Imaginez une forteresse médiévale. Murailles épaisses, douves profondes, pont-levis relevé. Imprenable… jusqu’à ce qu’un attaquant découvre que le fournisseur de vivres entre chaque matin par une porte de service sans verrou. C’est exactement le scénario qui se joue aujourd’hui dans le monde de la cybersécurité.
Les grandes entreprises et organisations sensibles ont massivement investi dans leur cyberdéfense ces dernières années : SOC 24/7, EDR, segmentation réseau, Zero Trust… Les hackers, pragmatiques et opportunistes, ont rapidement adapté leur stratégie. Plutôt que de s’attaquer frontalement à une cible bien protégée, ils visent désormais ses sous-traitants, ses prestataires et ses fournisseurs — souvent moins bien armés pour résister.
Les chiffres parlent d’eux-mêmes. Selon le Verizon Data Breach Investigations Report 2025, la proportion de violations de données impliquant un tiers a doublé en un an, passant de 15 % à 30 %. En France, la CNIL a enregistré 5 629 notifications de violations en 2024, soit une hausse de 20 % par rapport à 2023, et le nombre de violations massives (touchant plus d’un million de personnes) a doublé.
CHIFFRES CLÉS
- 30 % des violations de données impliquent un tiers (Verizon DBIR 2025)
- 97 % des organisations ont subi au moins une violation de leur supply chain en 2025
- 4,88 M$ de coût moyen par violation de données (IBM 2024)
- Les attaques supply chain ont doublé depuis avril 2025
- En France, 218 incidents cyber ont visé les collectivités en 2024
1. Le nouveau terrain de chasse des cybercriminels
Le raisonnement des attaquants est d’une logique implacable. Les cybercriminels ne cherchent plus à pénétrer directement les systèmes d’information des grandes organisations. Ils ciblent leurs prestataires, leurs sous-traitants informatiques, leurs fournisseurs de logiciels — autant de portes dérobées vers des données sensibles. Ce phénomène n’est pas nouveau — l’attaque SolarWinds en 2020 avait déjà révélé l’ampleur du risque — mais il connaît une accélération sans précédent. Le World Economic Forum note dans son Global Cybersecurity Outlook 2025 que seulement 27 % des chaînes d’approvisionnement sont régulièrement évaluées par les organisations clientes en matière de cybersécurité.
2. Des exemples récents qui donnent le vertige Change Healthcare (février 2024)
Le groupe de ransomware ALPHV/BlackCat a frappé Change Healthcare, filiale d’UnitedHealth Group. Cette entreprise traite environ 15 milliards de transactions de santé par an. Les conséquences : près de 900 000 médecins, 33 000 pharmacies et 5 500 hôpitaux paralysés. Coût total : plus de 2,87 milliards de dollars. 100 millions de personnes ont vu leurs données de santé compromises. Viamedis et Almerys (février 2024) — En France, la double attaque contre ces deux opérateurs de tiers payant a compromis les données de sécurité sociale de 33 millions de Français. La FFF, le Ministère des Sports, ManoMano… — L’année 2025 est celle des attaques par ricochet en France. La FFF piratée via un prestataire vulnérable, le Ministère des Sports via le dispositif Pass’Sport (3,5 millions de foyers), ManoMano via un sous-traitant de service client. 72 collectivités allemandes parralysées d’un seul coup — La compromission d’un fournisseur de solutions informatiques a touché simultanément 72 collectivités et 20 000 postes de travail, impactant 1,7 million d’habitants.
3. Collectivités territoriales : des cibles particulièrement exposées
L’ANSSI a dénombré 218 incidents cyber ciblant les collectivités en 2024, dont 33 classés en criticité élevée. Une collectivité sur dix déclare avoir été victime d’au moins une cyberattaque dans les douze derniers mois. Selon HarfangLab, 60 % des collectivités de moins de 5 000 habitants se sentent peu ou pas exposées, et seulement 23 % estiment disposer d’un dispositif de gestion de crise adapté.
4. Le TPRM n’est plus une option, c’est un impératif
La sécurité d’une organisation s’aligne sur celle de son maillon le plus faible. Investir des millions en cyberdéfense interne sans évaluer et piloter le risque de ses tiers revient à blinder sa porte d’entrée en laissant les fenêtres grandes ouvertes. Le marché mondial du TPRM reflète cette urgence : évalué à 8,3 milliards de dollars en 2024, il devrait atteindre 18,7 milliards en 2030 (croissance annuelle de 14,5 %). Les coûts des attaques liées à la supply chain logicielle devraient atteindre 60 milliards de dollars en 2025. CONTEXTE RÉGLEMENTAIRE : NIS 2 ET DORA - Directive NIS 2 : en cours de transposition en France, impose des obligations renforcées de sécurité de la supply chain, avec des sanctions pénales pour les dirigeants. - Règlement DORA : applicable depuis janvier 2025 dans le secteur financier, impose une gestion rigoureuse du risque lié aux prestataires TIC tiers. - Sanctions RGPD : la CNIL a infligé 55 millions d’euros d’amendes en 2024.
5. Les piliers d’une démarche TPRM fiable
Cartographier l’intégralité de son écosystème tiers — L’entreprise moyenne travaille désormais avec 286 fournisseurs (+21 % en un an). 64 % des entreprises évaluent désormais aussi les fournisseurs de leurs fournisseurs. Évaluer le risque de chaque tiers de manière proportionnée — Un programme TPRM efficace procède à un tiering intelligent et adapte la profondeur de l’évaluation en conséquence. 94 % des entreprises reconnaissent ne pas évaluer tous les fournisseurs qu’elles souhaiteraient. Passer à une surveillance continue — Les évaluations ponctuelles ne suffisent plus. 49 % des organisations ont subi un incident cyber lié à un tiers au cours des 12 derniers mois. Intégrer le TPRM dans la gouvernance stratégique — Seulement 40 % des organisations présentent un rapport au conseil d’administration sur leur programme TPRM. 57 % considèrent que le risque numéro un lié aux tiers est la perturbation de leurs opérations.
Conclusion : agir maintenant, avant d’être le prochain cas d’école.
Les attaquants ne s’achètent plus un bélier pour enfoncer votre porte : ils empruntent les clés de votre fournisseur. Dans un écosystème numérique de plus en plus interconnecté, la sécurité de votre organisation est littéralement celle de votre partenaire le moins vigilant. Que vous soyez une ETI, un grand groupe, une collectivité territoriale ou un établissement public, la question n’est plus de savoir si vous devez lancer une démarche TPRM, mais à quelle vitesse vous pouvez la déployer.
Sources : Verizon DBIR 2025, IBM Cost of a Data Breach 2024, World Economic Forum Global Cybersecurity Outlook 2025, ANSSI, CNIL Rapport annuel 2024, Cyble, Whistic 2025, EY Global TPRM Survey 2025, GlobeNewsWire.