Imaginez : un lundi matin, vous allumez votre ordinateur et découvrez que toutes vos données clients ont été chiffrées par un ransomware. Votre premier réflexe ? Chercher quel employé a cliqué sur un mauvais lien. Mais la véritable origine de l’attaque n’est pas chez vous — elle vient de votre prestataire informatique, votre logiciel de comptabilité cloud, ou votre hébergeur. Bienvenue dans l’ère des attaques par supply chain, la menace n°1 pour les PME en 2026.

L’attaque par supply chain, c’est quoi exactement ?

Le principe est redoutablement simple : au lieu de s’attaquer directement à votre entreprise (qui serait une cible parmi des milliers), les hackers visent un fournisseur de services numériques — un éditeur de logiciel, un hébergeur cloud, un prestataire IT — qui sert des dizaines, voire des centaines de clients. En compromettant un seul maillon, ils accèdent à tout le réseau en aval.

Comme le résume le site Clubic à propos du dernier rapport de l’ANSSI : > « Une attaque de chaîne d’approvisionnement vise un fournisseur (éditeur, intégrateur, prestataire IT, infogéreur) pour atteindre indirectement ses clients. Le fournisseur est une cible stratégique car il dispose souvent d’accès étendus. »

Concrètement, votre prestataire possède souvent des comptes d’administration sur vos systèmes, des outils de télémaintenance, des connecteurs directs vers vos données. Il suffit qu’il soit compromis pour que l’attaquant « pivote » vers votre entreprise — sans jamais avoir eu besoin de vous cibler directement.

Des chiffres qui font froid dans le dos

Le Panorama 2025 de la cybermenace publié par l’ANSSI en mars 2026 est sans appel. L’agence a traité 3 586 événements de sécurité et 1 366 incidents confirmés sur l’année 2025. Parmi les 128 compromissions par rançongiciel recensées, 48 % des victimes sont des PME, TPE et ETI — les structures les moins armées pour se défendre. Plus inquiétant encore : les vols de données ont bondi de 51 %, avec 196 incidents contre 130 en 2024.

Le rapport de l’ANSSI est explicite : > « Le prestataire est devenu un vecteur majeur de compromission. » L’agence décrit notamment le cas d’un attaquant ayant compromis un prestataire servant de nombreuses entités françaises, exfiltré des ressources clientes, puis exploité les interconnexions et des identifiants volés pour se latéraliser vers plusieurs clients.

À l’échelle mondiale, le constat est identique. Selon le rapport Verizon DBIR 2025, le pourcentage de violations impliquant des tiers a doublé par rapport à l’année précédente. Cybersecurity Ventures estime que le coût mondial des attaques par supply chain logicielle atteindra 60 milliards de dollars en 2025, et pourrait grimper à 138 milliards d’ici 2031. Et selon IBM, les attaques via la chaîne d’approvisionnement prennent en moyenne 267 jours pour être détectées et contenues — presque 9 mois pendant lesquels les hackers se promènent dans vos systèmes.

Trois exemples concrets qui parlent d’eux-mêmes

SolarWinds (2020) — L’affaire qui a tout changé. Des hackers ont injecté un code malveillant dans une mise à jour du logiciel de gestion réseau Orion, utilisé par des milliers d’organisations. Résultat : plus de 18 000 clients ont installé la mise à jour infectée, ouvrant un accès direct à leurs systèmes. Parmi les victimes : des agences gouvernementales américaines et des entreprises du Fortune 500.

Kaseya VSA (juillet 2021) — Le groupe REvil a exploité une faille dans ce logiciel de gestion à distance utilisé par des prestataires informatiques (MSP). En piratant un seul outil, ils ont touché entre 800 et 1 500 entreprises en aval, principalement des PME clientes de ces prestataires. Rançon demandée : 70 millions de dollars.

MOVEit Transfer (2023) — Le groupe CL0P a exploité une vulnérabilité zero-day dans ce logiciel de transfert de fichiers très répandu. Bilan : plus de 2 700 organisations compromises à travers le monde, dont plus de 80 % aux États-Unis. Des banques, des hôpitaux, des universités, des PME — tous touchés parce qu’ils utilisaient le même outil ou qu’un de leurs fournisseurs l’utilisait.

Le scénario est toujours le même : une seule faille chez un fournisseur, et ce sont des centaines — voire des milliers — d’entreprises qui trinquent.

3 réflexes concrets pour protéger votre PME

Vous ne pouvez pas auditer la sécurité de chaque fournisseur comme le ferait une multinationale. Mais vous pouvez poser les bonnes questions et adopter des réflexes simples :

1. Faites l’inventaire de vos dépendances numériques. Listez tous les prestataires qui ont un accès à vos systèmes ou à vos données : logiciel de comptabilité, CRM, hébergeur, prestataire IT, outil de sauvegarde. Pour chacun, posez-vous la question : « Si ce fournisseur est piraté demain, quelles données sont exposées ? » Vous serez surpris du nombre d’accès que vous accordez sans y penser.

2. Exigez un minimum de garanties contractuelles. Vérifiez si vos fournisseurs disposent de certifications de sécurité (ISO 27001, SOC 2, qualification SecNumCloud en France). Demandez-leur comment ils gèrent l’authentification multi-facteurs (MFA), le chiffrement des données, et surtout — comment ils vous préviendraient en cas d’incident. Un fournisseur qui ne peut pas répondre clairement à ces questions est un signal d’alarme.

3. Appliquez le principe du moindre privilège. Ne donnez à chaque prestataire que les accès strictement nécessaires à sa mission. Un comptable en ligne n’a pas besoin d’accéder à votre CRM. Un prestataire de maintenance n’a pas besoin d’un compte administrateur permanent. Segmentez les accès, activez les journaux de connexion, et révoquez les accès dès la fin d’une mission. Comme le rappelle l’ANSSI : la défense implique de gérer le risque tiers — contrats, accès, segmentation, supervision — autant que la sécurité interne.

À retenir

  • La menace n°1 en 2026, ce n’est plus le phishing basique — c’est l’attaque par supply chain, qui exploite la confiance entre vous et vos fournisseurs numériques.
  • 48 % des victimes de ransomware en France sont des PME/TPE/ETI selon le Panorama 2025 de l’ANSSI, et les prestataires compromis sont un vecteur majeur de ces attaques.
  • Le pourcentage de violations impliquant des tiers a doublé en un an selon Verizon (DBIR 2025), et le coût mondial de ces attaques atteint 60 milliards de dollars.
  • Les cas SolarWinds, Kaseya et MOVEit prouvent qu’une seule faille chez un fournisseur peut toucher des milliers d’entreprises en aval.
  • Trois réflexes essentiels : inventorier vos dépendances, exiger des garanties de sécurité, et appliquer le principe du moindre privilège pour chaque prestataire.
  • En moyenne, 267 jours sont nécessaires pour détecter une attaque par supply chain (IBM) — agir en prévention est donc indispensable.

Photo : Pixabay via Pexels