TPRM, Tiers, Cybersécurité
Cybersécurité et Fournisseurs : Le problème, c'est toujours les autres ?
Publié le 21 novembre 2025 par Baptiste DAVID
Fini le temps où la cybersécurité s'arrêtait aux portes de votre entreprise. Aujourd'hui, l'organisation moderne est une 'entreprise étendue' dépendante d'une multitude de prestataires. Mais que se passe-t-il quand la menace vient de ceux en qui vous avez confiance ? Entre dommages collatéraux et nouvelles exigences réglementaires (NIS2, DORA), découvrez pourquoi sécuriser votre Supply Chain est devenu l'enjeu critique de la décennie.
Cybersécurité et Fournisseurs : Le problème, c’est toujours les autres ?
Table des matières
- Cybersécurité et Fournisseurs : Le problème, c’est toujours les autres ?
- Le Constat : L’interconnexion invisible
- Le Problème : Quand la menace vient de l’ami
- La Solution : Changer d’attitude, pas de modèle économique
- Conclusion : Renforcer sa sécurité en renforcant ses tiers
Il y a encore dix ans, la stratégie de sécurité d’une entreprise pouvait se résumer à ériger des murs numériques infranchissables autour de son infrastructure interne. Le périmètre était clair, défini et sous contrôle direct.
Aujourd’hui, ce modèle de la “forteresse” est obsolète. Pour gagner en agilité et en compétitivité, votre organisation s’est transformée en une “entreprise étendue”. Vous ne produisez plus tout en interne ; vous vous appuyez sur un écosystème complexe de partenaires, métiers ou IT.
Cette ouverture est un levier de performance indispensable, mais elle a radicalement déplacé la ligne de front. Votre surface d’attaque ne s’arrête plus à vos pare-feux : elle englobe désormais la sécurité de chacun de vos sous-traitants.
Le Constat : L’interconnexion invisible
Regardez autour de vous. Prestataires de paie et RH, fournisseurs informatiques, éditeurs de logiciels SaaS, partenaires de R&D, agences de marketing digital… Pour fonctionner, une entreprise moderne ne vit pas en autarcie. C’est ce que l’on appelle la “Supply Chain ”. C’est autant d’identité, de flux, d’accès qui sont nécessaires à la création de valeur de votre organisation.
Ces tiers, c’est une réalité : le risque n’est pas seulement technique, il est devenu opérationnel. Une défaillance chez un partenaire — qu’il s’agisse d’une indisponibilité de service, d’un défaut de qualité ou d’une fuite de confidentialité — impacte directement et immédiatement vos activités, vos revenus. Si votre logisticien est bloqué par un virus, c’est votre promesse client qui est rompue.
Le Problème : Quand la menace vient de l’ami
Ce maillage complexe expose l’entreprise à deux pressions majeures :
Le Risque Cyber : Collatéral ou Ciblé ?
Votre écosystème vous expose à deux types de menaces distinctes, mais aux conséquences tout aussi dévastatrices :
-
Le Dommage Collatéral (L’attaque opportuniste) :
Votre fournisseur est une entreprise comme une autre. Il peut être victime d’une campagne de ransomware massive et indifférenciée qui frappe au hasard. Il n’était pas visé pour vous atteindre, et vous n’étiez pas la cible.
La conséquence : Vous subissez les impacts par ricochet. Si votre hébergeur, votre gestionnaire de paie ou votre logisticien est paralysé, c’est votre activité qui s’arrête, même si vos propres systèmes sont parfaitement intacts et sécurisés. Vous devenez la victime d’une “balle perdue” numérique.
C’est notamment redoutable chez les prestataires informatiques (infogérant, hébergeurs etc.) dont les interconnexions facilitent les propagations. -
L’Attaque par Rebond (L’attaque ciblée) :
Dans ce scénario, le pirate vous vise, vous. Mais face à vos défenses internes robustes, il choisit la stratégie du contournement. Il compromet un fournisseur de confiance disposant d’accès privilégiés (un prestataire de maintenance, un éditeur de logiciel) pour s’en servir comme d’un pivot pour vous atteindre vous.
L’exemple réaliste: Affaire SolarWinds un éditeur de logiciel de supervision dont la compromission permet d’atteindre plusieurs centaines d’organisation publiques d’un coup unique - En France l’incident considéré comme le plus grand leak de l’histoire passe par un prestataire de France Travail.
La Pression de la Conformité
Le régulateur ne s’y trompe pas. Avec l’arrivée de directives européennes comme NIS2 ou DORA, la gestion des tiers n’est plus une option, c’est une obligation légale. Les entités régulées sont désormais tenues responsables de la sécurité de leur chaîne d’approvisionnement. L’excuse “ce n’est pas moi, c’est mon fournisseur” n’est plus recevable.
Il est donc impératif d’avoir conscience que la sous-traitance, si elle apporte de la valeur, génère aussi des enjeux nouveaux.
La Solution : Changer d’attitude, pas de modèle économique
Faut-il pour autant arrêter d’externaliser, couper les ponts et tout faire soi-même en interne ? Absolument pas.
L’économie moderne repose sur la spécialisation et l’agilité. D’ailleurs, décider de tout internaliser (“Insourcing”) n’est pas une décision de cybersécurité ou d’IT. C’est une décision stratégique d’entreprise, prise au plus haut niveau, qui n’est d’ailleurs applicable que dans de rare cas, d’économie très particulière.
Faut-il interdire un tiers parce que celui-ci n’aurait pas une bonne évaluation ? Non-appliquable. Le tiers est selectionné parce qu’il répond à vos besoins. C’est les métiers qui choissisent les tiers pour ce qu’ils apportent. Et à la cybersécurité de traiter ce risque.
Traiter les risques de sa supply chain, ce n’est pas soupçonner ses partenaires par principe, c’est adopter une démarche en trois temps :
-
Cartographier : On ne protège bien que ce que l’on connaît. Il faut savoir précisément avec qui on traite, sur quels sujets, et quelle est l’importance de ce tiers pour votre activité (sa criticité).
-
Quantifier l’impact en continu : Le risque n’est pas une constante. Les tiers évoluent, surtout après l’intégration dans votre écosystème, votre organisation se transforme et les incidents redéfinissent les priorités. Il est indispensable de mesurer les enjeux de ce partenariat pour identifier les actions de corrections nécessaire. La notation n’est ici pas une finalité (mais nous y reviendrons dans un deuxième article)
-
Piloter et accompagner: C’est la clé. Il faut travailler avec vos tiers pour les faire progresser, mais aussi en interne avec vos interlocuteurs métiers et support (RH, Achats, DAF) pour s’assurer un maintien du risque à un niveau acceptable.
Conclusion : Renforcer sa sécurité en renforcant ses tiers
Vos activités sont aussi fortes que le maillon le plus faible de votre chaîne de fournisseurs.
Prendre conscience de cette interdépendance est la première étape pour se protéger. La seconde, c’est de mettre en place une véritable gestion des tiers bénéfique pour votre organisation.
Chez SCAFE, nous pensons que la gestion des tiers peut être un vrai vecteur de renforcement. Notre service managé anime votre ecosystème pour s’assurer qu’il répondre aux enjeux de votre organisation !
Pour aller plus loin
Cet article est lié à l'un de nos domaines d'expertise.