Risques cyber des fournisseurs : pourquoi les prestataires deviennent la faille n°1 des grandes entreprises
Dans un contexte de tensions économiques et de fragmentations géopolitiques, la cybersécurité est devenue une préoccupation majeure. Si les grands groupes ont mis en place des systèmes de protection robustes, les failles proviennent souvent de leurs prestataires. Comment s’assurer de la conformité des multiples fournisseurs et limiter au maximum les risques d’attaques numériques ? Quels sont les principaux challenges à relever pour prévenir les risques cyber des fournisseurs ? Spécialisé dans la cybersécurité, la protection des données et la conformité réglementaire, Maxime Oliva, CEO de TEKID, société du groupe VISEO, répond à nos questions.
Risques cyber des fournisseurs et supply chain : pourquoi renforcer la vigilance ?
Ce risque a toujours existé mais la transformation numérique et l’hyperdépendance à la technologie l’ont accentué. La digitalisation s’est immiscée partout et en profondeur. Dans tous les domaines, les entreprises rencontrent les mêmes enjeux que des acteurs de la tech comme SAP ou Cegid.
Entre les intégrateurs, les éditeurs de logiciels, les prestataires de support et de maintenance informatique ou ceux de cleaning ou de restauration, les sociétés se retrouvent à devoir gérer des milliers de fournisseurs numériques. Or chaque maillon crée un risque, il suffit d’un accès corrompu pour toucher l’intégralité de la chaîne.
Pouvez-vous citer des exemples de risques ou d’attaques dont vous avez été témoin ?
Certaines ont fait la une des journaux. Le logiciel de transfert MOVEit a compromis des milliers de clients. L’attaque contre le fournisseur IT SolarWinds a eu des répercussions jusque sur le géant Microsoft. Les hackers veulent récupérer les données et les accès des grands groupes mais pour les atteindre ils passent par le biais de leurs fournisseurs, plus faillibles en termes de sécurité.
Les agences marketing par exemple, qui se voient confier des listes entières de clients pour leurs campagnes de promotion, figurent parmi les cibles privilégiées. C’est un double bénéfice : non seulement les hackers atteignent leur cible mais en plus, ils en touchent des centaines d’autres.
Quelles perspectives pour les prochaines années ? Ces attaques vont-elles s’accentuer ?
Les perspectives ne sont pas très bonnes. La data est un or binaire… Les hackers profitent d’un marché encore très fragmenté, avec des acteurs hyperspécialisés sur une problématique en particulier pour se servir. C’est un peu comme si les banques laissaient leurs coffres-forts ouverts sur la rue. Par ailleurs les enjeux liés à la souveraineté numérique (ou cybersouveraineté) sont de plus en plus forts. Les États comptent sur la responsabilité des entreprises, c’est un vrai game changer. Aujourd’hui, lorsqu’une entreprise est victime d’un piratage, elle peut déposer plainte, mais se voit souvent opposer la question du respect de ses obligations légales et réglementaires. Ces questions vont devenir des champs d’investissements prioritaires pour les grandes entreprises.
Comment prévenir ces risques ?
Dans le domaine du « risk management », il n’y a pas de nouveauté, les mêmes solutions existent depuis des décennies. Il faut réaliser des évaluations continues et s’assurer d’être contractuellement bien protégé. En revanche, il y a tout intérêt à réfléchir à la méthode employée. Là, il est possible de s’améliorer, voire même d’innover. Les grands groupes ont mis en place des protocoles de validation, de vendor onboarding, pour filtrer leurs fournisseurs. Or les questionnaires utilisés, présentés sous forme de checklists, ne prémunissent pas des risques. Une société n’a pas besoin d’être réellement au niveau pour donner la bonne réponse, il faut donc effectuer des audits et vérifier les informations fournies. Les cabinets de conseil reviennent extrêmement cher d’autant plus que le nombre de fournisseurs a explosé. En effet, les sociétés du CAC 40 ont à faire avec plus de 50 000 fournisseurs à travers le monde. Face à cette nouvelle réalité, il faut être capable de naviguer entre le service qualitatif et l’automatisation de manière intelligente. Et cela, en s’adaptant à une telle échelle. C’est un enjeu majeur.
Comment résoudre cette question d’échelle ?
Plusieurs questions se posent. Comment automatiser ? Comment responsabiliser les fournisseurs et alléger nos clients ? Comment faire face à une telle complexité ? Les clients ont besoin de pouvoir simplifier les démarches mais aussi d’avoir de la visibilité. Une société comme TEKID évalue les informations données par les fournisseurs puis les transmet sous forme de résumés exécutifs. Toutes les informations clés sont regroupées sur une page. Une supervision s’avère également indispensable. Il est nécessaire de jouer sur les données de deux manières. Chaque donnée doit être managée, sinon elle devient une fuite potentielle.
Il faut à la fois les segmenter (distinguer ce qui appartient aux RH, à l’IT, à la finance…) et adopter des solutions transversales pour obtenir une vue d’ensemble. Dernier point : aucun fournisseur ne doit être négligé, il faut avoir de la visibilité sur l’intégralité des prestataires. Les clients ont tendance à se concentrer sur un top 3 pour des raisons de budget… C’est prendre trop de risques.
En 2025, les entreprises ne semblaient pas prêtes par rapport à certaines directives réglementaires. Où en sont-elles en ce début 2026 ?
C’est très simple : un grand groupe doit répondre au RGPD, à la loi Dora, à la loi de programmation militaire, aux exigences de la CNIL… Et j’évoque ici seulement la France et les quatre textes majeurs. Or il doit aussi répondre aux exigences des autres pays européens, de la Chine, de la Russie et des États-Unis. Pour les entreprises, c’est un cauchemar. Comment un groupe du CAC 40 peut-il s’assurer de la conformité de ses milliers de fournisseurs ? Autre difficulté : les fournisseurs aux activités de niche se voient imposer des obligations de grands groupes et la plupart ne peuvent pas franchir un tel mur, il leur faut un vrai accompagnement car ces sujets sont trop complexes. Il faut renverser le problème : comment leur permettre de remplir les conditions qui vont protéger leur client ? Un audit ne suffit pas il est nécessaire d’accompagner les fournisseurs.
Quelles peuvent-être les conséquences des différences de règlementations entre les pays ?
L’évaluation continue reste une base contractuelle forte. C’est pour cela qu’au sein de TEKID, nous avons opté pour une approche basée sur une double expertise : nos ingénieurs CYBER travaillent main dans la main avec des avocats. Pour revenir sur le contexte géopolitique, les conditions contractuelles doivent être adaptées à la juridiction et au contexte de cybersécurité. L’articulation entre les standards locaux et globaux est devenue un enjeu de premier ordre. C’est d’ailleurs le cœur de notre expertise. Dans certains pays comme la Chine, qui a une des réglementations les plus exigeantes au monde, nos clients ne peuvent pas faire appel à leur prestataire habituel. Ils sont obligés de travailler avec un prestataire local sur des obligations qu’ils ne comprennent pas forcément. Aux Etats-Unis, autre difficulté : la diversité des régulations sectorielles et étatiques (telles que le CCPA ou HIPAA). Tout cela nécessite une batterie d’expertises spécifiques. C’est pourquoi notre approche est résolument transversale.
Le constat est simple : plus une entreprise a de fournisseurs, plus sa surface d’attaque s’étend. Mais la solution existe. En industrialisant le contrôle pour le rendre scalable, en accompagnant les prestataires et en naviguant intelligemment entre exigences globales et locales, les organisations peuvent refermer la brèche. TEKID en fait une priorité : réduire la complexité pour réduire le risque.
