Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Le CESIN appelle entreprises et pouvoirs publics à prendre en main la gestion des risques liés aux prestataires.
Les attaques indirectes via les prestataires numériques ne sont plus des incidents isolés mais un risque désormais systémique. Début octobre, une cyberattaque a paralysé partiellement l’aéroport de Bruxelles : les systèmes d’enregistrement, opérés par un fournisseur commun à plusieurs aéroports européens, étaient indisponibles. Un événement qui illustre la dépendance critique des organisations à leurs partenaires techniques et la vulnérabilité de chaînes de sous-traitance interconnectées. « Tant que la sécurité des fournisseurs restera un angle mort de la transformation numérique, notre résilience collective sera fragile », alerte Fabrice Bru, président du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN). L’association, qui regroupe plus de 800 responsables cybersécurité en entreprise, met en avant un effet domino qui touche l’ensemble de l’économie.
Les exemples sont nombreux. En 2020, l’affaire SolarWinds avait permis à des cyberattaquants de pénétrer 18 000 organisations via une mise à jour logicielle compromise. Trois ans plus tard, l’attaque MOVEit exploitait une faille dans un outil de transfert de fichiers, impactant plus de 2 500 organisations internationales, dont de nombreuses entreprises françaises. En 2024, plusieurs hôpitaux hexagonaux ont été contraints de ralentir leurs services après des attaques ayant visé leurs prestataires techniques. Dans l’industrie, des groupes de premier plan ont subi arrêts de production et fuites de données à cause de fournisseurs compromis.
Gouvernance insuffisante, RSSI sous pression
Les données du baromètre CESIN-OpinionWay confirment la tendance : plus d’une entreprise française sur deux a déjà subi une attaque impliquant un fournisseur. L’impact est triple – économique, opérationnel et réputationnel – et s’aggrave avec la fréquence croissante de ces incidents. Le CESIN pointe une gouvernance éclatée : les RSSI doivent gérer les crises dans l’urgence sans pouvoir imposer de standards aux partenaires. « Lorsqu’un fournisseur direct est compromis, nous pouvons réagir. Mais quand c’est son propre sous-traitant, nous n’avons plus de prise directe et l’absence de lien contractuel complique la remontée d’information. La crise devient opaque », explique Fabrice Bru.
Pour l’association, un changement d’échelle est nécessaire. Elle appelle les directions générales à intégrer la gestion des risques fournisseurs dans leurs comités, à exiger des garanties contractuelles renforcées et à soutenir les RSSI dans un rôle stratégique. Elle demande également aux pouvoirs publics de mettre en place des cadres réglementaires favorisant transparence, vérification et audits partagés des prestataires critiques. « La cybersécurité ne peut plus se limiter au périmètre interne », insiste le CESIN. La prochaine crise majeure pourrait venir d’un maillon secondaire négligé. Pour les entreprises comme pour l’État, c’est désormais un enjeu de souveraineté économique et de continuité des services publics.
