Le risque fournisseur : quand votre prestataire devient votre faille

Vous avez sécurisé vos systèmes, formé vos équipes, chiffré vos données. Et pourtant, une brèche peut survenir sans que vous ayez commis la moindre erreur : il suffit qu'un de vos prestataires, lui, en ait commis une. En 2026, la chaîne d'approvisionnement numérique est devenue le maillon faible de la cybersécurité, et la réglementation vous en rend désormais responsable. Décryptage d'un risque longtemps sous-estimé.
Le maillon le plus faible
Le principe est aussi simple qu'implacable : une entreprise n'est jamais plus sécurisée que son fournisseur le plus vulnérable. Le baromètre CESIN 2026, réalisé auprès de 397 responsables cybersécurité de grandes entreprises françaises, le confirme sans ambiguïté. Parmi les incidents subis via un tiers : 34 % des entreprises ont subi une fuite de données à cause d'un défaut de sécurité chez un fournisseur, 32 % une vulnérabilité critique sur un produit tiers déployé, et 30 % l'effet domino d'un ransomware chez un prestataire. Chez les grands comptes, 43 % citent désormais les attaques indirectes via un prestataire parmi leurs vecteurs.
La tendance de fond est vertigineuse : selon CrowdStrike, les attaques via la chaîne d'approvisionnement ont bondi de plus de 431 % entre 2021 et 2023, et selon SecurityScorecard, 98 % des cent plus grandes entreprises françaises ont subi au moins une brèche via un tiers en 2024. Le périmètre à défendre a explosé bien au-delà des murs de l'entreprise.
Des cas très concrets
Loin d'être théorique, ce risque a un visage. Les fuites récentes de ManoMano (via un sous-traitant du service client), de Harvest (dont la compromission a touché les clients de la MAIF et de BPCE) ou de Pajemploi illustrent toutes le même mécanisme : l'attaquant n'a pas eu besoin de forcer la cible finale, il est passé par un maillon plus faible qui disposait d'accès privilégiés.
Le phénomène n'est pas nouveau, mais il s'intensifie. L'attaque NotPetya de 2017, l'une des plus coûteuses de l'histoire, s'était propagée via un logiciel comptable compromis. Plus récemment, des bibliothèques open source très répandues (comme Log4j ou XZ) ont été transformées en armes, contaminant d'un coup des milliers d'organisations. Le point commun : ces attaques contournent votre périmètre de sécurité, aussi solide soit-il.
Pourquoi les attaquants adorent ce vecteur
La logique des cybercriminels est rationnelle. Plutôt que de s'attaquer frontalement à un grand groupe bien défendu, il est plus rentable de viser un prestataire moins vigilant qui, lui, détient un accès à la cible. C'est ce qu'on appelle l'attaque par rebond.
La directive européenne NIS2 le reconnaît explicitement : les petites et moyennes entreprises sont de plus en plus visées par ces attaques, précisément parce que leurs mesures de sécurité sont souvent moins rigoureuses. S'y ajoute le fléau de la « sous-traitance en cascade », où un prestataire sous-traite lui-même à un autre, diluant les responsabilités et les garanties de sécurité au fil de la chaîne. Chaque maillon supplémentaire est une porte potentielle.
NIS2 : le risque tiers devient une obligation
C'est le grand changement réglementaire. La directive NIS2 place la sécurité de la chaîne d'approvisionnement au cœur de son dispositif (le texte y consacre plus de vingt mentions), et transfère la responsabilité vers l'entreprise donneuse d'ordre. Concrètement, les entités concernées (environ 15 000 en France, avec un horizon de conformité fixé à l'automne 2026) doivent cartographier leurs fournisseurs ayant accès au système d'information, évaluer leur maturité cyber, et intégrer des clauses de sécurité dans les contrats. Nous détaillons ces obligations dans notre article sur la préparation des PME à NIS2, et leur pendant financier dans notre analyse de DORA.
Point crucial, souvent ignoré : même une PME non directement soumise à NIS2 est concernée. En tant que sous-traitante d'un opérateur essentiel ou important, elle devra démontrer un niveau de sécurité minimal à ses donneurs d'ordre, sous peine de perdre ses contrats B2B. La conformité devient une condition d'accès au marché, et un puissant moteur de montée en compétences.
Un enjeu devenu transverse
La gestion du risque fournisseur a débordé du champ du seul responsable sécurité. Selon le CESIN, si les RSSI restent impliqués (87 %), la direction juridique et les achats s'affirment désormais comme des acteurs clés (60 % chacun), et plus d'une entreprise sur deux (54 %) indique un suivi direct par la direction générale, jusqu'à 82 % dans la banque et l'assurance. Trois clauses contractuelles deviennent standard : la conformité réglementaire du prestataire, la réversibilité (pouvoir récupérer ses données et changer de fournisseur), et les pénalités en cas de manquement.
Restons lucides sur les difficultés. Selon le CESIN, 73 % des RSSI déclarent manquer de ressources pour gérer le risque cyber de leurs fournisseurs, et beaucoup peinent à impliquer ces derniers. Face à un prestataire qui refuse de s'engager, il reste deux options : renoncer au partenariat, ou assumer le risque en le documentant formellement, car en cas d'incident, cette traçabilité sera scrutée par les autorités.
Une compétence qui monte, et des débouchés
Pour qui se forme, cette évolution ouvre une voie claire. La gestion du risque tiers est une compétence hybride en pleine expansion, à la croisée de la sécurité, du juridique et des achats : cartographier des dépendances, auditer la maturité d'un fournisseur, rédiger des clauses, mettre en place une surveillance continue. La ministre déléguée au numérique a d'ailleurs fixé un repère pour les entités NIS2 : consacrer environ 10 % de leur budget informatique à la cybersécurité, ce qui alimente la demande de professionnels et l'essor des RSSI externalisés.
Chez KLE Formations, notre parcours en cybersécurité couvre ces fondations : gouvernance des risques, conformité, sécurité de la chaîne d'approvisionnement et gestion des accès. Accessible et finançable (CPF, France Travail, OPCO, Transitions Pro), il vise un titre RNCP de niveau 7. Pour approfondir, lisez notre guide des métiers de la cybersécurité, notre article sur NIS2 et notre décryptage des faux plugins d'IA, un exemple typique de faille par la chaîne logicielle.
La cybersécurité n'est plus une affaire de murailles individuelles, mais de solidarité entre maillons. Dans un monde d'entreprises interconnectées, protéger son écosystème est devenu aussi important que se protéger soi-même. Et cette responsabilité nouvelle appelle, partout, des compétences nouvelles.
Sources : baromètre CESIN 2026 (OpinionWay, 397 responsables cybersécurité) relayé par IT Social, Tenacy et Solutions Numériques ; Provigis et Plateya (chiffres CrowdStrike, SecurityScorecard, cas ManoMano/Harvest/Pajemploi, budget) ; nis2-info.fr, Cingulum, Incyber et Swim Legal (obligations NIS2 sur la chaîne d'approvisionnement, responsabilité des dirigeants). Chiffres à jour à la mi-2026 ; le calendrier de transposition de NIS2 en droit français et les périmètres exacts peuvent évoluer, vérifier auprès de l'ANSSI.
