Une attaque de la chaîne d’approvisionnement se produit lorsque des cybercriminels compromettent un tiers approuvé pour atteindre la cible réelle. Ce tiers peut être un éditeur de logiciels, un fournisseur informatique, une plateforme SaaS ou un partenaire commercial ayant accès aux systèmes ou aux données.

Pour les petites et moyennes entreprises, ce risque est facile à sous-estimer. Vous ne gérez peut-être pas d’infrastructure complexe et n’avez pas de grande équipe informatique, mais votre entreprise dépend probablement de nombreux services externes : messagerie professionnelle, paie, comptabilité, espace de stockage cloud, service client, CRM et systèmes de paiement. Chaque fournisseur connecté crée un chemin d’accès potentiel vers votre environnement.

Nous vous expliquerons ce qu’est une attaque de la chaîne d’approvisionnement, comment ces attaques se produisent, pourquoi les PME sont exposées, et comment évaluer et réduire le risque de la chaîne d’approvisionnement lié aux tiers.

Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?

Comment se produisent les attaques de la chaîne d’approvisionnement

Pourquoi les PME sont des cibles plus précieuses

Exemples concrets d’attaques de la chaîne d’approvisionnement

Comment évaluer votre risque lié aux tiers

Ce que votre entreprise peut faire pour réduire son exposition

Le rôle des identifiants dans les attaques de la chaîne d’approvisionnement

Intégrer la sécurité des tiers dans vos opérations quotidiennes

Qu’est-ce qu’une attaque de la chaîne d’approvisionnement ?

Une attaque de la chaîne d’approvisionnement est une cyberattaque qui touche une organisation par le biais d’une relation externe approuvée. Au lieu d’attaquer directement votre entreprise, les criminels compromettent un fournisseur, une mise à jour logicielle, un fournisseur de services, une intégration ou un compte tiers et utilisent cet accès pour atteindre vos clients en aval.

Une faille en dehors de votre organisation peut tout de même affecter vos systèmes, vos données ou vos opérations si le fournisseur y est connecté. En pratique, une cyberattaque de la chaîne d’approvisionnement peut impliquer :

  • Un éditeur de logiciels dont le mécanisme de mise à jour est compromis.
  • Une plateforme SaaS à travers laquelle les attaquants accèdent aux données des clients.
  • Un fournisseur informatique dont les identifiants admin ont été volés.
  • Un compte de sous-traitant qui a toujours accès aux systèmes après la fin d’un projet.
  • Une intégration tierce disposant de plus d’autorisations que nécessaire.
  • Un compte d’employé de fournisseur utilisé pour accéder aux systèmes des clients.

Les attaques de la chaîne d’approvisionnement reposent sur la confiance et l’exploitent. Votre entreprise autorise la connexion parce que le fournisseur avait un rôle légitime, puis les attaquants abusent de cette confiance pour se rapprocher de vos données, de vos comptes ou de vos systèmes.

Comment se produisent les attaques de la chaîne d’approvisionnement

Les attaques de la chaîne d’approvisionnement commencent généralement par une connexion approuvée. Un attaquant n’a pas besoin de s’introduire directement dans votre entreprise si un fournisseur, un éditeur de logiciels, un sous-traitant ou une intégration a déjà accès à des éléments de valeur.

Le chemin d’accès peut varier, mais le schéma est souvent similaire :

  • Compromettre le tiers
  • Utiliser cette relation approuvée pour atteindre les clients ou les systèmes connectés
  • Étendre l’accès à votre réseau d’entreprise

Via des comptes de fournisseurs compromis

Les attaquants peuvent voler ou deviner les identifiants d’un fournisseur, d’un sous-traitant, d’une agence ou d’un fournisseur de services gérés. Si ce tiers a accès à vos systèmes, l’attaquant peut utiliser un compte légitime pour y accéder via une voie approuvée.

Cela est particulièrement risqué lorsque les comptes des fournisseurs ont des autorisations étendues, des mots de passe faibles, pas d’authentification multifacteur, ou un accès qui n’a jamais été retiré après la fin d’un projet. C’est pourquoi l’accès des tiers doit être examiné régulièrement et révoqué rapidement via un processus admin contrôlé lorsqu’il n’est plus nécessaire.

Via les mises à jour logicielles et les applications

Une attaque de la chaîne d’approvisionnement logicielle peut se produire lorsque des attaquants compromettent la manière dont une application est conçue, distribuée ou mise à jour. Votre entreprise peut alors installer ou mettre à jour un logiciel provenant d’un fournisseur approuvé, sans se rendre compte que la mise à jour a été falsifiée.

Ce type d’attaque est difficile à repérer car l’activité semble provenir d’un fournisseur de logiciels connu, et non d’une source inconnue.

Via des intégrations tierces

De nombreux outils SaaS (software as a service) se connectent entre eux grâce à des intégrations, des extensions, des API et des autorisations. Ces connexions aident les équipes à travailler plus rapidement, mais elles peuvent également créer des chemins d’accès masqués.

Si une intégration est compromise ou dispose de plus d’autorisations que nécessaire, les attaquants peuvent accéder à des données, des comptes ou des flux de travail allant au-delà de l’outil d’origine.

Via des identifiants partagés et des accès non gérés

Le risque lié à la chaîne d’approvisionnement augmente également lorsque l’accès d’un fournisseur dépend d’identifiants partagés, de mots de passe stockés dans des documents ou d’identifiants envoyés par messagerie instantanée ou par e-mail. Si l’un de ces identifiants est exposé, votre entreprise risque de ne pas savoir qui l’a utilisé, où il a été partagé ni à combien de systèmes il permet encore d’accéder.

Le contrôle des accès est votre mécanisme le plus solide pour protéger la sécurité de votre chaîne d’approvisionnement. Plus chaque connexion de fournisseur est contrôlée, plus il devient facile de limiter les dégâts en cas de problème.

Pourquoi les PME sont plus vulnérables

Les PME pensent souvent que les attaques de la chaîne d’approvisionnement sont le problème des grandes entreprises. En réalité, les petites entreprises peuvent être plus faciles à atteindre via des tiers, car l’accès des fournisseurs est souvent moins formel, moins surveillé et moins fréquemment examiné.

Chaque service SaaS ajoute une dépendance

La plupart des petites entreprises dépendent désormais des services SaaS pour leur travail quotidien. Ils permettent aux entreprises de gagner en rapidité et en flexibilité, mais ils augmentent également le nombre de systèmes susceptibles de contenir des données professionnelles ou de se connecter aux comptes de l’entreprise.

Une petite agence, un cabinet de conseil, un cabinet d’avocats ou une startup peut utiliser des dizaines de services externes sans pour autant parler de chaîne d’approvisionnement. Pourtant, du point de vue de la sécurité, ces services font bel et bien partie de cette chaîne.

Les petites équipes manquent parfois de processus d’évaluation des fournisseurs

Les grandes organisations disposent souvent de services d’achats, de questionnaires sur les risques liés aux fournisseurs, d’évaluations de sécurité et de procédures juridiques. À l’inverse, les PME s’appuient parfois sur une confiance informelle et sur la rapidité.

Depuis le début de l’année 2025, l’Observatoire des fuites de données de Proton (Data Breach Observatory) a identifié 512 fuites de données exposant plus de 902 millions de dossiers. Ce type de visibilité est crucial car de nombreuses fuites ne restent pas isolées à une seule entreprise une fois que des identifiants, des informations du contact ou des données professionnelles sont exposés.

Cela ne signifie pas que les petites entreprises ont besoin de la bureaucratie des grandes structures. Cela signifie en revanche qu’elles ont besoin d’un moyen pratique de poser des questions fondamentales avant d’accorder un accès, et de réévaluer cet accès lorsque le travail évolue.

L’accès des fournisseurs est souvent plus étendu que nécessaire

L’accès des fournisseurs au sein d’une entreprise s’élargit généralement pour des raisons pratiques. Parfois, un sous-traitant a besoin d’accéder à un drive partagé, ou une agence a besoin d’accéder aux outils d’analyse ou à un compte publicitaire. Sur le moment, accorder l’accès semble être le moyen le plus rapide de faire avancer le travail, en particulier pour une petite entreprise disposant de peu de personnel ou de ressources.

Le risque n’apparaît que plus tard, lorsque ces autorisations ne sont pas restreintes, examinées ou retirées. Un fournisseur peut conserver ses accès après la fin d’un projet, des identifiants partagés peuvent continuer à circuler ou une intégration peut rester connectée bien après que le besoin d’origine est passé.

Exemples concrets d’attaques de la chaîne d’approvisionnement

Les données récentes sur les fuites de données montrent que le risque lié aux tiers n’est pas théorique. Lors des recherches menées pour notre Observatoire des fuites de données, nous avons découvert plusieurs incidents liés à l’exposition de tiers ou de la chaîne d’approvisionnement, montrant comment les données de clients, d’employés ou d’entreprises peuvent apparaître dans des ensembles de données de fuites de données, même si l’organisation concernée n’était pas nécessairement le point de compromission d’origine.

Amtrak

En avril 2026, l’Observatoire des fuites de données a découvert un incident lié à un tiers associé à Amtrak, avec plus de 7,4 millions de dossiers exposés. Les données compromises comprenaient des noms, des adresses physiques, des codes postaux, des numéros de téléphone, des adresses e-mail et des noms d’utilisateur.

Pour les entreprises, il s’agit d’un exemple clair de la façon dont un incident lié à un tiers peut exposer des données d’identité et de contact à grande échelle, créant des risques en aval d’hameçonnage, d’usurpation d’identité et d’attaques basées sur des identifiants.

Canada Goose

L’entreprise de vêtements Canada Goose a été touchée par un incident lié à un tiers en février 2026, avec plus de 921 000 dossiers exposés. Les données compromises comprenaient des noms, des adresses physiques, des numéros de téléphone et des adresses e-mail.

Même sans mots de passe, ce type d’ensemble de données peut tout de même accroître les risques pour l’entreprise, car les attaquants peuvent utiliser les coordonnées pour rendre les escroqueries, les tentatives d’hameçonnage et l’ingénierie sociale plus crédibles.

Comment évaluer le risque lié aux tiers

Vous n’avez pas besoin d’une grande équipe de gestion des risques ni de beaucoup de ressources pour commencer à évaluer les risques de votre entreprise. Commencez par un simple inventaire et concentrez-vous sur les fournisseurs les plus importants.

1. Cartographiez vos fournisseurs et leurs accès

Dressez la liste des fournisseurs, des services SaaS, des sous-traitants et des partenaires ayant accès à vos systèmes ou à vos données. Pour chacun d’eux, notez :

  • À quelles données ils peuvent accéder.
  • Quels comptes ou intégrations ils utilisent.
  • S’ils disposent d’autorisations admin.
  • Si l’accès est individuel ou partagé.
  • Si l’authentification multifacteur est requise.
  • Qui est responsable de la relation en interne.
  • À quand remonte le dernier examen des accès.

Cet inventaire est beaucoup plus facile à tenir à jour lorsque l’accès des fournisseurs est géré par un système contrôlé offrant une responsabilité claire, une visibilité admin et des accès révocables.

2. Classez les fournisseurs par niveau de risque

Tous les fournisseurs ne nécessitent pas un examen détaillé. Un prestataire de paie, une plateforme d’espace de stockage cloud, un prestataire informatique, un CRM ou un fournisseur de services gérés méritent plus d’attention qu’un service à faible risque ne traitant aucune donnée sensible.

Donnez la priorité aux fournisseurs qui gèrent les données clients, les identifiants, les paiements, les informations sur les employés, les systèmes de production ou les accès admin.

3. Posez des questions de sécurité avant d’accorder l’accès

Avant d’accorder un accès, il est utile de prendre du recul et d’évaluer si ce tiers est réellement nécessaire, à quels systèmes ou données il doit accéder, et si ce niveau d’accès est justifié. À ce stade, de nombreuses organisations découvrent qu’elles dépendent de plus de fournisseurs, d’intégrations et de comptes externes qu’elles ne le pensaient.

Un examen rapide des fournisseurs peut tout de même s’avérer utile. Demandez-vous :

  • Qu’advient-il de nos données si nous partons ?
  • Prenez-vous en charge l’A2F ?
  • Comment protégez-vous les données des clients ?
  • Proposez-vous des contrôles d’accès basés sur les rôles ?
  • Autorisez-vous les journaux d’audit ou les rapports d’activité ?
  • Détenez-vous des certifications de sécurité pertinentes ou suivez-vous des normes de sécurité reconnues ?
  • Comment informez-vous les clients en cas d’incident ?
  • Comment gérez-vous l’accès des employés en interne ?
  • Prenez-vous en charge l’accès de moindre privilège ?

Ce que votre entreprise peut faire pour réduire son exposition

La réduction des risques liés à la chaîne d’approvisionnement commence par le contrôle. En pratique, cela signifie que votre entreprise a besoin de règles claires sur la manière dont les fournisseurs sont évalués, à quoi ils peuvent accéder, comment leur activité est surveillée et ce qui se passe si un tiers est compromis.

Évaluez les pratiques de sécurité des fournisseurs tiers

Avant de donner à un fournisseur l’accès aux systèmes de l’entreprise ou à des données sensibles, vérifiez si ses pratiques de sécurité correspondent au niveau de risque. Un fournisseur gérant des dossiers clients, des données financières ou des accès admin doit répondre à des exigences plus strictes qu’une simple application de productivité.

Recherchez la prise en charge de l’A2F, des autorisations basées sur les rôles, des journaux d’audit, des engagements de notification d’incidents, des contrôles de conservation des données et des processus de départ clairs.

Appliquez le principe du moindre privilège aux accès des tiers

Le principe du moindre privilège réduit la zone d’impact si le compte d’un fournisseur est compromis. Cela signifie qu’il faut éviter de donner des autorisations admin lorsque des accès en lecture seule suffisent, ou de partager de larges dossiers lorsque l’accès à un dossier spécifique convient.

Appliquez les principes du Zero Trust aux fournisseurs

Le Zero Trust ne signifie pas qu’il faut se méfier de tous les fournisseurs. Cela signifie qu’il ne faut pas présumer qu’une relation approuvée doit accorder un accès illimité.

Pour l’accès des fournisseurs, cela signifie vérifier l’identité, limiter les autorisations, examiner régulièrement les accès, exiger l’A2F, surveiller l’activité et traiter chaque connexion comme un élément nécessitant une gouvernance.

Surveillez les schémas d’accès inhabituels

Les comptes connectés aux fournisseurs doivent être surveillés pour détecter tout comportement anormal. Soyez attentif aux emplacements de connexion inhabituels, aux téléchargements inattendus, aux nouveaux utilisateurs admin, aux modifications d’autorisations, aux activités en dehors des heures de travail, aux nouvelles intégrations ou aux accès à des données qui ne correspondent pas au rôle du fournisseur.

Ces signaux ne prouvent pas toujours une compromission, mais ils peuvent aider votre équipe à réagir avant qu’un problème mineur ne se transforme en une fuite de données plus importante.

Préparez-vous à la compromission de tiers

Votre plan d’intervention en cas d’incident doit inclure les incidents liés aux fournisseurs. Si un fournisseur signale une fuite de données, votre entreprise doit savoir quoi faire ensuite. Nous avons rédigé un article sur la protection contre les fuites de données pour les entreprises, ce qui peut vous aider à structurer la réponse de votre entreprise face à la compromission de tiers.

Définissez qui contacte le fournisseur, qui examine les accès, qui vérifie les journaux, qui décide si les identifiants doivent être renouvelés et qui communique avec les clients ou les autorités de réglementation si nécessaire.

Utilisez des identifiants uniques pour chaque fournisseur et outil tiers

L’utilisation d’identifiants uniques est l’un des moyens les plus simples de réduire la zone d’impact d’une attaque sur la chaîne logistique. Si le portail d’un fournisseur subit une fuite de données et qu’un employé a réutilisé ce mot de passe ailleurs, des attaquants pourraient tester ce même identifiant pour accéder à sa messagerie, à des plateformes SaaS, à des outils financiers ou à des systèmes admin.

Un mot de passe unique par fournisseur évite cette réutilisation directe. Cela facilite également la gestion des incidents. Lorsqu’un fournisseur est compromis, vous savez quels identifiants requièrent votre attention au lieu de vous demander où le même mot de passe a pu être utilisé.

Proton Pass est un gestionnaire de mots de passe professionnel qui peut aider votre équipe à générer des mots de passe forts et uniques pour chaque fournisseur et service tiers, à les stocker dans des coffres-forts chiffrés, à utiliser le remplissage automatique et à partager les accès de manière sécurisée. Cela facilite le maintien d’une bonne hygiène des identifiants à travers les nombreux services externes sur lesquels reposent les entreprises modernes.

Le lien avec les identifiants dans les attaques de la chaîne logistique

Les attaques de la chaîne logistique commencent souvent par les fournisseurs, mais ce sont les identifiants qui déterminent l’étendue de leur impact.

Si le compte d’un prestataire est compromis mais dispose d’un accès limité, les dégâts peuvent être limités. Si ce même compte possède des autorisations étendues, des identifiants partagés, des mots de passe réutilisés ou un accès à des systèmes sensibles, l’attaquant aura plus de marge de manœuvre.

C’est pourquoi la gestion des mots de passe et des accès fait partie de la gestion des risques de la chaîne logistique. Pour chaque fournisseur ou outil tiers, votre entreprise doit savoir :

  • Quels identifiants existent.
  • Qui y a accès.
  • Si le mot de passe est unique.
  • Si la MFA est activée.
  • Si l’accès est toujours nécessaire.
  • Si le compte est partagé ou individuel.
  • Qui est responsable du compte en interne.

Un gestionnaire de mots de passe professionnel comme Proton Pass permet de répondre plus facilement à ces questions. Au lieu que les identifiants soient éparpillés dans des feuilles de calcul, des profils de navigateur, des messages de discussion ou des notes personnelles, les mots de passe des fournisseurs peuvent être stockés dans un système contrôlé, avec un partage sécurisé et une responsabilité plus claire.

Cela ne dispense pas d’évaluer les fournisseurs ou de surveiller leur activité. Cela renforce l’un des contrôles les plus efficaces : s’assurer qu’une fuite de données chez un tiers ne se transforme pas en un problème de réutilisation de mots de passe au sein de votre propre entreprise.

Intégrez la sécurité des tiers dans vos opérations quotidiennes

Une attaque de la chaîne logistique transforme la confiance en un chemin d’accès. Un fournisseur, une mise à jour de logiciel, un compte SaaS, un prestataire ou une intégration qui soutient habituellement l’entreprise peut devenir la voie d’accès utilisée par les attaquants pour atteindre les données ou les systèmes.

Les petites entreprises ne peuvent pas se passer de tiers, et elles n’en ont pas besoin. Les outils SaaS, les prestataires informatiques et les fournisseurs font partie du fonctionnement des entreprises modernes. L’objectif est de gérer ces relations avec suffisamment de contrôle pour qu’une seule compromission ne se transforme pas en une fuite de données plus large.

Commencez par les bases : répertoriez vos fournisseurs, évaluez les accès, posez des questions de sécurité, appliquez le principe du moindre privilège, utilisez les principes du Zero Trust, surveillez les activités inhabituelles et anticipez la compromission de tiers. Réduisez ensuite le risque lié aux identifiants en attribuant à chaque fournisseur et service tiers son propre mot de passe unique.

Proton Pass aide les entreprises à mettre ce contrôle en pratique au quotidien. Lorsque chaque connexion fournisseur dispose de ses propres identifiants uniques, que les accès partagés restent au sein de coffres-forts chiffrés et que les équipes peuvent révoquer l’accès dès qu’une relation prend fin, un seul mot de passe compromis est beaucoup moins susceptible de déclencher une réaction en chaîne sur l’ensemble des comptes de votre entreprise.