La cyberattaque ayant récemment paralysé les systèmes d’enregistrement de l’aéroport de Bruxelles a rappelé avec force la vulnérabilité des organisations face à leurs prestataires numériques. Le scénario n’a rien d’isolé : les chaînes de sous-traitance deviennent aujourd’hui l’un des vecteurs d’attaque privilégiés des cybercriminels. Le CESIN alerte : “Tant que la sécurité des fournisseurs restera un angle mort de la transformation numérique, la résilience de nos entreprises et de nos services publics restera fragile”.
Un phénomène en nette accélération
Depuis SolarWinds en 2020 jusqu’à MOVEit en 2023, les attaques indirectes par fournisseurs se sont multipliées, touchant parfois des milliers d’organisations simultanément. En France, des hôpitaux ont dû interrompre leurs services en 2024 après des attaques visant leurs prestataires techniques. Dans l’industrie, des groupes ont subi arrêts de production ou fuites de données à cause de partenaires compromis. Les chiffres du dernier baromètre CESIN-OpinionWay confirment cette tendance : plus d’une entreprise française sur deux a déjà été victime d’une cyberattaque impliquant un fournisseur.
Les angles morts de la cybersécurité
Le problème dépasse la seule responsabilité des RSSI. Si les directions se concentrent sur la sécurisation de leur périmètre interne, elles laissent en réalité un pan entier de leur surface d’attaque sans véritable contrôle. Or les chaînes de sous-traitance s’étendent désormais sur plusieurs niveaux : quand le fournisseur d’un fournisseur est attaqué, l’entreprise cliente n’a souvent aucun levier contractuel pour agir. Résultat : une remontée d’informations tardive, une crise difficile à piloter et des impacts démultipliés.
Un sursaut collectif nécessaire
« La cybersécurité ne s’arrête pas au premier cercle contractuel », insiste Fabrice Bru, président du CESIN. L’association appelle à une véritable gouvernance des risques fournisseurs : inclusion systématique dans les comités de direction, standards de sécurité imposés dans les contrats, transparence et audits partagés. Les pouvoirs publics sont également invités à renforcer les cadres réglementaires pour favoriser l’évaluation et la résilience collective.
Vers une cybersécurité de la chaîne
Au-delà des déclarations d’intention, le CESIN plaide pour une approche proactive : redondance des prestataires critiques, plans de reprise adaptés, certifications et tests continus. Une logique qui implique d’inscrire la cybersécurité des fournisseurs au même rang que celle des systèmes internes. Pour les RSSI, il ne s’agit plus seulement de « faire le pompier » en crise, mais de porter une vision stratégique. Reste à savoir si les entreprises et les pouvoirs publics accepteront d’en assumer les coûts et la complexité. “La prochaine crise majeure ne viendra peut-être pas d’une attaque frontale, mais d’un fournisseur négligé“, rappelle le CESIN dans son communiqué, “c’est aussi là que se joue la prochaine bataille pour améliorer la cybersécurité”.
