criticité métier/HSE.
2. Exiger un socle de sécurité : MFA, journalisation, segmentation réseau, chiffrement des transferts, durcissement des endpoints, durées d’accès limitées et supervision continue.
3. Clauses contractuelles : engagements de notification time-bound, audits partagés, tests d’intrusion, preuves de patching, exigences de gestion des propres sous-traitants du fournisseur.
4. Évaluation et suivi : questionnaires fondés sur ISO 27036/NIST 800-161, preuves, et contrôle continu ; renouvellement conditionné aux écarts corrigés.
5. Plans de résilience : procédures dégradées prêtes-à-l’emploi (papier, manuels, modes offline) et entraînements réguliers avec les équipes terrain pour limiter les risques humains.
6. Réduction des points uniques de défaillance : redondance de fournisseurs pour les fonctions critiques (ex. enregistrement, transfert de fichiers) et réversibilité documentée.
7. Gestion des identités des tiers : accès “just-in-time”, cloisonnement par rôle, révocation immédiate, coffre à secrets, contrôle des sauts de prestataires vers prestataires.
8. Crise multi-parties : cellule d’astreinte intégrant achats, juridique, HSE, communication et fournisseurs clés ; canaux alternatifs si l’outil du prestataire est HS.

Pour démultiplier l’impact, mettez en visibilité le risque tiers au tableau de bord sécurité présenté au comité de direction. Une fois les priorités posées, outillez la surveillance (anomalies sur flux SFTP/MFT, VPN tiers, journaux d’APIs) et pilotez la remédiation par objectifs métiers (RTO/RPO réalistes, maintien de la sécurité des personnels en mode manuel).