Quelques chiffres clés :
- 15 Mds d’identifiants volés en circulation sur le dark web
- 1,8 Md d’identifiants dérobés par infostealers en 2025
- 54 % des victimes de ransomware avaient des identifiants exposés sur le dark web avant l’attaque
- 30 % des violations de données impliquent un tiers 1.
Vos fournisseurs fuient, et vous ne le savez pas Le dark web n’est plus un univers lointain réservé aux spécialistes du renseignement. C’est aujourd’hui la place de marché centrale de la cybercriminalité, où circulent en permanence les données volées de milliers d’entreprises — y compris, potentiellement, celles de vos fournisseurs, sous-traitants et partenaires commerciaux.
Les chiffres donnent le vertige. Plus de 15 milliards d’identifiants compromis circulent sur les forums et marchés du dark web. En 2025, les logiciels malveillants de type infostealer (Lumma, Vidar, RedLine, RisePro) ont dérobé à eux seuls 1,8 milliard d’identifiants, soit une explosion de 800 % par rapport aux années précédentes. IBM X-Force rapporte une hausse de 180 % de la diffusion d’infostealers par phishing entre 2023 et début 2025.
Mais le plus préoccupant pour les organisations, c’est que ces données ne sont pas uniquement les vôtres. Ce sont aussi — et de plus en plus — celles de vos fournisseurs. Un sous-traitant dont les identifiants d’accès sont en vente sur un forum underground représente une porte d’entrée directe vers votre système d’information, vos données clients, vos processus critiques.
Les Initial Access Brokers (IAB) : le maillon clé
Les IAB sont des cybercriminels spécialisés qui compromettent des réseaux d’entreprises puis revendent l’accès aux groupes de ransomware ou aux acteurs étatiques. En 2025-2026, les prix vont de 500 $ pour l’accès à une PME à plus de 100 000 $ pour un réseau d’entreprise avec des identifiants privilégiés (Cyble 2026). Quand un IAB met en vente l’accès au réseau d’un de vos fournisseurs, le compte à rebours avant une attaque vous ciblant indirectement est lancé — souvent moins de 48 heures entre l’achat de l’accès et le déploiement du ransomware.
Quand la fuite d’un fournisseur devient votre brèche
Ce n’est pas un scénario théorique. Les incidents les plus coûteux de 2024-2025 le démontrent : la compromission d’un tiers est désormais le vecteur d’attaque le plus dévastateur.
Change Healthcare (février 2024) : un identifiant volé, 2,87 milliards de dollars de pertes - Le groupe ALPHV/BlackCat a pénétré le réseau de Change Healthcare, filiale de UnitedHealth, via un simple identifiant Citrix compromis, sans authentification multifacteur. Résultat : 100 millions de dossiers médicaux exposés, des systèmes de facturation hospitalière paralysés dans tout le pays, une rançon de 22 millions de dollars payée. Un seul identifiant volé, chez un seul fournisseur, a provoqué une crise sectorielle.
SalesLoft / Drift (2025) : 700+ organisations compromises via un fournisseur SaaS — Les attaquants ont exploité des tokens OAuth d’intégration entre SalesLoft (plateforme d’engagement commercial) et Salesforce. Parmi les victimes en cascade : TransUnion (4,46 millions de consommateurs américains exposés), Google, Workday, Chanel, Qantas. Les entreprises n’ont pas été attaquées directement — c’est la chaîne de confiance entre applications tierces qui a été exploitée.
Jaguar Land Rover (2025) : 1,9 milliard de livres de pertes via la supply chain — En exploitant des vulnérabilités dans les logiciels d’un fournisseur, le collectif Scattered Lapsus$ Hunters a pénétré les systèmes de JLR, arrêtant la production pendant cinq semaines. Plus de 5 000 entreprises de la chaîne d’approvisionnement mondiale ont été impactées. Le constat en chiffres — 30 % de toutes les violations de données impliquent un tiers, soit le double par rapport à 2024 (Verizon DBIR 2025). 80 % des données de santé volées en 2024-2025 provenaient de fournisseurs, pas des organisations elles-mêmes.
Les réclamations d’assurance cyber liées à des incidents tiers sont passées de quasi 0 % en 2021 à 11 % en 2024 (At-Bay). 54 % des victimes de ransomware avaient des identifiants de leur domaine exposés sur des marchés d’infostealers avant l’attaque.
Pourquoi vos questionnaires fournisseurs ne voient pas le dark web
La plupart des programmes de gestion des tiers reposent encore sur des évaluations périodiques : questionnaires annuels, auto-déclarations des fournisseurs, audits ponctuels, certifications. Ces méthodes évaluent la posture de sécurité à un instant T. Elles sont structurellement aveugles aux compromissions actives. Problème : un fournisseur peut afficher un excellent score de conformité — certifications ISO 27001, SOC 2, ESRS en règle — et avoir, au même moment, ses identifiants d’administration en vente sur un forum underground.
Le questionnaire annuel ne détectera jamais cette réalité. Le décalage temporel est vertigineux : - Les attaquants achètent un accès et déploient un ransomware en moins de 48 heures - Les organisations découvrent la compromission de leur fournisseur des jours, voire des semaines après, souvent par voie de presse ou notification réglementaire - L’évaluation classique TPRM, elle, opère sur des cycles de 6 à 12 mois. Ce décalage est précisément ce que les cybercriminels exploitent.
Savoir ce qui circule sur le dark web : le chaînon manquant de votre TPRM
La question n’est plus « ce fournisseur est-il risqué ? » mais « ce fournisseur est-il exposé d’une manière que les attaquants exploitent activement en ce moment ? » Pour répondre à cette question, il faut intégrer les signaux du dark web dans votre gestion des tiers.
4.1 Surveiller les fuites d’identifiants liées à vos fournisseurs — Les identifiants volés sont le carburant de la cybercriminalité. Quand les logins d’un employé de votre fournisseur apparaissent dans une « combo-list » sur un forum underground, c’est un signal d’alerte immédiat. Si ce fournisseur dispose d’un accès à votre SI, à vos données ou à vos plateformes partagées, cette fuite vous concerne directement.
4.2 Détecter les accès revendus par les Initial Access Brokers — Les IAB publient régulièrement des annonces de vente d’accès à des réseaux d’entreprises sur les forums spécialisés. Ces annonces incluent des détails sur le secteur, la taille, la géographie de la victime, et le type d’accès (VPN, RDP, identifiants privilégiés). Si l’un de vos fournisseurs critiques figure dans ces annonces, vous disposez d’une fenêtre d’action avant que l’attaque ne se concrétise.
4.3 Identifier les mentions de vos partenaires dans les discussions des groupes d’attaquants — Les groupes de ransomware et les acteurs étatiques échangent sur des canaux privés (forums, Telegram, Jabber) et ciblent délibérément les fournisseurs qui desservent plusieurs organisations de grande valeur. Savoir que l’un de vos sous-traitants est discuté, ciblé ou déjà compromis — parfois avant même que le fournisseur lui-même ne le sache — transforme votre capacité de réaction.
4.4 Croiser ces signaux avec votre scoring de risque fournisseur — L’intelligence du dark web prend toute sa valeur quand elle est corrélée avec votre cartographie des tiers. Un identifiant volé chez un fournisseur non critique est une alerte. Le même identifiant chez un fournisseur qui accède à votre ERP ou à vos données patients est une urgence. La priorisation par le risque réel — et non théorique — est ce qui fait la différence entre un programme TPRM qui informe et un programme qui protège.
De la réaction à l’anticipation : le changement de paradigme Le TPRM traditionnel est réactif : on découvre un incident, on évalue l’impact, on réagit. L’intégration de la surveillance du dark web rend le TPRM prédictif : on détecte les signaux précurseurs (identifiants exposés, accès en vente, mentions sur les forums), on priorise, on agit AVANT l’incident.
Selon le World Economic Forum, 78 % des dirigeants identifient les dépendances à la supply chain comme le principal défi de résilience. Pourtant, la plupart des organisations apprennent les compromissions de leurs fournisseurs trop tard.
5. Trois actions concrètes pour démarrer
Cartographiez vos fournisseurs critiques et leur surface d’exposition — Identifiez les tiers qui disposent d’un accès à votre SI, qui traitent vos données sensibles ou dont la défaillance impacterait vos opérations. Pour chacun d’eux, évaluez : quels identifiants pourraient circuler ? Quelles intégrations techniques (API, OAuth, VPN) créent des dépendances ? La cartographie est le socle de toute démarche de surveillance. Intégrez des signaux dark web dans votre évaluation continue des tiers — Complétez vos questionnaires et vos scores de conformité statiques par une couche de renseignement en temps réel : surveillance des fuites d’identifiants, détection des accès en vente par les IAB, veille sur les canaux des groupes d’attaquants. L’objectif n’est pas de remplacer l’évaluation classique mais de la compléter par une dimension dynamique et actionnable. Cassez les silos entre conformité, achats et cybersécurité — La gestion des tiers (GRC/TPRM) et les opérations de sécurité (SOC) fonctionnent trop souvent avec des outils, des tableaux de bord et des lignes hiérarchiques différentes.
Quand un signal dark web est détecté sur un fournisseur, il doit se traduire immédiatement en action de sécurité : restriction d’accès, renforcement du monitoring, activation du plan de réponse. L’intelligence doit devenir action — pas un rapport de plus dans une boîte mail.
6. Ce que vous ne voyez pas peut vous coûter très cher
La réalité est brutale : vos fournisseurs sont ciblés, leurs données circulent, et les attaquants savent exactement quels sous-traitants leur donnent accès à quelles organisations de grande valeur. Les cybercriminels ne se contentent plus de l’opportunisme — ils sélectionnent délibérément les fournisseurs qui servent de multiplicateurs d’accès. Dans ce contexte, ignorer ce qui circule sur le dark web à propos de vos tiers n’est pas une posture prudente — c’est un angle mort stratégique. La question n’est pas de savoir si les données de l’un de vos fournisseurs finiront sur le dark web. La question est : le saurez-vous à temps pour agir ?
Sources : Bitsight 2026, Verizon DBIR 2025, IBM X-Force Threat Intelligence Index 2026, Cyble 2026, Group-IB High-Tech Crime Trends 2026, At-Bay InsureSec Report 2025, World Economic Forum Global Cybersecurity Outlook 2025, SpyCloud 2026, Check Point 2025.