Beaucoup de PME perçoivent les cyberattaques comme des menaces directes et frontales initiées par des criminels à l’encontre de leur entreprise. Mais la réalité est parfois plus insidieuse. En 2025, 35 % des entreprises françaises ont subi une attaque indirecte par le biais d’un tiers. Un phénomène en plein essor, qui représente une menace sérieuse pour les PME.
Dans cet article, vous découvrirez :
- ce que sont les attaques via des tiers,
- pourquoi les cybercriminels emploient ce mode opératoire,
- les différentes catégories d’attaques via des tiers,
- les conséquences de ces attaques pour votre PME,
- les bonnes pratiques pour sécuriser votre entreprise face aux risques liés à vos tiers.
1. Les attaques via des tiers, une nouvelle forme de cybermenace
1.1 Qu’est-ce qu’une attaque via un tiers ?
Une attaque via un tiers (souvent appelée attaque par rebond ou compromission de la chaîne d’approvisionnement) est une cyberattaque qui cible un prestataire, un fournisseur ou un partenaire pour atteindre votre entreprise.
Le principe est simple : l’attaquant ne cherche pas à franchir vos dispositifs de cybersécurité. Il identifie un acteur de votre écosystème numérique moins bien protégé, l’attaque, et s’en sert comme point d’entrée vers votre entreprise.
Il existe différents types d’attaques via des tiers. Certaines sont ciblées : l’objectif du cybercriminel est alors de s’en prendre spécifiquement à votre entreprise par le biais d’un tiers. D’autres sont juste le résultat d’un dommage collatéral : votre prestataire est attaqué, et vous en subissez les conséquences sans avoir été visé spécifiquement.
À noter que votre PME peut également être attaquée pour servir de point d’entrée vers l’un de vos clients ou donneurs d’ordre.
1.2 L’explosion des attaques via des tiers
La part des violations de données impliquant un tiers a doublé en l’espace d’un an, passant de 15 % à 30 %, d’après le Verizon Data Breach Investigations Report 2025, qui analyse plus de 22 000 incidents dans 139 pays.
L’ENISA, l’agence européenne de cybersécurité, classe pour la deuxième année consécutive la compromission de la chaîne logicielle comme menace numéro un à horizon 2030 pour les organisations européennes.
En France, le tableau est similaire. Selon le baromètre CESIN 2026, les attaques via un tiers se classent désormais au 3e rang des vecteurs de compromission, derrière le phishing et l’exploitation de failles.
1.3 Pourquoi les cybercriminels emploient-ils ce mode opératoire ?
De plus en plus d’entreprises externalisent leur comptabilité, la gestion des ressources humaines, les activités informatiques ou encore la logistique auprès d’acteurs externes. Cela multiplie le nombre de prestataires disposant d’un accès, même partiel, au système d’information des entreprises.
Pour les cybercriminels, le fait d’attaquer un prestataire leur donne potentiellement accès aux données ou aux systèmes de dizaines, voire de centaines de clients simultanément, pour le même effort. Le rapport coût-bénéfice est sans commune mesure avec une attaque directe.
Par ailleurs, ces attaques peuvent passer inaperçues plus longtemps qu’une attaque directe. Lorsqu’un attaquant utilise les accès légitimes d’un prestataire, son activité se confond avec celle d’un utilisateur habituel. L’attaque n’est donc pas systématiquement repérée.
Enfin, les PME prestataires sont souvent moins bien protégées que leurs clients grands comptes, tout en disposant d’accès privilégiés à leurs systèmes. Elles constituent donc une cible de choix pour les attaquants qui cherchent à atteindre une organisation mieux défendue.
2. Les principales catégories d’attaques via des tiers
2.1 La compromission de la chaîne logicielle
L’attaquant s’introduit dans l’environnement d’un éditeur de logiciel et injecte un code malveillant dans une mise à jour légitime distribuée automatiquement à tous ses clients. Ce mode opératoire est particulièrement difficile à détecter car la mise à jour semble légitime et elle provient d’une source connue.
L’exemple le plus marquant est survenu en 2020 quand SolarWinds, un logiciel de gestion IT utilisé par des milliers d’entreprises, a été compromis. 18 000 organisations clientes ont alors installé sans le savoir du code malveillant caché dans une mise à jour.
2.2 L’exploitation d’accès distants légitimes
Vos prestataires informatiques disposent souvent d’un compte administrateur ou d’un accès à distance pour assurer la maintenance ou le support de votre infrastructure. Si des cybercriminels parviennent à mettre la main sur ses identifiants, par exemple via un email de phishing, ils peuvent alors se connecter à votre environnement numérique et accéder à son contenu.
Selon le Verizon DBIR 2025, lorsque des identifiants sont compromis dans un environnement tiers, le délai médian de remédiation est de 94 jours. Pendant ce temps, l’accès reste ouvert aux attaquants.
2.3 Le rebond via un sous-traitant vulnérable
Ce mode opératoire consiste à compromettre un sous-traitant insuffisamment protégé, afin d’exploiter les interconnexions existantes pour remonter vers un donneur d’ordre de plus grande valeur. Le Panorama de la cybermenace 2025 de l’ANSSI documente ce schéma : un attaquant compromet un prestataire, exfiltre des données clients, puis utilise les accès récupérés pour atteindre plusieurs organisations clientes.
2.4 Une interruption de service collatérale
L’un de vos fournisseurs est paralysé par un rançongiciel ou une attaque DDoS ce qui vous empêche d’accéder à l’application ou au service qu’il vous fournit. En fonction du fournisseur affecté, votre activité peut se retrouver totalement à l’arrêt.
Par exemple, en juin 2024 le groupe hospitalier londonien NHS a été contraint d’annuler plus de 10 000 rendez-vous médicaux après que son prestataire de laboratoires, Synnovis, ait été paralysé par un rançongiciel.
2.5 La fuite de données via un défaut de sécurité chez le tiers
Certains de vos prestataires hébergent ou traitent vos données sensibles : fichiers clients, données RH, informations financières. Une faille de configuration ou une base de données mal sécurisée chez lui peut exposer ces données sans qu’aucune intrusion directe ne vous vise.
En novembre 2025, la Fédération Française de Football confirmait sa troisième compromission en l’espace de deux ans via un logiciel de gestion tiers utilisé par les clubs. À chaque fois, le vecteur était le même : un outil externe insuffisamment sécurisé, des données exposées.
2.6 L’ingénierie sociale exploitant la relation de confiance
Les attaquants exploitent la relation de confiance établie entre votre entreprise et ses partenaires pour s’y immiscer. Par exemple, un attaquant ayant compromis la messagerie de votre prestataire informatique peut se faire passer pour lui auprès de vos équipes, demander des accès, modifier des paramètres ou déclencher des actions sans éveiller le moindre soupçon. La légitimité apparente du tiers est utilisée comme cheval de Troie.
3. Les conséquences pour votre entreprise
Sur le plan opérationnel, les attaques via des tiers peuvent se traduire par une interruption d’accès à des outils critiques (ERP, messagerie, outil de facturation), une paralysie de votre activité ou une indisponibilité prolongée de services externalisés.
En fonction de la nature de l’incident, des coûts financiers peuvent s’accumuler : remédiation technique, perte de chiffre d’affaires pendant l’arrêt, frais juridiques…
Au-delà des impacts directs, une attaque via un tiers vous place dans une position inconfortable : vous subissez les conséquences d’un incident que vous n’avez pas provoqué et sur lequel vous n’avez pas la main. Vous dépendez de la réactivité de votre prestataire pour reprendre votre activité, sans pouvoir intervenir directement. En cas de litige, la question de la responsabilité peut devenir complexe à trancher, surtout si aucune clause contractuelle ne prévoyait ce type de scénario.
Sur le plan juridique, deux cadres s’appliquent directement.
Le RGPD stipule que si un prestataire auquel vous avez confié des données personnelles subit une violation, vous restez responsable de traitement. L’obligation de notifier la CNIL dans les 72 heures vous incombe, même si vous n’êtes pas à l’origine de l’incident.
La directive NIS2, dont l’article 21 impose la sécurisation explicite de la chaîne d’approvisionnement. Pour les PME, deux situations concrètes se présentent : si vous êtes une entité régulée, vous avez l’obligation d’évaluer la cybersécurité de vos prestataires. Si vous êtes prestataire d’une entité régulée, vos clients vont vous demander des garanties formelles. Sans elles, certains marchés pourraient vous échapper.
4. Les bonnes pratiques pour se protéger des attaques via des tiers
Plusieurs mesures permettent de réduire significativement les risques liés aux tiers.
- Cartographiez vos tiers et leurs accès. La première étape est de savoir exactement quels prestataires accèdent à votre système d’information, selon quelles modalités et avec quel niveau de privilège. Cette cartographie doit couvrir les accès VPN, les comptes d’administration, les connexions API et les outils SaaS partagés. Tous les tiers ne présentent pas le même niveau de risque : un prestataire ayant accès à votre ERP ou à vos sauvegardes est bien plus critique qu’un fournisseur de matériel bureautique.
- Sécurisez les accès tiers. Appliquez le principe du moindre privilège : chaque prestataire ne doit disposer que des droits strictement nécessaires à sa mission. Mettez en place une authentification multifacteur sur tous les accès distants pour vérifier l’identité des utilisateurs souhaitant se connecter à vos systèmes. Révoquez systématiquement les droits accordés en fin de prestation, et surveillez les connexions inhabituelles.
- Intégrez la cybersécurité dans vos contrats. Une relation de confiance ne remplace pas une obligation contractuelle. Vos contrats prestataires doivent prévoir des clauses de sécurité imposant le chiffrement des données, une bonne gestion des correctifs, ou l’usage d’une authentification renforcée. Ils doivent également inclure une obligation de notification d’incident dans un délai défini, et un droit d’audit que vous pouvez exercer. Selon le baromètre CESIN 2026, 85 % des grandes entreprises ont déjà intégré ces clauses, mais seule une minorité pratique une surveillance active.
- Exigez des preuves concrètes de maturité cyber. La confiance n’exclut pas le contrôle. Pour vos prestataires les plus critiques, demandez des éléments objectifs comme les résultats d’un audit de cybersécurité récent, la certification ISO 27001, ou un questionnaire de sécurité formalisé. Vos partenaires peuvent opter pour un diagnostic automatisé pour constituer un premier niveau de vérification objective. Des outils comme Sekost permettent, à partir d’un simple nom de domaine, de cartographier les services exposés d’un prestataire et d’obtenir un indicateur de risque lisible sans expertise technique.
- Soyez vigilant dans la durée. La gestion du risque tiers n’est pas un exercice ponctuel. Les prestataires changent, les outils évoluent, et de nouvelles failles apparaissent régulièrement. Passez régulièrement en revue la liste de vos prestataires et de leurs accès, et assurez-vous que votre niveau d’exposition n’a pas évolué sans que vous le sachiez.
- Préparez-vous aux attaques via des tiers. En cas de compromission, chaque heure compte. Définissez à l’avance qui contacter si l’un de vos prestataires critiques est touché, quels systèmes isoler en priorité, et comment assurer la continuité d’activité. Assurez-vous que vos prestataires les plus critiques disposent eux-mêmes d’un plan de continuité d’activité testé. C’est une question à poser explicitement, et à intégrer dans vos critères de sélection.
Conclusion
Les attaques via des tiers sont désormais une réalité pour toutes les entreprises, quelle que soit leur taille. Un prestataire compromis peut suffire à paralyser votre activité, à exposer vos données et à engager votre responsabilité juridique, sans que vous ayez commis la moindre erreur. Savoir qui accède à votre système d’information, dans quelles conditions, et exiger des garanties minimales de vos prestataires critiques : c’est par là que commence une défense efficace. La question n’est donc plus seulement de savoir si votre entreprise est bien protégée, mais si l’ensemble des acteurs connectés à vos systèmes le sont également.
