Risque Cyber Supply-Chain #1 : comment vos fournisseurs vous exposent

Read in Eng­lish

Le Panora­ma de la cyber­me­n­ace 2025 pub­lié récem­ment par l’ANSSI souligne que les cyber­me­n­aces sont désor­mais sys­témiques et con­cer­nent toutes les entre­pris­es.

En par­ti­c­uli­er, le risque cyber lié aux four­nisseurs ne cesse de pro­gress­er.

Les pub­li­ca­tions récentes de l’ANSSI, de Palo Alto et de Crowd­Strike sur l’évolution du paysage des cyber­me­n­aces con­fir­ment cette ten­dance : les attaquants exploitent de plus en plus les logi­ciels, les envi­ron­nements cloud et les con­nex­ions SaaS-to-SaaS pour attein­dre leurs cibles.

Autrement dit, une entre­prise peut être exposée à un risque cyber sans être directe­ment ciblée.

L’incident qui a touché Ceged­im San­té fin 2025 illus­tre con­crète­ment ce mécan­isme.
Dans cet arti­cle, nous revenons sur ce cas et en tirons des enseigne­ments pra­tiques, en par­ti­c­uli­er pour les PME.

ANSSI : Agence Nationale de la Sécu­rité des Sys­tèmes d’Information. SaaS : Soft­ware-as-a-ser­vice.

L’essentiel

  • Vos four­nisseurs peu­vent expos­er vos don­nées, sans que vous soyez attaqué
  • Un logi­ciel du quo­ti­di­en suf­fit à ouvrir un accès mas­sif à vos don­nées
  • Ces attaques sont dis­crètes, automa­tisées, et durent des semaines sans alerte
  • Votre niveau de sécu­rité est celui de votre mail­lon le plus faible

Des données accessibles sans attaque directe

L’incident Ceged­im mon­tre qu’une expo­si­tion mas­sive de don­nées peut sur­venir sans attaque directe, via des out­ils util­isés au quo­ti­di­en.

Ceged­im édite des logi­ciels métiers util­isés notam­ment par des pro­fes­sion­nels de san­té, acces­si­bles en ligne.

Par­mi eux, le logi­ciel Mon­Logi­cielMed­ical, util­isé par env­i­ron 3 800 cab­i­nets médi­caux.

Un incident majeur, mais mal compris

Con­traire­ment aux pre­mières inter­pré­ta­tions, il n’y a pas eu de fuite de dossiers médi­caux com­plets.

En revanche, des don­nées admin­is­tra­tives de mil­lions de patients ont été con­sultées sans autori­sa­tion, et cer­taines infor­ma­tions sen­si­bles pou­vaient égale­ment appa­raître dans des com­men­taires sai­sis libre­ment.

D’après les infor­ma­tions disponibles :

  • 11 à 15 mil­lions de fich­es patients ont été acces­si­bles
  • env­i­ron 1 500 comptes de cab­i­nets médi­caux ont été con­cernés
  • les don­nées exposées inclu­ent nom, prénom, date de nais­sance, adresse, télé­phone et e‑mail

Ces don­nées suff­isent à per­me­t­tre des usurpa­tions d’i­den­tité, des ten­ta­tives d’ex­tor­sion ou des fraudes ciblées.

Ce cas pour­rait sem­bler pro­pre au secteur médi­cal. Il ne l’est pas.

Un cas concret qui concerne toutes les PME

Une entre­prise peut être exposée indi­recte­ment via ses logi­ciels tiers ou four­nisseurs, même si sa sécu­rité interne est solide.

Ce cas ne con­cerne pas unique­ment le secteur médi­cal.

Les attaquants visent de plus en plus les logi­ciels tiers et ser­vices util­isés au quo­ti­di­en, pour touch­er un grand nom­bre d’or­gan­i­sa­tions en une seule opéra­tion.

Toute entre­prise qui utilise un logi­ciel tiers de ges­tion, un out­il RH ou un CRM est dans cette sit­u­a­tion. Si ce logi­ciel est com­pro­mis, vous subis­sez une cyber­at­taque via votre four­nisseur, quelle que soit la qual­ité de votre sécu­rité interne.

Mais com­ment ce type d’at­taque fonc­tionne-t-il con­crète­ment ?

Une attaque via des comptes existants et autorisés

L’attaque con­siste à utilis­er un sys­tème légitime avec des accès autorisés, mais de façon automa­tisée et dis­crète.

Une attaque invisible par conception

L’in­ci­dent Ceged­im a été déclaré fin 2025 après l’ob­ser­va­tion d’un vol­ume inhab­ituelle­ment élevé de deman­des, à un rythme et un vol­ume de don­nées sans com­mune mesure avec un usage nor­mal.

Ce type de sig­nal est car­ac­téris­tique des attaques mod­ernes.

L’at­taquant n’a prob­a­ble­ment pas cher­ché à forcer le sys­tème, il l’a util­isé comme un util­isa­teur nor­mal, mais de façon automa­tisée et à très grande échelle.  

Les con­clu­sions de l’en­quête ne sont pas final­isées, mais plusieurs scé­nar­ios sont courants dans ce type d’in­ci­dent :

  • un mot de passe com­pro­mis et réu­til­isé ici,
  • des droits d’ac­cès mal con­fig­urés per­me­t­tant de con­sul­ter bien plus de don­nées que prévu, ou
  • un pro­gramme automa­tisé qui, une fois con­nec­té avec un accès légitime, extrait les don­nées en con­tinu et en silence.

Ce qui rend ces attaques dan­gereuses, c’est leur dis­cré­tion.

Elles peu­vent dur­er plusieurs semaines, mois sans déclencher d’alerte, et dans cer­tains cas, les attaquants sup­pri­ment leurs traces après coup pour ne laiss­er aucun indice.

Des failles banales aux conséquences massives

Ces attaques illus­trent un risque cyber four­nisseurs sou­vent sous-estimé, qui repose sur des faib­less­es très courantes.

D’abord, des mécan­ismes de pro­tec­tion insuff­isants : rien ne sig­nale qu’un vol­ume inhab­ituel de don­nées est con­sulté, les accès sont trop larges, et les activ­ités ne sont pas sur­veil­lées.

Ensuite, une dépen­dance forte aux prestataires tiers : ces four­nisseurs sont sou­vent perçus comme des boîtes noires, aux­quels on fait con­fi­ance sans véri­fi­ca­tion régulière.

Ces faib­less­es, pris­es indi­vidu­elle­ment, sem­blent anodines. Com­binées, elles peu­vent créer les con­di­tions d’une expo­si­tion grave et pro­longée des don­nées.

Pourquoi le risque cyber fournisseurs concerne directement votre PME

En général, les PME sont des cibles attrac­tives pour les cyber­at­taquants : moins de ressources, moins de sur­veil­lance, et une con­fi­ance par défaut dans les out­ils util­isés.

En par­ti­c­uli­er, le risque cyber lié aux four­nisseurs est plus com­plexe qu’une attaque clas­sique : il est indi­rect, dif­fi­cile à détecter, et sou­vent impos­si­ble à anticiper seul.

Face à ce risque, les PME sont dou­ble­ment exposées : elles ont moins de capac­ité qu’une grande entre­prise pour en absorber les con­séquences, et moins de levi­er pour impos­er des oblig­a­tions de trans­parence à leurs four­nisseurs.

1. Une dépendance forte à des outils que vous ne maîtrisez pas

Vos don­nées sont en par­tie hébergées chez vos four­nisseurs, sans vis­i­bil­ité sur leur niveau de sécu­rité, et sans équipe dédiée pour le véri­fi­er.

2. Aucun contrôle sur ce qui se passe en cas d’incident chez un fournisseur

Si un de vos four­nisseurs est com­pro­mis, vous ne pou­vez ni l’an­ticiper, ni inter­venir, ni lim­iter les dégâts en temps réel.

3. Une attaque qui cible votre fournisseur vous touche automatiquement

Vous n’êtes pas visé directe­ment, mais les con­séquences sont les mêmes. Vos don­nées sont exposées, sans que vous ayez fait quoi que ce soit de mal.

4. Votre niveau de sécurité est celui de votre maillon le plus faible

Même si votre entre­prise est bien pro­tégée en interne, une faille chez un édi­teur ou un prestataire suf­fit à expos­er vos don­nées.

5. Un incident chez un fournisseur peut durer des semaines avant de vous être signalé

Vous dépen­dez de votre four­nisseur pour être infor­mé. Sans moyens de détec­tion indépen­dants, vous pou­vez rester exposé sans le savoir.

Ce que vous pouvez faire concrètement

Réduire le risque cyber lié aux logi­ciels tiers et aux four­nisseurs passe par une meilleure détec­tion, une éval­u­a­tion régulière des faib­less­es et un con­trôle des accès aux don­nées.

Ces mesures peu­vent sem­bler com­plex­es. En pra­tique, elles reposent sur quelques mesures con­crètes.

1. Détecter plus tôt ce qui est anormal

Dans beau­coup d’organisations, des usages anor­maux des out­ils ou des logi­ciels passent inaperçus faute de sur­veil­lance des usages.

2. Identifier ses faiblesses régulièrement

Cer­taines vul­néra­bil­ités dans les sys­tèmes ou les logi­ciels tiers restent invis­i­bles au quo­ti­di­en, faute d’évaluation régulière.

3. Réduire l’impact en cas d’incident

Plus les don­nées sont nom­breuses, acces­si­bles et cen­tral­isées dans les out­ils, plus les con­séquences d’un inci­dent de sécu­rité sont dif­fi­ciles à con­tenir, et coû­teuses à gér­er.

4. Éviter les accès trop larges

Des droits d’accès aux out­ils ou aux don­nées plus éten­dus que néces­saire aug­mentent directe­ment le vol­ume de don­nées exposées en cas d’incident. La poli­tique du moin­dre priv­ilège est indis­pens­able ici.

Êtes-vous prêt ?

Vous ne serez prob­a­ble­ment pas attaqué directe­ment, mais vous serez exposé si vous ne maîtrisez pas la sécu­rité de vos out­ils et de vos four­nisseurs.

Avez-vous une visibilité réelle sur vos fournisseurs ?

Avez-vous réal­isé un audit sécu­rité four­nisseurs, même par­tiel ?

Maîtrisez-vous réellement les données que vous stockez ?

Savez-vous quelles infor­ma­tions sen­si­bles sont présentes dans vos out­ils, et pourquoi ?

Seriez-vous capable de détecter une situation anormale ?

Ou ce type d’activité pour­rait-il pass­er inaperçu pen­dant plusieurs semaines ?

En résumé

La cyber­sécu­rité d’une PME dépend désor­mais aus­si de ses four­nisseurs, c’est ce qu’on appelle la sécu­rité sup­ply chain.

Le risque cyber ne vient plus unique­ment de l’extérieur. Il peut être inté­gré directe­ment dans les out­ils que vous utilisez et aux­quels vous faites con­fi­ance.

Autrement dit, il ne s’agit plus seule­ment de se pro­téger, mais de maîtris­er les act­ifs et les dépen­dances sur lesquels repose votre activ­ité.

Si un risque cyber peut venir de vos four­nisseurs, vous pou­vez aus­si être source de risque et affecter vos clients et parte­naires. C’est l’ob­jet de notre arti­cle “Risque Cyber Sup­ply Chain #2 : quand vous exposez vos parte­naires”

Auteur
Stéphane HIVERT
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste Secteurs E‑commerce, Indus­trie

Con­tribu­teur
Lai LY
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME
Spé­cial­iste Secteur Ser­vices Financiers

Quels sont vos angles morts fournisseurs ?

Dans la plu­part des PME, la sécu­rité liée aux logi­ciels tiers ou aux four­nisseurs, est traitée de manière par­tielle, lorsqu’elle est traitée.

C’est pré­cisé­ment là qu’un accom­pa­g­ne­ment spé­cial­isé per­met de faire la dif­férence.

Chez LINARIS, nous accom­pa­gnons les dirigeants de PME pour struc­tur­er leur ges­tion du risque cyber lié aux four­nisseurs et aux logi­ciels tiers, et iden­ti­fi­er leurs dépen­dances cri­tiques.

Nous les aidons à s’aligner, de manière pro­por­tion­née, avec les exi­gences ANSSI, DORA et NIS2.

Un pre­mier échange per­met générale­ment de met­tre en lumière des angles morts qui passent sou­vent inaperçus.

[Con­tactez-nous]

Disclaimer

Ce rap­port est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à la date de l’analyse. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne garan­tit pas l’absence de risques ou de vul­néra­bil­ités. Les men­aces et niveaux de risque peu­vent évoluer dans le temps. Toute déci­sion prise sur la base de ce rap­port relève de la seule respon­s­abil­ité du lecteur.

Publications similaires