En cliquant sur "Accepter tous les cookies", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de nous aider dans nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

West Web Valley devient Xplore, la marque de capital-innovation d’Épopée Gestion

9.3.2026

Article - Supply chain attacks : le risque tiers redéfinit la nature du risque cyber

Un fournisseur piraté peut suffire à compromettre toute une entreprise. Décryptage des attaques par la chaîne d'approvisionnement, leurs coûts et les nouvelles obligations réglementaires.

Partager

1. Le périmètre de sécurité n’existe plus vraiment

Pendant longtemps, sécuriser son système d'information signifiait protéger ses propres serveurs, ses applications, ses données sensibles... Le périmètre était clair, les responsabilités aussi.

Ce modèle appartient désormais au passé.

La plupart des entreprises s'appuient aujourd'hui sur des dizaines de logiciels tiers : des services cloud aux prestataires en passant par des outils d'administration à distance… ces solutions sont souvent connectées, à des degrés divers, à leur système d'information. Ce maillage crée des opportunités nouvelles pour les attaquants : au lieu d'attaquer directement leur cible, ils compromettent d'abord l'un de ses fournisseurs ou prestataires, puis rebondissent vers l'entreprise visée, leur véritable cible.

Les chiffres illustrent cette tendance : la part des incidents cyber impliquant un tiers est passée de 15 % à 30 % entre 2024 et 2025. Le risque ne vient plus seulement de l'intérieur, il vient aussi de ceux en qui vous avez confiance.

2. Qu'est-ce qu'une attaque par la chaîne d'approvisionnement (supply chain attack) ?

Une attaque par la chaîne d'approvisionnement (ou supply chain attack) consiste à compromettre un fournisseur, un éditeur logiciel ou un prestataire pour accéder ensuite aux systèmes de ses clients.

Ce type d'attaque exploite une réalité simple : les accès accordés à des tiers de confiance sont souvent moins surveillés que les accès internes. Un logiciel déjà installé, un prestataire déjà authentifié, une plateforme déjà intégrée sont autant de vecteurs d'entrée que les outils de sécurité traditionnels ne sont pas toujours configurés à détecter. Le risque peut venir d’un logiciel tiers, d’un service cloud, d’un infogérant, d’un outil d’administration à distance ou encore d’une plateforme connectée au système d’information.

💡 Le cas de SolarWinds : l'attaque par un canal logiciel de confiance

La cyberattaque de SolarWinds reste l'un des exemples les plus marquants de cyberattaque par la chaîne d'approvisionnement. Il illustre parfaitement la façon dont les attaquants, y compris des acteurs étatiques, peuvent s'infiltrer dans des canaux logiciels pourtant considérés comme fiables.

SolarWinds est une entreprise américaine qui développe des logiciels pour les équipes informatiques, dont Orion, un logiciel de supervision réseau très répandu dans les grandes organisations publiques et privées.

Selon un document officiel du renseignement américain, des acteurs étatiques russes auraient infiltré l'environnement de développement de SolarWinds dès 2019, soit près d'un an avant la distribution des mises à jour compromises.

Les attaquants ont alors injecté un code malveillant directement dans les mises à jour officielles du logiciel. Conséquence : environ 18 000 organisations publiques et privées auraient téléchargé cette mise à jour piégée.

Pourquoi ces attaques sont-elles si difficiles à détecter ?

Les outils de cybersécurité sont conçus pour repérer des comportements anormaux : une connexion suspecte, une élévation de privilèges inattendue, un flux de données inhabituel.

Le problème avec les attaques supply chain, c'est qu'elles n'ont rien d'anormal en apparence, car la demande d'accès provient d'un outil légitime, d'un prestataire connu et autorisé, ou d’une mise à jour attendue. L'intrusion n’est pas visible, mais se présente au contraire sous la forme d’une déviation discrète, à l'intérieur d'un canal de confiance.

C'est un des vecteurs d’attaque les plus longs à identifier et à contenir :

  • 196 jours en moyenne pour détecter l'attaque
  • 71 jours pour la contenir
  • 267 jours au total entre la compromission et la résolution

À titre de comparaison, le coût moyen d'une attaque impliquant un fournisseur tiers atteignait 4,91 millions de dollars en 2025, ce qui en fait le deuxième vecteur de compromission le plus coûteux.

Plus la détection est tardive, plus les dommages ont le temps de se propager :

  • interruption d’activité ;
  • vol de données ;
  • sanctions réglementaires ;
  • litiges contractuels ;
  • perte de confiance des clients ;
  • impact réputationnel.

3. Un seul fournisseur compromis : des dizaines de victimes

Une des caractéristiques les plus inquiétantes de ce type d’attaque (et les plus intéressantes pour les cybercriminels), c’est son effet multiplicateur.

Quand un attaquant compromet directement une entreprise, il obtient un accès à une seule cible. Quand il compromet un fournisseur ou une plateforme partagée, il peut potentiellement atteindre tous les clients de ce fournisseur.

Selon le rapport 2026 de Black Kite (entreprise spécialisée dans l’évaluation et la gestion des risques cyber tout au long des chaînes d'approvisionnement et avec les fournisseurs tiers), chaque attaque visant un acteur tiers en 2025 a touché en moyenne 5,28 victimes en aval, contre 2,46 en 2021. Les entreprises évoluent dans des environnements de plus en plus connectés, ce qui signifie qu’une seule attaque fait de plus en plus de victimes.

Aux États-Unis, le nombre d’attaques supply chain est resté stable (133 en 2025 contre 134 en 2024), mais le nombre d’entités impactées a pratiquement doublé, en passant de 660 en 2024 à 1 252 en 2025.

Ce n’est pas la fréquence des attaques qui a augmenté, mais leur portée.

html

💡 Le cas de MOVEit : une faille, des milliers de victimes

MOVEit est un logiciel permettant de transférer des fichiers de manière sécurisée entre organisations. En 2023, des vulnérabilités ont été exploitées dans cet outil, ce qui a permis à des attaquants d'accéder aux données de milliers d'organisations.

Les chiffres montrent l'ampleur de l'attaque :

  • 2 773 organisations affectées ;
  • près de 96 millions d'individus concernés ;
  • parmi les organisations victimes connues, 84 % ont été touchées indirectement, via un prestataire, un fournisseur ou un partenaire utilisant MOVEit.

Ces entreprises n'ont pas été compromises via leur propre système d'information : elles ont été exposées parce qu'un acteur de leur écosystème était vulnérable.

4. La gestion du risque tiers : entre bonnes pratiques et angles morts

Face à cette menace, de nombreuses entreprises ont mis en place des programmes de gestion du risque tiers (TPRM — Third-Party Risk Management). Ces programmes permettent d'identifier quels fournisseurs, prestataires ou partenaires accèdent à des données sensibles ou à des parties du système d'information, puis d'adapter les contrôles en conséquence.

Concrètement, cela passe par :

  • des audits périodiques pour vérifier le niveau de sécurité des prestataires ;
  • des questionnaires fournisseurs pour recueillir des informations sur la gestion des accès, la protection des données, la continuité d'activité, la sous-traitance ou la gestion des incidents ;
  • des certifications exigées, telles que ISO 27001, une certification qui n’est pas obligatoire en pratique, mais qui devient souvent un prérequis pour accéder à certains appels d’offres.

Le problème : une photographie figée d'un risque en mouvement

Ces démarches ont une limite structurelle : elles donnent une image du risque à un instant T, alors que l'exposition réelle d'un fournisseur peut évoluer très rapidement.

Le rapport KPMG Global TPRM Survey 2026, fondé sur une enquête menée en 2025, le confirme :

  • Les données utilisées pour piloter ces programmes sont très peu mises à jour.
  • Seuls 15 % des responsables interrogés font confiance aux données dont ils disposent pour prendre des décisions éclairées.

5. Les régulateurs renforcent leurs exigences vis-à-vis du risque tiers

Face à ces limites, les régulateurs européens ont intégré cette réalité dans leurs textes. Le risque tiers est désormais une obligation réglementaire, pas seulement une bonne pratique.

  • NIS2 : la sécurité de la chaîne d'approvisionnement devient obligatoire. Cette directive impose aux organisations concernées d’intégrer la sécurité de leurs fournisseurs, prestataires et chaînes d’approvisionnement dans leur stratégie cyber. Cela inclut l'identification des dépendances critiques, l'évaluation du risque lié aux prestataires et la mise en œuvre de mesures de sécurité adaptées.

En cas de non-respect, les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel pour les entités dites essentielles.

  • DORA : la résilience numérique du secteur financier. Ce règlement s’applique au secteur financier et impose aux institutions concernées de mieux encadrer les risques liés à leurs prestataires technologiques, notamment les fournisseurs informatiques sensibles. Elles doivent identifier leurs dépendances aux prestataires technologiques, encadrer plus strictement les contrats avec ces fournisseurs, surveiller les risques liés aux services informatiques externalisés et prévoir des plans de continuité en cas d’incident

DORA prévoit également une supervision européenne directe des fournisseurs informatiques jugés critiques pour le secteur financier.

Un chiffre met en perspective l'enjeu : la BCE indique que les grandes banques européennes concentrent plus de 30 % de leur budget d'externalisation sur seulement dix prestataires.

Une attaque sur l'un d'eux pourrait simultanément affecter de nombreux établissements.

6. Le risque tiers devient un sujet de gouvernance stratégique

La gestion du risque tiers ne se limite pas à cocher des cases réglementaires. Elle change aussi la façon d'évaluer une entreprise.

Une organisation peut afficher d'excellents résultats financiers tout en portant un risque cyber significatif si ses fournisseurs critiques sont mal suivis ou peu résilients. Ce risque, moins visible dans les bilans, peut avoir des conséquences très concrètes : interruption d'activité, coûts de remédiation, perte de clients, litiges contractuels.

L'analyse de la robustesse d'une entreprise doit donc intégrer de nouveaux critères :

  • Les accès accordés aux prestataires
  • La dépendance à certains fournisseurs clés
  • La capacité de l'entreprise à remplacer un fournisseur critique rapidement
  • La rigueur de suivi du risque

C'est pourquoi la gestion des risques tiers devient progressivement un outil de gouvernance, au même titre que la gestion des risques financiers ou opérationnels.

Conclusion : repenser le périmètre de confiance

Les attaques par la chaîne d'approvisionnement redéfinissent la nature du risque cyber. Une faille chez un fournisseur peut devenir une faille pour l'entreprise elle-même, parfois sans que cette dernière ait commis la moindre erreur.

Répondre à ce risque suppose de passer d'une logique de contrôle ponctuel à une surveillance continue des tiers, d'une conformité déclarative à une vérification dynamique de l'exposition réelle, et d'une vision technique à un enjeu de gouvernance partagé au niveau des directions.

Les entreprises qui intègreront cette évolution plus tôt disposeront d'un avantage réel en matière de résilience, mais aussi de crédibilité vis-à-vis de leurs clients, partenaires et régulateurs.

💡 Notre conviction chez Xplore

Chez Xplore, nous croyons au potentiel de la cybersécurité française : nous sommes convaincus qu’elle a un rôle central à jouer face à la montée des risques tiers.

Les attaques par la chaîne d'approvisionnement ne sont pas une tendance passagère. Elles révèlent une transformation durable de la menace cyber, dans laquelle la maîtrise des dépendances externes devient aussi critique que la protection du périmètre interne. Les entreprises qui n'auront pas résolu ce problème dans les prochaines années s'exposeront à des risques opérationnels, réglementaires et financiers majeurs.

C'est précisément là que nous concentrons notre attention. Nous suivons de près les startups qui construisent des réponses concrètes à cette problématique, en particulier dans trois segments que nous jugeons structurellement porteurs :

  • La gestion des risques tiers (TPRM) : cartographier les fournisseurs critiques, évaluer leur exposition cyber en continu et anticiper les risques avant qu'ils ne se matérialisent.
  • L'automatisation de la conformité : aider les entreprises à répondre efficacement aux exigences de NIS2, DORA et ISO 27001, sans y consacrer des ressources disproportionnées.
  • La sécurité des dépendances logicielles : sécuriser les composants open source et tiers sur lesquels reposent aujourd'hui la quasi-totalité des applications métier.

Si vous construisez une solution dans l'un de ces domaines, nous serions ravis d'échanger avec vous.

Article rédigé par :

Perrine Albrieux
Directrice Accélération

Sources

1. Verizon, 2025 Data Breach Investigations Report (DBIR) – Executive Summary. https://www.verizon.com/business/resources/reports/2025-dbir-executive-summary.pdf

2. IBM, Cost of a Data Breach Report 2025. https://www.bakerdonelson.com/webfiles/Publications/20250822_Cost-of-a-Data-Breach-Report-2025.pdf

3. U.S. Office of the Director of National Intelligence (ODNI) / NCSC, SolarWinds Orion Software Supply Chain Attack. https://www.dni.gov/files/NCSC/documents/SafeguardingOurFuture/SolarWinds Orion Software Supply Chain Attack.pdf

4. CISA, Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations. https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a

5. Black Kite Research Group, 2026 Third-Party Breach Report: Managing Risk Concentration in the Era of Cascading Failures. https://blackkite.com/reports/third-party-breach-report-2026

6. Identity Theft Resource Center (ITRC), 2025 Annual Data Breach Report. https://www.idtheftcenter.org/wp-content/uploads/2026/01/2025-ITRC-Annual-Data-Breach-Report.pdf

7. Emsisoft, Unpacking the MOVEit Breach: Statistics and Analysis. https://www.emsisoft.com/en/blog/44123/unpacking-the-moveit-breach-statistics-and-analysis/

8. Cybersecurity Dive, Progress Software’s MOVEit meltdown: uncovering the fallout. https://www.cybersecuritydive.com/news/progress-software-moveit-meltdown/703659/

9. KPMG, The 2026 KPMG Global Third-Party Risk Management Survey. https://kpmg.com/kpmg-us/content/dam/kpmg/pdf/2026/global-tprm-survey-2026-report-fs.pdf

10. KPMG, Achieving resilience in third-party risk management. https://assets.kpmg.com/content/dam/kpmgsites/xx/pdf/2026/02/achieving-resilience-in-third-party-risk-management.pdf.coredownload.inline.pdf

11. Liminal, Third-Party Risk Management Solutions Market to Hit $19.9B. https://liminal.co/news/third-party-risk-management-solutions-forecast/

12. Commission européenne, NIS2 Directive: securing network and information systems. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

13. Commission européenne, Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive) – FAQs. https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive-faqs

14. EUR-Lex, Digital operational resilience for the financial sector. https://eur-lex.europa.eu/EN/legal-content/summary/digital-operational-resilience-for-the-financial-sector.html

15. ESMA, Digital Operational Resilience Act (DORA). https://www.esma.europa.eu/esmas-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora

16. European Banking Authority (EBA) / European Supervisory Authorities (ESAs), The European Supervisory Authorities designate critical ICT third-party providers under the Digital Operational Resilience Act. https://www.eba.europa.eu/publications-and-media/press-releases/european-supervisory-authorities-designate-critical-ict-third-party-providers-under-digital

17. BCE / ECB Banking Supervision, Rise in outsourcing calls for attention. https://www.bankingsupervision.europa.eu/press/supervisory-newsletters/newsletter/2024/html/ssm.nl240221.en.html

18. BCE / ECB Banking Supervision, 2024 Outsourcing Register – annual horizontal analysis. https://www.bankingsupervision.europa.eu/ecb/pub/pdf/ssm.outsourcing_horizontal_analysis_202502~c54626829c.en.pdf

19. ResearchAndMarkets, Third-Party Risk Management – Global Strategic Business Report. https://www.researchandmarkets.com/reports/5303559/third-party-risk-management-global-strategic

20. KonBriefing Research, MOVEit hack victim list. https://konbriefing.com/en-topics/cyber-attacks-moveit-victim-list.html

Écoutez le podcast sur votre plateforme préférée :

Sommaire

Les dernières news

Voir toutes les news
9.6.2026

West Web Festival 2026 : une édition condensée, une ambition décuplée

22.4.2026

Startup - OUIDROP lève 7 millions d'euros pour industrialiser et accélérer le déploiement de ses Droppers

18.3.2026

Écosystème - Map Nouvelle-Aquitaine 2026 : radiographie d'un écosystème de l’innovation en pleine expansion

19.3.2026

Article - Pourquoi la France peut devenir un leader européen de l’IA en santé ?