1. Le périmètre de sécurité n’existe plus vraiment
Pendant longtemps, sécuriser son système d'information signifiait protéger ses propres serveurs, ses applications, ses données sensibles... Le périmètre était clair, les responsabilités aussi.
Ce modèle appartient désormais au passé.
La plupart des entreprises s'appuient aujourd'hui sur des dizaines de logiciels tiers : des services cloud aux prestataires en passant par des outils d'administration à distance… ces solutions sont souvent connectées, à des degrés divers, à leur système d'information. Ce maillage crée des opportunités nouvelles pour les attaquants : au lieu d'attaquer directement leur cible, ils compromettent d'abord l'un de ses fournisseurs ou prestataires, puis rebondissent vers l'entreprise visée, leur véritable cible.
Les chiffres illustrent cette tendance : la part des incidents cyber impliquant un tiers est passée de 15 % à 30 % entre 2024 et 2025. Le risque ne vient plus seulement de l'intérieur, il vient aussi de ceux en qui vous avez confiance.
2. Qu'est-ce qu'une attaque par la chaîne d'approvisionnement (supply chain attack) ?
Une attaque par la chaîne d'approvisionnement (ou supply chain attack) consiste à compromettre un fournisseur, un éditeur logiciel ou un prestataire pour accéder ensuite aux systèmes de ses clients.
Ce type d'attaque exploite une réalité simple : les accès accordés à des tiers de confiance sont souvent moins surveillés que les accès internes. Un logiciel déjà installé, un prestataire déjà authentifié, une plateforme déjà intégrée sont autant de vecteurs d'entrée que les outils de sécurité traditionnels ne sont pas toujours configurés à détecter. Le risque peut venir d’un logiciel tiers, d’un service cloud, d’un infogérant, d’un outil d’administration à distance ou encore d’une plateforme connectée au système d’information.
Pourquoi ces attaques sont-elles si difficiles à détecter ?
Les outils de cybersécurité sont conçus pour repérer des comportements anormaux : une connexion suspecte, une élévation de privilèges inattendue, un flux de données inhabituel.
Le problème avec les attaques supply chain, c'est qu'elles n'ont rien d'anormal en apparence, car la demande d'accès provient d'un outil légitime, d'un prestataire connu et autorisé, ou d’une mise à jour attendue. L'intrusion n’est pas visible, mais se présente au contraire sous la forme d’une déviation discrète, à l'intérieur d'un canal de confiance.
C'est un des vecteurs d’attaque les plus longs à identifier et à contenir :
- 196 jours en moyenne pour détecter l'attaque
- 71 jours pour la contenir
- 267 jours au total entre la compromission et la résolution
À titre de comparaison, le coût moyen d'une attaque impliquant un fournisseur tiers atteignait 4,91 millions de dollars en 2025, ce qui en fait le deuxième vecteur de compromission le plus coûteux.
Plus la détection est tardive, plus les dommages ont le temps de se propager :
- interruption d’activité ;
- vol de données ;
- sanctions réglementaires ;
- litiges contractuels ;
- perte de confiance des clients ;
- impact réputationnel.
3. Un seul fournisseur compromis : des dizaines de victimes
Une des caractéristiques les plus inquiétantes de ce type d’attaque (et les plus intéressantes pour les cybercriminels), c’est son effet multiplicateur.
Quand un attaquant compromet directement une entreprise, il obtient un accès à une seule cible. Quand il compromet un fournisseur ou une plateforme partagée, il peut potentiellement atteindre tous les clients de ce fournisseur.
Selon le rapport 2026 de Black Kite (entreprise spécialisée dans l’évaluation et la gestion des risques cyber tout au long des chaînes d'approvisionnement et avec les fournisseurs tiers), chaque attaque visant un acteur tiers en 2025 a touché en moyenne 5,28 victimes en aval, contre 2,46 en 2021. Les entreprises évoluent dans des environnements de plus en plus connectés, ce qui signifie qu’une seule attaque fait de plus en plus de victimes.
Aux États-Unis, le nombre d’attaques supply chain est resté stable (133 en 2025 contre 134 en 2024), mais le nombre d’entités impactées a pratiquement doublé, en passant de 660 en 2024 à 1 252 en 2025.
Ce n’est pas la fréquence des attaques qui a augmenté, mais leur portée.
4. La gestion du risque tiers : entre bonnes pratiques et angles morts
Face à cette menace, de nombreuses entreprises ont mis en place des programmes de gestion du risque tiers (TPRM — Third-Party Risk Management). Ces programmes permettent d'identifier quels fournisseurs, prestataires ou partenaires accèdent à des données sensibles ou à des parties du système d'information, puis d'adapter les contrôles en conséquence.
Concrètement, cela passe par :
- des audits périodiques pour vérifier le niveau de sécurité des prestataires ;
- des questionnaires fournisseurs pour recueillir des informations sur la gestion des accès, la protection des données, la continuité d'activité, la sous-traitance ou la gestion des incidents ;
- des certifications exigées, telles que ISO 27001, une certification qui n’est pas obligatoire en pratique, mais qui devient souvent un prérequis pour accéder à certains appels d’offres.
Le problème : une photographie figée d'un risque en mouvement
Ces démarches ont une limite structurelle : elles donnent une image du risque à un instant T, alors que l'exposition réelle d'un fournisseur peut évoluer très rapidement.
Le rapport KPMG Global TPRM Survey 2026, fondé sur une enquête menée en 2025, le confirme :
- Les données utilisées pour piloter ces programmes sont très peu mises à jour.
- Seuls 15 % des responsables interrogés font confiance aux données dont ils disposent pour prendre des décisions éclairées.
5. Les régulateurs renforcent leurs exigences vis-à-vis du risque tiers
Face à ces limites, les régulateurs européens ont intégré cette réalité dans leurs textes. Le risque tiers est désormais une obligation réglementaire, pas seulement une bonne pratique.
- NIS2 : la sécurité de la chaîne d'approvisionnement devient obligatoire. Cette directive impose aux organisations concernées d’intégrer la sécurité de leurs fournisseurs, prestataires et chaînes d’approvisionnement dans leur stratégie cyber. Cela inclut l'identification des dépendances critiques, l'évaluation du risque lié aux prestataires et la mise en œuvre de mesures de sécurité adaptées.
En cas de non-respect, les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour les entités dites essentielles.
- DORA : la résilience numérique du secteur financier. Ce règlement s’applique au secteur financier et impose aux institutions concernées de mieux encadrer les risques liés à leurs prestataires technologiques, notamment les fournisseurs informatiques sensibles. Elles doivent identifier leurs dépendances aux prestataires technologiques, encadrer plus strictement les contrats avec ces fournisseurs, surveiller les risques liés aux services informatiques externalisés et prévoir des plans de continuité en cas d’incident
DORA prévoit également une supervision européenne directe des fournisseurs informatiques jugés critiques pour le secteur financier.
Un chiffre met en perspective l'enjeu : la BCE indique que les grandes banques européennes concentrent plus de 30 % de leur budget d'externalisation sur seulement dix prestataires.
Une attaque sur l'un d'eux pourrait simultanément affecter de nombreux établissements.
6. Le risque tiers devient un sujet de gouvernance stratégique
La gestion du risque tiers ne se limite pas à cocher des cases réglementaires. Elle change aussi la façon d'évaluer une entreprise.
Une organisation peut afficher d'excellents résultats financiers tout en portant un risque cyber significatif si ses fournisseurs critiques sont mal suivis ou peu résilients. Ce risque, moins visible dans les bilans, peut avoir des conséquences très concrètes : interruption d'activité, coûts de remédiation, perte de clients, litiges contractuels.
L'analyse de la robustesse d'une entreprise doit donc intégrer de nouveaux critères :
- Les accès accordés aux prestataires
- La dépendance à certains fournisseurs clés
- La capacité de l'entreprise à remplacer un fournisseur critique rapidement
- La rigueur de suivi du risque
C'est pourquoi la gestion des risques tiers devient progressivement un outil de gouvernance, au même titre que la gestion des risques financiers ou opérationnels.
Conclusion : repenser le périmètre de confiance
Les attaques par la chaîne d'approvisionnement redéfinissent la nature du risque cyber. Une faille chez un fournisseur peut devenir une faille pour l'entreprise elle-même, parfois sans que cette dernière ait commis la moindre erreur.
Répondre à ce risque suppose de passer d'une logique de contrôle ponctuel à une surveillance continue des tiers, d'une conformité déclarative à une vérification dynamique de l'exposition réelle, et d'une vision technique à un enjeu de gouvernance partagé au niveau des directions.
Les entreprises qui intègreront cette évolution plus tôt disposeront d'un avantage réel en matière de résilience, mais aussi de crédibilité vis-à-vis de leurs clients, partenaires et régulateurs.
💡 Notre conviction chez Xplore
Chez Xplore, nous croyons au potentiel de la cybersécurité française : nous sommes convaincus qu’elle a un rôle central à jouer face à la montée des risques tiers.
Les attaques par la chaîne d'approvisionnement ne sont pas une tendance passagère. Elles révèlent une transformation durable de la menace cyber, dans laquelle la maîtrise des dépendances externes devient aussi critique que la protection du périmètre interne. Les entreprises qui n'auront pas résolu ce problème dans les prochaines années s'exposeront à des risques opérationnels, réglementaires et financiers majeurs.
C'est précisément là que nous concentrons notre attention. Nous suivons de près les startups qui construisent des réponses concrètes à cette problématique, en particulier dans trois segments que nous jugeons structurellement porteurs :
- La gestion des risques tiers (TPRM) : cartographier les fournisseurs critiques, évaluer leur exposition cyber en continu et anticiper les risques avant qu'ils ne se matérialisent.
- L'automatisation de la conformité : aider les entreprises à répondre efficacement aux exigences de NIS2, DORA et ISO 27001, sans y consacrer des ressources disproportionnées.
- La sécurité des dépendances logicielles : sécuriser les composants open source et tiers sur lesquels reposent aujourd'hui la quasi-totalité des applications métier.
Si vous construisez une solution dans l'un de ces domaines, nous serions ravis d'échanger avec vous.
Article rédigé par :

Directrice Accélération
Sources
1. Verizon, 2025 Data Breach Investigations Report (DBIR) – Executive Summary. https://www.verizon.com/business/resources/reports/2025-dbir-executive-summary.pdf
2. IBM, Cost of a Data Breach Report 2025. https://www.bakerdonelson.com/webfiles/Publications/20250822_Cost-of-a-Data-Breach-Report-2025.pdf
3. U.S. Office of the Director of National Intelligence (ODNI) / NCSC, SolarWinds Orion Software Supply Chain Attack. https://www.dni.gov/files/NCSC/documents/SafeguardingOurFuture/SolarWinds Orion Software Supply Chain Attack.pdf
4. CISA, Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations. https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a
5. Black Kite Research Group, 2026 Third-Party Breach Report: Managing Risk Concentration in the Era of Cascading Failures. https://blackkite.com/reports/third-party-breach-report-2026
6. Identity Theft Resource Center (ITRC), 2025 Annual Data Breach Report. https://www.idtheftcenter.org/wp-content/uploads/2026/01/2025-ITRC-Annual-Data-Breach-Report.pdf
7. Emsisoft, Unpacking the MOVEit Breach: Statistics and Analysis. https://www.emsisoft.com/en/blog/44123/unpacking-the-moveit-breach-statistics-and-analysis/
8. Cybersecurity Dive, Progress Software’s MOVEit meltdown: uncovering the fallout. https://www.cybersecuritydive.com/news/progress-software-moveit-meltdown/703659/
9. KPMG, The 2026 KPMG Global Third-Party Risk Management Survey. https://kpmg.com/kpmg-us/content/dam/kpmg/pdf/2026/global-tprm-survey-2026-report-fs.pdf
10. KPMG, Achieving resilience in third-party risk management. https://assets.kpmg.com/content/dam/kpmgsites/xx/pdf/2026/02/achieving-resilience-in-third-party-risk-management.pdf.coredownload.inline.pdf
11. Liminal, Third-Party Risk Management Solutions Market to Hit $19.9B. https://liminal.co/news/third-party-risk-management-solutions-forecast/
12. Commission européenne, NIS2 Directive: securing network and information systems. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive
13. Commission européenne, Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive) – FAQs. https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs
14. EUR-Lex, Digital operational resilience for the financial sector. https://eur-lex.europa.eu/EN/legal-content/summary/digital-operational-resilience-for-the-financial-sector.html
15. ESMA, Digital Operational Resilience Act (DORA). https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora
16. European Banking Authority (EBA) / European Supervisory Authorities (ESAs), The European Supervisory Authorities designate critical ICT third-party providers under the Digital Operational Resilience Act. https://www.eba.europa.eu/publications-and-media/press-releases/european-supervisory-authorities-designate-critical-ict-third-party-providers-under-digital
17. BCE / ECB Banking Supervision, Rise in outsourcing calls for attention. https://www.bankingsupervision.europa.eu/press/supervisory-newsletters/newsletter/2024/html/ssm.nl240221.en.html
18. BCE / ECB Banking Supervision, 2024 Outsourcing Register – annual horizontal analysis. https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.outsourcing_horizontal_analysis_202502~c54626829c.en.pdf
19. ResearchAndMarkets, Third-Party Risk Management – Global Strategic Business Report. https://www.researchandmarkets.com/reports/5303559/third-party-risk-management-global-strategic
20. KonBriefing Research, MOVEit hack victim list. https://konbriefing.com/en-topics/cyber-attacks-moveit-victim-list.html


