Le Panorama de la cybermenace 2025 publié récemment par l’ANSSI souligne que les cybermenaces sont désormais systémiques et concernent toutes les entreprises.

En particulier, le risque cyber lié aux fournisseurs ne cesse de progresser.

Les publications récentes de l’ANSSI, de Palo Alto et de CrowdStrike sur l’évolution du paysage des cybermenaces confirment cette tendance : les attaquants exploitent de plus en plus les logiciels, les environnements cloud et les connexions SaaS-to-SaaS pour atteindre leurs cibles.

Autrement dit, une entreprise peut être exposée à un risque cyber sans être directement ciblée.

L’incident qui a touché Cegedim Santé fin 2025 illustre concrètement ce mécanisme.
Dans cet article, nous revenons sur ce cas et en tirons des enseignements pratiques, en particulier pour les PME.

ANSSI: Agence Nationale de la Sécurité des Systèmes d’Information. SaaS: Software-as-a-service.

L’essentiel

Vos fournisseurs peuvent exposer vos données, sans que vous soyez attaqué
Un logiciel du quotidien suffit à ouvrir un accès massif à vos données
Ces attaques sont discrètes, automatisées, et durent des semaines sans alerte
Votre niveau de sécurité est celui de votre maillon le plus faible

Des données accessibles sans attaque directe

L’incident Cegedim montre qu’une exposition massive de données peut survenir sans attaque directe, via des outils utilisés au quotidien.

Cegedim édite des logiciels métiers utilisés notamment par des professionnels de santé, accessibles en ligne.

Parmi eux, le logiciel MonLogicielMedical, utilisé par environ 3 800 cabinets médicaux.

Un incident majeur, mais mal compris

Contrairement aux premières interprétations, il n’y a pas eu de fuite de dossiers médicaux complets.

En revanche, des données administratives de millions de patients ont été consultées sans autorisation, et certaines informations sensibles pouvaient également apparaître dans des commentaires saisis librement.

D’après les informations disponibles :

11 à 15 millions de fiches patients ont été accessibles
environ 1 500 comptes de cabinets médicaux ont été concernés
les données exposées incluent nom, prénom, date de naissance, adresse, téléphone et e-mail

Ces données suffisent à permettre des usurpations d’identité, des tentatives d’extorsion ou des fraudes ciblées.

Ce cas pourrait sembler propre au secteur médical. Il ne l’est pas.

Un cas concret qui concerne toutes les PME

Une entreprise peut être exposée indirectement via ses logiciels tiers ou fournisseurs, même si sa sécurité interne est solide.

Ce cas ne concerne pas uniquement le secteur médical.

Les attaquants visent de plus en plus les logiciels tiers et services utilisés au quotidien, pour toucher un grand nombre d’organisations en une seule opération.

Toute entreprise qui utilise un logiciel tiers de gestion, un outil RH ou un CRM est dans cette situation. Si ce logiciel est compromis, vous subissez une cyberattaque via votre fournisseur, quelle que soit la qualité de votre sécurité interne.

Mais comment ce type d’attaque fonctionne-t-il concrètement ?

Une attaque via des comptes existants et autorisés

L’attaque consiste à utiliser un système légitime avec des accès autorisés, mais de façon automatisée et discrète.

Une attaque invisible par conception

L’incident Cegedim a été déclaré fin 2025 après l’observation d’un volume inhabituellement élevé de demandes, à un rythme et un volume de données sans commune mesure avec un usage normal.

Ce type de signal est caractéristique des attaques modernes.

L’attaquant n’a probablement pas cherché à forcer le système, il l’a utilisé comme un utilisateur normal, mais de façon automatisée et à très grande échelle.

Les conclusions de l’enquête ne sont pas finalisées, mais plusieurs scénarios sont courants dans ce type d’incident :

un mot de passe compromis et réutilisé ici,
des droits d’accès mal configurés permettant de consulter bien plus de données que prévu, ou
un programme automatisé qui, une fois connecté avec un accès légitime, extrait les données en continu et en silence.

Ce qui rend ces attaques dangereuses, c’est leur discrétion.

Elles peuvent durer plusieurs semaines, mois sans déclencher d’alerte, et dans certains cas, les attaquants suppriment leurs traces après coup pour ne laisser aucun indice.

Des failles banales aux conséquences massives

Ces attaques illustrent un risque cyber fournisseurs souvent sous-estimé, qui repose sur des faiblesses très courantes.

D’abord, des mécanismes de protection insuffisants : rien ne signale qu’un volume inhabituel de données est consulté, les accès sont trop larges, et les activités ne sont pas surveillées.

Ensuite, une dépendance forte aux prestataires tiers : ces fournisseurs sont souvent perçus comme des boîtes noires, auxquels on fait confiance sans vérification régulière.

Ces faiblesses, prises individuellement, semblent anodines. Combinées, elles peuvent créer les conditions d’une exposition grave et prolongée des données.

Pourquoi le risque cyber fournisseurs concerne directement votre PME

En général, les PME sont des cibles attractives pour les cyberattaquants : moins de ressources, moins de surveillance, et une confiance par défaut dans les outils utilisés.

En particulier, le risque cyber lié aux fournisseurs est plus complexe qu’une attaque classique : il est indirect, difficile à détecter, et souvent impossible à anticiper seul.

Face à ce risque, les PME sont doublement exposées : elles ont moins de capacité qu’une grande entreprise pour en absorber les conséquences, et moins de levier pour imposer des obligations de transparence à leurs fournisseurs.

1. Une dépendance forte à des outils que vous ne maîtrisez pas

Vos données sont en partie hébergées chez vos fournisseurs, sans visibilité sur leur niveau de sécurité, et sans équipe dédiée pour le vérifier.

2. Aucun contrôle sur ce qui se passe en cas d’incident chez un fournisseur

Si un de vos fournisseurs est compromis, vous ne pouvez ni l’anticiper, ni intervenir, ni limiter les dégâts en temps réel.

3. Une attaque qui cible votre fournisseur vous touche automatiquement

Vous n’êtes pas visé directement, mais les conséquences sont les mêmes. Vos données sont exposées, sans que vous ayez fait quoi que ce soit de mal.

4. Votre niveau de sécurité est celui de votre maillon le plus faible

Même si votre entreprise est bien protégée en interne, une faille chez un éditeur ou un prestataire suffit à exposer vos données.

5. Un incident chez un fournisseur peut durer des semaines avant de vous être signalé

Vous dépendez de votre fournisseur pour être informé. Sans moyens de détection indépendants, vous pouvez rester exposé sans le savoir.

Ce que vous pouvez faire concrètement

Réduire le risque cyber lié aux logiciels tiers et aux fournisseurs passe par une meilleure détection, une évaluation régulière des faiblesses et un contrôle des accès aux données.

Ces mesures peuvent sembler complexes. En pratique, elles reposent sur quelques mesures concrètes.

1. Détecter plus tôt ce qui est anormal

Dans beaucoup d’organisations, des usages anormaux des outils ou des logiciels passent inaperçus faute de surveillance des usages.

2. Identifier ses faiblesses régulièrement

Certaines vulnérabilités dans les systèmes ou les logiciels tiers restent invisibles au quotidien, faute d’évaluation régulière.

3. Réduire l’impact en cas d’incident

Plus les données sont nombreuses, accessibles et centralisées dans les outils, plus les conséquences d’un incident de sécurité sont difficiles à contenir, et coûteuses à gérer.

4. Éviter les accès trop larges

Des droits d’accès aux outils ou aux données plus étendus que nécessaire augmentent directement le volume de données exposées en cas d’incident. La politique du moindre privilège est indispensable ici.

Êtes-vous prêt ?

Vous ne serez probablement pas attaqué directement, mais vous serez exposé si vous ne maîtrisez pas la sécurité de vos outils et de vos fournisseurs.

Avez-vous une visibilité réelle sur vos fournisseurs ?

Avez-vous réalisé un audit sécurité fournisseurs, même partiel ?

Maîtrisez-vous réellement les données que vous stockez ?

Savez-vous quelles informations sensibles sont présentes dans vos outils, et pourquoi ?

Seriez-vous capable de détecter une situation anormale ?

Ou ce type d’activité pourrait-il passer inaperçu pendant plusieurs semaines ?

En résumé

La cybersécurité d’une PME dépend désormais aussi de ses fournisseurs, c’est ce qu’on appelle la sécurité supply chain.

Le risque cyber ne vient plus uniquement de l’extérieur. Il peut être intégré directement dans les outils que vous utilisez et auxquels vous faites confiance.

Autrement dit, il ne s’agit plus seulement de se protéger, mais de maîtriser les actifs et les dépendances sur lesquels repose votre activité.

Si un risque cyber peut venir de vos fournisseurs, vous pouvez aussi être source de risque et affecter vos clients et partenaires.

Auteur
Stéphane HIVERT
Spécialiste Cybersécurité PME
Spécialiste Secteurs E-commerce, Industrie

Contributeur
Lai LY
Spécialiste Gouvernance Cybersécurité PME
Spécialiste Secteur Services Financiers

Quels sont vos angles morts fournisseurs ?

Dans la plupart des PME, la sécurité liée aux logiciels tiers ou aux fournisseurs, est traitée de manière partielle, lorsqu’elle est traitée.

C’est précisément là qu’un accompagnement spécialisé permet de faire la différence.

Chez LINARIS, nous accompagnons les dirigeants de PME pour structurer leur gestion du risque cyber lié aux fournisseurs et aux logiciels tiers, et identifier leurs dépendances critiques.

Nous les aidons à s’aligner, de manière proportionnée, avec les exigences ANSSI, DORA et NIS2.

Un premier échange permet généralement de mettre en lumière des angles morts qui passent souvent inaperçus.

[Contactez-nous]

Disclaimer

Ce rapport est fourni à titre informatif uniquement et reflète l’opinion de son auteur à la date de l’analyse. Il ne constitue pas un avis juridique ou réglementaire et ne garantit pas l’absence de risques ou de vulnérabilités. Les menaces et niveaux de risque peuvent évoluer dans le temps. Toute décision prise sur la base de ce rapport relève de la seule responsabilité du lecteur.