Risque Cyber Supply-Chain #2 : quand vous exposez vos partenaires

Dans notre arti­cle « Risque Cyber Sup­ply-Chain #1 : com­ment vos four­nisseurs vous exposent », nous avons dis­cuté du risque cyber lié aux four­nisseurs de logi­ciels en par­ti­c­uli­er, à la suite de l’incident Ceged­im en décem­bre 2025.

Or, un four­nisseur, quel que soit son secteur d’activité, peut propager un risque cyber. Sous-trai­tants ou four­nisseurs indus­triels, logis­tiques, prestataires admin­is­trat­ifs ou cab­i­nets de con­seil, tous peu­vent devenir un point d’entrée, un relais ou un fac­teur de blocage.

Surtout, le risque ne con­cerne pas unique­ment les four­nisseurs IT. Secu­ri­tyScore­card estime que 46,75 % des vio­la­tions de don­nées liées à des tiers impliquent des pro­duits ou ser­vices tech­nologiques. Donc, plus de la moitié des cas étudiés relèvent de four­nisseurs non-IT.

Dans ce deux­ième arti­cle, nous mon­trons, à par­tir d’exemples con­nus, que le risque cyber sup­ply chain ne provient pas unique­ment des four­nisseurs numériques. Une entre­prise non numérique peut, elle aus­si, expos­er ses clients, four­nisseurs et parte­naires.

L’essentiel

  • Le risque cyber sup­ply-chain ne vient pas que des four­nisseurs numériques : tout parte­naire inté­gré au quo­ti­di­en d’un client peut devenir un relais
  • Vous propagez un inci­dent de trois façons : par les don­nées que vous détenez, par la con­fi­ance qu’on vous accorde, ou par la presta­tion dont vos clients dépen­dent
  • Vous devenez un mail­lon faible non parce que vous êtes stratégique, mais parce que vous êtes déjà con­nu et accep­té
  • Pre­mière étape : savoir quelles don­nées, quels accès et quelles presta­tions font de vous un point d’en­trée pos­si­ble

Pourquoi le risque cyber supply chain progresse ? La complexité

Le risque cyber sup­ply-chain pro­gresse parce que les entre­pris­es sont dev­enues plus inter­con­nec­tées, plus exter­nal­isées et donc plus dépen­dantes les unes des autres.

Les chiffres con­fir­ment cette évo­lu­tion. Selon le Ver­i­zon DBIR 2025, les vio­la­tions de don­nées impli­quant des tiers ont dou­blé pour attein­dre 30 % à fin 2024. Le Secu­ri­tyScore­card Glob­al Third-Par­ty Breach Report 2025 va dans le même sens : 35,5 % des vio­la­tions de don­nées analysées en 2024 impliquent un tiers. Le World Eco­nom­ic Forum indique par ailleurs que 65 % des grandes organ­i­sa­tions con­sid­èrent la ges­tion du risque tiers et sup­ply chain comme un obsta­cle majeur à leur cyber-résilience (Glob­al Cyber­se­cu­ri­ty Out­look 2026, jan­vi­er 2026).

1. Les outils numériques multiplient les points de contact

Dans presque toutes les entre­pris­es, l’activité repose aujourd’hui sur de nom­breux out­ils con­nec­tés, par exem­ple ERP, logi­ciels de fac­tura­tion, CRM, out­ils RH, plate­formes col­lab­o­ra­tives, objets con­nec­tés, solu­tions cloud ou ser­vices d’intelligence arti­fi­cielle.

Ces out­ils facili­tent le tra­vail quo­ti­di­en, mais ils créent aus­si de nou­veaux points de con­tact avec des tiers. Le cyber­at­taquant n’a pas tou­jours besoin de forcer directe­ment l’entreprise cible. Il peut com­pro­met­tre un parte­naire déjà accep­té dans l’environnement de la cible.

2. L’externalisation rend les dépendances plus nombreuses

La com­plex­ité ne vient pas seule­ment de la tech­nolo­gie. Elle vient aus­si des mod­èles économiques. De nom­breuses fonc­tions sont con­fiées à des prestataires devenus essen­tiels au fonc­tion­nement de l’entreprise : main­te­nance, logis­tique, paie, compt­abil­ité, sup­port infor­ma­tique, trans­port, ges­tion admin­is­tra­tive et même pro­duc­tion.

Plus les exter­nal­i­sa­tions se mul­ti­plient, plus elles allon­gent la chaîne d’approvisionnement. Une entre­prise peut ain­si dépen­dre d’un four­nisseur de rang 1, lui-même dépen­dant de four­nisseurs de rang 2 ou 3. La maîtrise de la chaîne en matière de cyber­sécu­rité devient d’autant plus com­plexe.

Dans cer­tains secteurs — indus­trie, auto­mo­bile, aéro­nau­tique, san­té, agroal­i­men­taire ou dis­tri­b­u­tion -, ces chaînes sont par­ti­c­ulière­ment pro­fondes et frag­men­tées. Le Secu­ri­tyScore­card Glob­al Third-Par­ty Breach Report 2025 pré­cise par exem­ple que 4,5 % des vio­la­tions étudiées s’étendent à des « qua­trièmes par­ties », c’est-à-dire à des sous-trai­tants ou four­nisseurs de four­nisseurs.

De plus, lorsque cer­tains mail­lons sont situés dans d’autres pays, la maîtrise devient encore plus dif­fi­cile : pra­tiques de sécu­rité et oblig­a­tions régle­men­taires dif­férentes, délais de réac­tion plus longs ou vis­i­bil­ité plus lim­itée.

3. Les relations de confiance facilitent la propagation

Dans une chaîne d’approvisionnement, les entre­pris­es se con­nais­sent, échangent régulière­ment et s’accordent une con­fi­ance opéra­tionnelle.

C’est pré­cisé­ment cette con­fi­ance que les attaquants exploitent. Un parte­naire com­pro­mis peut servir à expos­er les don­nées des autres mail­lons de la chaîne, à ren­dre une fraude plus crédi­ble ou à blo­quer une activ­ité dépen­dante.

C’est là qu’apparaît l’effet cas­cade des inci­dents. Selon le Black Kite 2026 Third-Par­ty Breach Report, l’effet mul­ti­pli­ca­teur dépasse 5x en 2025 : un four­nisseur com­pro­mis a entraîné, en moyenne, 5,3 organ­i­sa­tions impactées en aval. 

Cette prop­a­ga­tion reste dif­fi­cile à maîtris­er, car beau­coup d’organisations man­quent encore de vis­i­bil­ité sur leurs tiers (four­nisseurs, sous-trai­tants, parte­naires). KPMG cite notam­ment la com­plex­ité des chaînes, des con­trôles con­tractuels insuff­isants et des ressources lim­itées dans les PME.

Une entre­prise peut donc devenir un point d’entrée, un relais ou un fac­teur de blocage, même si elle n’était pas la cible prin­ci­pale.

Trois façons dont une PME peut exposer ses partenaires

Les inci­dents cyber dans la sup­ply chain ne se propa­gent pas tous de la même manière. Cer­tains exposent des don­nées, d’autres exploitent la con­fi­ance entre parte­naires, d’autres encore blo­quent l’activité.

Dans cha­cun des trois scé­nar­ios ci-dessous, une entre­prise qui con­serve des don­nées clients, échange des doc­u­ments sen­si­bles, dis­pose d’un accès chez un don­neur d’ordre ou four­nit une presta­tion indis­pens­able peut devenir le mail­lon par lequel un inci­dent se propage.

Pre­mier scé­nario : votre entre­prise détient ou traite des don­nées pour ses clients. Si elle est com­pro­mise, ce ne sont pas seule­ment ses pro­pres don­nées qui sont exposées, mais aus­si celles de ses clients.

Le cas Capi­ta, au Roy­aume-Uni, illus­tre ce mécan­isme. Capi­ta est un prestataire d’externalisation de ser­vices admin­is­trat­ifs. En 2023, l’entreprise a subi une cyber­at­taque ayant entraîné le vol de don­nées per­son­nelles. L’autorité bri­tan­nique de pro­tec­tion des don­nées indique que 6,6 mil­lions de per­son­nes ont été con­cernées et que 325 organ­i­sa­tions clientes de Capi­ta Pen­sion Solu­tions ont été impactées.

Il suf­fit donc que les don­nées de vos clients soient chez vous pour que votre com­pro­mis­sion devi­enne aus­si leur prob­lème. C’est sou­vent le cas d

Deux­ième scé­nario : vos clients vous font con­fi­ance. Ils ouvrent vos e‑mails, acceptent vos fac­tures, recon­nais­sent vos inter­locu­teurs et peu­vent vous don­ner accès à cer­tains out­ils.

Le cas Tar­get reste l’un des exem­ples les plus par­lants, et tou­jours actuel. En 2013, les attaquants sont entrés dans l’environnement de Tar­get en util­isant des iden­ti­fi­ants volés à Fazio Mechan­i­cal Ser­vices, un prestataire de chauffage, ven­ti­la­tion et réfrigéra­tion. Ce four­nisseur n’était pas un édi­teur logi­ciel cri­tique : c’était un prestataire méti­er déjà recon­nu par son client.

Dans une PME, ce scé­nario peut être très sim­ple : une boîte mail com­pro­mise, une fausse fac­ture envoyée depuis une vraie adresse, ou un accès client con­servé trop longtemps. Votre entrep

Troisième scé­nario : votre entre­prise four­nit un ser­vice, une pièce, une presta­tion ou une infor­ma­tion néces­saire à l’activité d’un client. Si elle est blo­quée, votre client peut l’être aus­si.

Le cas Toy­ota / Koji­ma Indus­tries illus­tre cette prop­a­ga­tion opéra­tionnelle. En 2022, Toy­ota a sus­pendu l’activité de 28 lignes de pro­duc­tion dans 14 usines au Japon après une défail­lance chez Koji­ma Indus­tries, l’un de ses four­nisseurs de pièces en plas­tique et de com­posants élec­tron­iques. Toy­ota a ensuite con­fir­mé que Koji­ma avait subi une cyber­at­taque. Reuters indi­quait que l’arrêt représen­tait env­i­ron 13 000 véhicules de pro­duc­tion.

Le même mécan­isme peut se pro­duire à plus petite échelle. Un four­nisseur de pièces, un prestataire logis­tique ou un prestataire de main­te­nance peu­vent devenir cri­tiques pour un client sans être perçus comme tels. Si leur activ­ité s’arrête, celle du client peut être ralen­tie ou blo­quée. Il n’est pas néces­saire qu’un atta

Ce que ces trois cas montrent

Ces exem­ples sont dif­férents, mais ils mon­trent tous qu’une PME peut expos­er ses parte­naires non parce qu’elle est une cible stratégique, mais parce qu’elle est déjà inté­grée dans leur fonc­tion­nement quo­ti­di­en.

La prop­a­ga­tion peut pass­er par les don­nées qu’elle détient, la con­fi­ance qu’on lui accorde ou la dépen­dance opéra­tionnelle que ses clients ont vis-à-vis d’elle. Le risque cyber sup­ply chain ne provient pas unique­ment des four­nisseurs numériques.

Comment éviter de devenir un risque cyber pour vos clients ?

L’en­jeu n’est plus seule­ment de pro­téger son pro­pre sys­tème d’in­for­ma­tion, mais aus­si de com­pren­dre com­ment un inci­dent chez vous pour­rait touch­er vos clients, four­nisseurs ou parte­naires.

Voici nos trois pistes.

Une PME peut expos­er ses parte­naires par les don­nées qu’elle détient, les accès qu’elle utilise, la con­fi­ance qu’on lui accorde ou les ser­vices dont ses clients dépen­dent. Le prob­lème c’est que ces expo­si­tions sont rarement vis­i­bles.

Deman­dez-vous, si par exem­ple, vous con­servez des don­nées clients ou des accès anciens sans les juger sen­si­bles ou si vous échangez des doc­u­ments con­fi­den­tiels par habi­tude. Est-ce-que vous devenez cri­tique pour un client sans l’avoir for­mal­isé ?

Toutes les PME ne représen­tent pas le même risque pour leurs clients. Tout dépend des don­nées qu’elles déti­en­nent, des accès qu’elles utilisent et des presta­tions dont leurs clients dépen­dent. La pre­mière étape est de cern­er pré­cisé­ment le rôle que vous jouez chez vos clients.

Deman­dez-vous quelles infor­ma­tions vous recevez, quels accès vous utilisez, quelles presta­tions vous ren­dez, et ce qui se passerait chez eux si vous étiez com­pro­mis ou indisponible.

De plus en plus de don­neurs d’or­dre regar­dent, au-delà du prix et des délais, la capac­ité du prestataire à pro­téger les don­nées, les accès et la con­ti­nu­ité de ser­vice. Pour une PME, savoir expli­quer son niveau de maîtrise cyber et ses dépen­dances cri­tiques ras­sure les clients.

Prenez les devants. Faites le point sur l’é­tat de votre cyber­sécu­rité, iden­ti­fi­er les failles et les risques, met­tez en place les mesures adap­tées et soyez prêt à les prou­ver.

En conclusion

Le risque cyber sup­ply-chain ne vient pas que des four­nisseurs numériques. N’im­porte quelle entre­prise inté­grée à une chaîne peut propager un inci­dent par les don­nées qu’elle détient, par la con­fi­ance qu’on lui accorde ou par la con­ti­nu­ité d’ac­tiv­ité dont ses clients dépen­dent. Une PME devient rarement un mail­lon faible parce qu’elle est une cible stratégique, mais parce qu’elle est déjà instal­lée dans le quo­ti­di­en de ses parte­naires.

Cet arti­cle a regardé une seule direc­tion : com­ment vous exposez vos clients. Dans notre arti­cle Cyber Risque Sup­ply-Chain #1 nous avons évo­qué le cas où vos four­nisseurs numériques vous expose.

On peut alors se deman­der : dans une chaîne de valeur où cha­cun expose et est exposé, qui porte la respon­s­abil­ité de la sécuris­er ?

Auteur
Stéphane Hivert
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste Secteurs E‑commerce, Indus­trie

Con­tribu­teur
Lai Ly
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME
Spé­cial­iste Secteurs Ser­vices Financiers

Si votre PME était compromise ou bloquée demain, quels clients seraient exposés, et comment ?


Chez LINARIS, nous aidons les dirigeants de PME à répon­dre con­crète­ment à cette ques­tion : com­pren­dre votre rôle dans la chaîne de valeur de vos clients, iden­ti­fi­er les risques que vous pour­riez leur faire peser, puis pri­oris­er les mesures réelle­ment utiles. Pas de chantier infi­ni ni de check­list générique, mais une analyse adap­tée à votre activ­ité réelle, qui va à l’essen­tiel.

Vous voulez savoir où votre entre­prise pour­rait expos­er ses clients ?
Con­tactez-nous pour un diag­nos­tic cyber.

Disclaimer

Ce rap­port est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à la date de l’analyse. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne garan­tit pas l’absence de risques ou de vul­néra­bil­ités. Les men­aces et niveaux de risque peu­vent évoluer dans le temps. Toute déci­sion prise sur la base de ce rap­port relève de la seule respon­s­abil­ité du lecteur.

Publications similaires