« La confiance est un risque que vous prenez. Surtout quand vous l’accordez à un prestataire qui utilise encore “123456” comme mot de passe admin. » — SecuSlice, 2025
Bienvenue dans le merveilleux monde de la cybersécurité des chaînes d’approvisionnement, où la roulette russe est un sport d’entreprise et les audits un jeu de cache-cache. L’alerte du jour ? Une entreprise sur deux aurait subi au moins deux incidents liés à un prestataire en moins d’un an.
Vous pensiez qu’un seul incident c’était grave ? Et bien deux, c’est la nouvelle norme. Et ce n’est pas (que) moi qui le dis, ce sont les données.
📉 Une confiance aveugle, pour un aveuglement total
90% des professionnels britanniques interrogés par Risk Ledger identifient les incidents liés à la supply chain comme l’une des principales menaces pour 2025. Et pourtant… le même rapport montre que seuls 38% des fournisseurs ont une politique de cybersécurité décente et documentée.
On est donc dans ce merveilleux paradoxe : on craint le feu, mais on continue de danser autour de la cheminée en jetant des copeaux d’OS non patchés dedans.
🧩 Petit rappel : c’est la faute du prestataire (mais c’est toujours votre boîte qui trinque)
Ce n’est pas la première fois qu’on alerte sur le sujet. Souvent dans notre articles on décortique un cas d’école : un tiers technique, missionné pour “simplifier les accès”, qui laisse une porte SSH grande ouverte, sans MFA, avec accès root.
Résultat : fuite massive, données sensibles exposées, et des managers qui découvrent en panique ce qu’est un SIEM.
Dans “Prestataires IT : Obligations Cyber”, on détaillait les obligations légales et contractuelles qui s’appliquent aux partenaires externes, et surtout les angles morts juridiques dans lesquels beaucoup aiment se réfugier dès qu’un incident survient. Spoiler : le RGPD ne fait pas de cadeau.
Et que dire de notre incontournable “Supply Chain & Cybersécurité : la faille invisible qui fait tomber les géants”, où l’on passait au crible les impacts d’un incident en cascade. Vous vous souvenez de Kaseya ? SolarWinds ? MoveIt ? Des masterclass en démultiplication de l’impact via la chaîne logistique numérique.
💥 Le problème ? Vous auditez des documents, pas des pratiques
Les DSI reçoivent fièrement le “Security Policy.pdf” du prestataire, daté de 2021, tamponné ISO 27001, et s’en contentent. Pourtant :
- Le fichier est signé par un RSSI qui a quitté la boîte depuis deux ans ;
- Le plan de continuité cite encore Windows Server 2008 ;
- Et le “plan de réponse à incident” tient sur un post-it. (Voir notre fiche pratique)
Mais comme le fichier a été joint dans le ticket, tout le monde est content. Enfin, jusqu’à ce que le prestataire tombe, et vous avec.
🧠 Données du rapport : ce que ça dit de nous (et de vous)
Quelques chiffres glanés dans l’étude :
- 1 fournisseur sur 10 seulement a été audité à distance par son client.
- Moins de 30% ont un contrôle sur les sous-traitants de leurs fournisseurs.
- Et seuls 15% intègrent des clauses cyber détaillées dans les contrats.
C’est donc bien pire que ce que vous imaginiez. Et cela confirme une vérité immuable : la sécurité, dans la supply chain, c’est comme la culture de l’hygiène dans une cuisine de fast-food. Tant qu’il n’y a pas de cafard visible, on suppose que c’est propre.
🧱 Alors, que faire ? (spoiler : pas seulement prier)
Soyons constructifs. Voici quelques pistes concrètes — qu’on a déjà listées dans nos anciens dossiers, mais que manifestement il faut encore marteler :
✅ 1. Stop aux audits papier : faites du runtime audit
Utilisez des outils de vérification continue (CrowdStrike, Panorays, UpGuard…). Un fichier PDF ne remplace pas un scan de surface d’attaque.
✅ 2. Intégrez vos prestataires à votre cartographie de risques
Vos prestataires sont votre périmètre. Pas à côté. Pas après. Dedans. Donc oui, ça veut dire qu’il faut les intégrer à vos revues régulières.
✅ 3. Faites signer des clauses cyber opposables
Clauses de sécurité, de conformité NIS2, de PRA/PCA, de RTO/RPO… Et en cas de non-respect : pénalités.
✅ 4. Exigez une réponse à incident conjointe
Un prestataire ne peut pas se contenter de vous “notifier”. Il doit agir avec vous. Sinon, vous êtes juste les figurants d’un film catastrophe dont il est le scénariste.
🧨 Une dernière pour la route : le risque systémique
Ce n’est plus un sujet IT, c’est un sujet de gouvernance. Car aujourd’hui, un seul prestataire infecté, c’est :
- Une interruption de service ;
- Une faille de conformité ;
- Une exposition réglementaire ;
- Une crise de réputation.
Et à l’échelle d’un groupe, cela devient vite un risque systémique. Les cyberassureurs ne s’y trompent pas : ils augmentent leurs primes ou sortent tout simplement du marché.
🧾 Conclusion : “ce n’est pas chez nous que ça a fui” n’est plus une défense
Le storytelling classique — “ce n’est pas nous, c’est notre prestataire” — ne passe plus auprès des régulateurs, des clients ni des journalistes.
En 2025, ignorer la sécurité de votre chaîne d’approvisionnement, c’est de la négligence opérationnelle. Point.
👉 Rendez-vous dans notre dossier “Obligations Cyber” pour une checklist complète des clauses à insérer dans vos contrats fournisseurs, et dans “Faille invisible de la supply chain” pour comprendre comment un simple accès SFTP mal géré peut paralyser toute une organisation.
Et comme toujours : mieux vaut prévenir que reconstruire en urgence après un ransomware qui traînait dans le prestataire numéro 7 de votre ERP.
