Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Quand le fournisseur est à l’origine de la faille : pourquoi la hausse de 60 % des compromissions de tiers impose la mise en place d’un plan de contrôle

Quand le fournisseur est à l’origine de la faille : pourquoi la hausse de 60 % des compromissions de tiers impose la mise en place d’un plan de contrôle

par Patrick Spencer updated mai 29, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Le DBIR 2026 distingue trois grands types de compromissions impliquant des tiers. Archétype 1 : une vulnérabilité dans le produit d’un fournisseur permet un accès initial à l’environnement du client — c’est l’attaque classique de la supply chain logicielle. Archétype 2 : les données du client se trouvaient déjà dans l’environnement du fournisseur lorsque celui-ci a été compromis. Archétype 3 : le fournisseur a perdu des identifiants ou des clés d’accès, utilisés ensuite par des attaquants contre le client. Le DBIR constate qu’en 2025, on a de plus en plus observé des combinaisons de deux, voire des trois archétypes dans une même compromission — preuve que le modèle « un fournisseur, un incident » sur lequel reposent la plupart des programmes de gestion du risque tiers ne correspond plus à la réalité des incidents.

L’affaire Salesloft Drift en est l’illustration la plus claire. Des jetons OAuth ont été compromis chez le fournisseur (archétype 3), puis utilisés contre la plateforme d’un autre fournisseur hébergeant les données clients (archétype 2), pour exfiltrer des données d’entreprises qui ignoraient tout de cette exposition avant la révélation publique. C’est tout l’enjeu : chaque entreprise avait évalué et accordé sa confiance à Salesloft Drift indépendamment, et cette confiance est devenue le vecteur d’attaque.

5 enseignements clés

1. Les compromissions impliquant des tiers représentent désormais près de la moitié des incidents.

Le DBIR 2026 de Verizon fait état d’une hausse de 60 % des compromissions impliquant des tiers sur un an, atteignant 48 % de l’ensemble des incidents. Le DBIR 2024 en recensait 15 %; le DBIR 2025 environ 30 %; le chiffre de 2026 marque un tournant, déplaçant le problème de la compromission du périmètre de l’entreprise vers l’écosystème des fournisseurs. Le vecteur fournisseur est désormais le principal chemin d’attaque.

2. Un seul plugin SaaS compromis peut compromettre tout le monde.

La campagne de compromission de jetons OAuth Salesloft Drift a entraîné le vol de données clients chez Google, Zscaler, Cisco et d’autres — attribuée à ShinyHunters/UNC6040. La compromission d’un fournisseur s’est transformée en compromission de dizaines d’entreprises sans lien direct avec l’attaquant. C’est le nouvel archétype de compromission par un tiers : une cascade, une attribution, et une propagation structurellement impossible à contenir par les contrôles que les entreprises concernées auraient pu mettre en place elles-mêmes.

3. Les failles MFA persistent.

Seules 23 % des organisations tierces ont entièrement corrigé l’absence ou la mauvaise sécurisation de l’authentification multifactorielle sur leurs comptes cloud. 37 % disposaient d’un compte administrateur avec MFA désactivée sur une offre IaaS. 32 % des problèmes liés à la MFA n’ont jamais été résolus. Le contrôle de base que la plupart des cadres de gestion du risque fournisseur supposent en place fait défaut dans près d’un tiers de l’écosystème — et c’est l’entreprise qui en paie le prix.

4. Les scores de conformité ne sont pas des scores de sécurité.

Le Black Kite Third-Party Breach Report 2026 a constaté une note cyber moyenne de 90,27 (A) sur 200 000 organisations surveillées — pourtant, 53,77 % présentaient au moins une vulnérabilité critique. Parmi les 50 fournisseurs partagés les plus connectés : 70 % affichaient une faille listée CISA KEV, 84 % des vulnérabilités critiques CVSS 8+, 62 % des identifiants dans des logs de stealer. Les attestations annuelles et les scores de certification valident des fournisseurs pourtant exploitables. Les questionnaires statiques ne sont pas conçus pour un délai de divulgation de 73 jours.

5. La réponse architecturale passe par un plan de contrôle.

Messagerie électronique, partage de fichiers, MFT, SFTP, API, formulaires web, intégrations IA : tout est gouverné par un seul moteur de règles, un seul journal d’audit, une seule architecture de sécurité — car le chemin tiers est désormais le chemin de la compromission, et une gouvernance fragmentée produit une investigation fragmentée.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Le problème MFA : 23 % de remédiation ne suffit pas

Le DBIR 2026 révèle un constat discret mais accablant sur l’hygiène MFA chez les tiers. Seules 23 % des organisations ont entièrement corrigé l’absence ou la mauvaise sécurisation de la MFA sur leurs comptes cloud. Le délai médian pour résoudre 50 % des constats liés à la MFA est d’environ un mois, avec près de 32 % des problèmes jamais résolus. Pour les mots de passe faibles et les erreurs de configuration des autorisations, le délai médian pour résoudre 50 % des constats atteint près de huit mois.

Une analyse ponctuelle distincte a montré que 37 % des organisations avaient un compte administrateur avec MFA désactivée sur une offre IaaS — contre seulement 14 % pour une faille similaire sur Snowflake, ce qui suggère que les entreprises ont tiré les leçons des expositions passées sur les data warehouses cloud, mais pas sur l’ensemble de la surface IaaS. Le WEF Global Cybersecurity Outlook 2026 éclaire ce point côté entreprise : le principal risque cyber supply chain dans tous les secteurs est soit le risque d’héritage (incapacité à garantir l’intégrité des logiciels et services tiers), soit le manque de visibilité (incapacité à voir dans la supply chain étendue). Les deux décrivent le même problème structurel : l’entreprise dépend de contrôles qu’elle ne possède pas et ne peut pas vérifier directement.

Conformité n’est pas sécurité : le constat Black Kite

Note cyber moyenne sur 200 000 organisations surveillées : 90,27 (A). Part avec au moins une vulnérabilité critique : 53,77 %. Parmi les 50 fournisseurs partagés les plus connectés : 70 % affichaient une faille CISA KEV, 84 % des vulnérabilités critiques CVSS 8+, 62 % des identifiants d’entreprise dans des logs de stealer, 80 % exposés au phishing, 52 % avec des antécédents de compromission.

Black Kite a recensé 136 incidents de compromission avérés impliquant des tiers en 2025, touchant 719 entreprises nommées publiquement — et estime à environ 26 000 le nombre d’entreprises supplémentaires concernées mais non identifiées publiquement. Délai médian entre la compromission et la divulgation publique : 73 jours. Un programme de gestion du risque fournisseur basé sur des attestations annuelles, un statut de certification ou des scores de conformité ne dispose d’aucun signal pendant 73 jours après l’incident. Les données ont déjà circulé.

JLR et le coût de l’exposition en cascade

Le DBIR 2026 documente la cyberattaque la plus coûteuse de l’histoire du Royaume-Uni : l’attaque ransomware de fin 2025 contre Jaguar Land Rover. Cinq semaines d’arrêt de production. Perte estimée pour JLR : 1,9 milliard de livres sterling. Impact en aval : environ 5 000 entités dans la supply chain. Le PIB britannique a raté sa prévision de 0,1 %, poussant le gouvernement à intervenir via des prêts pour soutenir JLR et ses fournisseurs.

JLR illustre à lui seul l’enjeu macroéconomique des compromissions tierces. Ces 5 000 entités n’avaient pas une sécurité faible — elles étaient connectées à un nœud central qui, lui, l’était. Le modèle de défaillance en cascade est documenté à l’échelle du PIB. La plupart des évaluations du risque tiers traitent chaque fournisseur comme une exposition indépendante, évaluée pour ses propres mérites. En réalité, le schéma est en réseau : une compromission sur un nœud diffuse le risque à tous les nœuds connectés. Black Kite parle de risque de concentration ; le WEF de risque d’héritage ; le DBIR de règle de trois. Ils décrivent tous la même chose.

Pourquoi l’intégration de l’IA est la nouvelle dimension du risque tiers

Chaque intégration IA crée un nouveau chemin de données tiers. L’affaire Salesloft Drift était une compromission de jetons OAuth qui s’est propagée via les autorisations d’intégration cloud. Chaque serveur MCP, chaque plugin IA, chaque workflow IA agentique manipulant des données d’entreprise via un service externe fonctionne sur le même modèle : accès délégué via des jetons, avec la confiance que le service IA respecte le périmètre et les obligations d’audit.

Le CrowdStrike Global Threat Report 2026 le confirme : les acteurs étatiques exploitent de plus en plus des mécanismes d’identité légitimes — fédération, tenants partenaires, OAuth, accès conditionnel — pour maintenir un accès discret et persistant à des données sensibles. À mesure que les intégrations IA se multiplient, le nombre de ces chemins d’accès délégués croît d’autant, et chacun représente un point de cascade potentiel. La question de la gouvernance IA est identique à celle du risque tiers : lorsqu’un service externe détient des jetons lui donnant accès aux données de l’entreprise, comment garantir que cet accès reste limité, temporaire, audité et révocable — quoi qu’il se passe dans l’environnement du service externe ?

La réponse architecturale : un plan de contrôle unique pour tous les canaux de données

Des solutions ponctuelles pour chaque canal d’échange de données fragmentent la visibilité et l’application des règles. Une plateforme pour la messagerie sécurisée, une autre pour le MFT, une troisième pour le SFTP, une quatrième pour les formulaires web, une cinquième pour les API, une sixième pour les intégrations IA : six moteurs de règles, six journaux d’audit, six postures de sécurité. Lorsqu’une compromission tierce survient, la question forensique devient : par quel canal la cascade est-elle passée ? — et la réponse exige de corréler des logs issus de systèmes non conçus pour cela.

Le modèle du plan de contrôle simplifie tout cela. Le Réseau de données privé Kiteworks régit chaque canal d’échange de données sous un seul moteur de règles, un journal d’audit consolidé et une architecture de sécurité durcie. Les engagements architecturaux clés incluent : un moteur de règles unique appliquant des contrôles d’accès par rôle et par attribut sur tous les canaux ; OAuth 2.0 avec PKCE pour les intégrations IA et tierces, avec stockage des jetons dans le trousseau OS, jamais exposés à l’application appelante ; un journal d’audit consolidé capturant chaque activité d’échange de données en temps réel, sans limitation ni délai ; isolation à locataire unique dans une appliance virtuelle durcie éliminant les expositions croisées ; et une défense en profondeur depuis l’appliance — pare-feu intégré, WAF, IDS, double chiffrement FIPS 140-3, mises à jour système en un clic.

Le principe architectural : les données restent gouvernées à l’endroit où elles résident, quel que soit le chemin d’accès tiers. Quand la compromission fournisseur devient le vecteur d’attaque, le contrôle de l’entreprise s’exerce au niveau de la donnée — pas du périmètre du fournisseur.

Que doivent faire les responsables sécurité et risque dès maintenant ?

Premièrement, cartographiez les véritables chemins de données tiers vers l’entreprise. La plupart des inventaires listent les fournisseurs, mais pas les flux de données : quels fournisseurs détiennent quelles catégories de données, quelles intégrations accordent quelles autorisations, quels scopes OAuth sont actifs. L’affaire Salesloft Drift l’a montré : les entreprises qui ignoraient quelles intégrations Drift étaient actives sur leurs instances Salesforce l’ont découvert lors de la gestion d’incident, pas avant.

Deuxièmement, considérez les scores de conformité comme un indicateur parmi d’autres, pas comme une validation. Les fournisseurs notés A présentent régulièrement des expositions critiques. La surveillance continue de la surface d’attaque, la veille sur l’exposition des identifiants sur le dark web et les délais contractuels de notification de compromission complètent le modèle basé sur la certification — sans s’y substituer.

Troisièmement, regroupez les canaux d’échange de données lorsque cela réduit le rayon d’impact. Chaque canal fragmenté est un point d’entrée potentiel pour une cascade tierce. Un plan de contrôle gouverné — un chemin d’attaque avec application cohérente des règles — est structurellement plus défendable que cinq outils aux postures de sécurité indépendantes.

Quatrièmement, imposez la MFA sur chaque compte administrateur de chaque plateforme IaaS utilisée par l’entreprise — et vérifiez-la. Le déficit de 37 % documenté par le DBIR concerne les propres configurations de l’entreprise, pas seulement celles du fournisseur. C’est l’amélioration la plus rapide et la moins coûteuse de tout le panorama du risque tiers.

Cinquièmement, constituez des preuves prêtes à l’audit de chaque mouvement de données inter-organisationnel avant la prochaine compromission fournisseur. La trace forensique existe ou non. La bâtir après la révélation — avec déjà 73 jours de retard — coûte bien plus cher que de l’anticiper.

Pour en savoir plus sur la protection de vos données sensibles face au risque tiers, réservez votre démo personnalisée sans attendre.

Foire aux questions

Les compromissions impliquant des tiers ont augmenté de 60 % sur un an et représentent désormais 48 % de tous les incidents. La cascade OAuth Salesloft Drift vers Google, Zscaler, Cisco et d’autres en est l’exemple type. Le risque tiers n’est plus un risque périphérique : il constitue près de la moitié du problème, et la combinaison des archétypes rend les modèles classiques de gestion du risque fournisseur obsolètes.

Chaque intégration à accès délégué — jetons OAuth, serveurs MCP, plugins IA, API partenaires — constitue un point de cascade potentiel. Le DBIR montre que les combinaisons de schémas de compromission fournisseur sont désormais la norme. Pour s’en prémunir, il faut inventorier les flux de données réels (et pas seulement la liste des fournisseurs), restreindre les scopes des jetons, surveiller l’exposition des identifiants dans les logs de stealer et regrouper les échanges de données sous une piste d’audit unifiée.

Les certifications constituent une base utile — mais ne valent pas validation. Le rapport Black Kite 2026 a révélé une note cyber moyenne de 90,27 (A) sur 200 000 organisations, alors que 53,77 % présentaient encore des vulnérabilités critiques. La surveillance continue de la surface d’attaque, la veille sur l’exposition des identifiants et les délais contractuels de notification de compromission doivent compléter — sans remplacer — le modèle basé sur la certification.

Les régulateurs attendent des preuves tangibles de la visibilité sur les flux de données et des journaux d’audit prêts à l’emploi pour tout mouvement de données inter-organisationnel. Le délai médian de 73 jours entre compromission et divulgation, documenté par Black Kite, signifie que les entreprises découvrent souvent la compromission d’un fournisseur bien après les faits. Un journal d’audit consolidé sur tous les canaux d’échange de données constitue la base pratique de cette preuve — et fait la différence entre une posture de conformité défendable et un risque de responsabilité détectable au titre de l’article 30 du RGPD et de la HIPAA.

La consolidation permet de passer de cinq moteurs de règles, cinq journaux d’audit et cinq postures de sécurité à un seul de chaque. Les schémas de cascade tiers décrits par le DBIR plaident directement pour cette approche : lorsqu’une compromission traverse plusieurs canaux, la trace forensique doit aussi le faire. Le Réseau de données privé Kiteworks offre ce plan de contrôle sur la messagerie, le partage de fichiers, le SFTP, le MFT, les API, les formulaires web et les intégrations IA, sous un moteur de règles et un journal d’audit immuable.

Ressources complémentaires 

  • Article de blog
    Comment concevoir un workflow de transfert sécurisé de fichiers pour les fournisseurs et sous-traitants tiers
  • Article de blog
    L’importance de la gestion du risque fournisseur pour les RSSI
  • Article de blog
    Comment protéger la propriété intellectuelle lors de collaborations avec des tiers externes
  • Article de blog
    Contrer les menaces grâce à la sécurité et à la gestion des risques de la supply chain
  • Article de blog
    Fuites de données partenaires : votre sécurité dépend de votre maillon le plus faible

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks