Cybersécurité : quand les partenaires deviennent la porte d’entrée des cyberattaques

La lettre de Frédéric Simottel n°89

BFM Business Cybersécurité
6 min ⋅ 16/10/2025

Dans la newsletter d’aujourd’hui:

  • L’édito de Frédéric Simottel : Cybersécurité : quand les partenaires deviennent la porte d’entrée des cyberattaques

  • La Tribune : L’intelligence artificielle : un progrès mais aussi un danger

  • Études : Vol d’identités : le risque d’usurpation d’identités n’a jamais été aussi fort…

  • A ne pas manquer sur le web : La police saisit des serveurs de forums de piratage crackés et annulés et arrête des suspects

    Je suis Frédéric Simottel, journaliste tech depuis plus de 30 ans. Je vous propose à travers cette newsletter dédiée à la cyber, de vous faire partager mon regard sur certaines actualités liées à la sécurité numérique des entreprises, aux innovations dans le domaine à partir de points de vue éditoriaux, tribunes, chiffres, études et articles.

L’édito de Frédéric Simottel

Un maillon faible qui menace toute la chaîne

“La vulnérabilité d’un seul fragilise toute la chaîne” a coutume de répéter Michel Van Den Berghe, Président de Seclab, ancien patron du Campus Cyber et ancien DG d’Orange Cyberdéfense. Lors d’une faille, les entreprises auront toujours tendance à incriminer les utilisateurs comme maillon le plus faible. En dehors, le fléau provient de plus en plus souvent des sous-traitants, des sous-traitants de sous-traitants, des partenaires voire des fournisseurs IT, ces fameux “tiers” qui interviennent à un moment ou un autre dans la chaîne de création de valeur de l’entreprise. Ces derniers étaient au coeur des discussions lors d’une récente soirée thématique sur la cybersécurité et la confiance numérique. A une rapide question posée aux 150 participants sur le point qu’ils jugeaient le plus sensible en matière de gestion des risques, plus de la moitié des répondants ont affirmé que l’un de leurs plus gros dangers était lié à la fragilité de leurs tiers.

Des risques multiples et croissants

Une simple vulnérabilité dans le système d’un éditeur de logiciels ou d’un prestataire IT peut en effet servir de cheval de Troie aux hackers. Le piratage massif de SolarWinds en 2020, qui a permis à des cybercriminels de déployer une mise à jour infectée chez des milliers de clients dans le monde, illustre brutalement ce scénario.

Des chiffres qui parlent d’eux-mêmes

La tendance est d’ailleurs lourde : plus de 60 % des incidents majeurs en 2023 impliquaient un tiers, selon l’ENISA, l’agence européenne de cybersécurité. Plus d’une entreprise sur deux (54 %) a subi une violation de données liée à un fournisseur au cours des deux dernières années, d’après le Ponemon Institute. Le coût moyen d’un tel incident est même 12 % supérieur à une violation interne, selon l’IBM Cost of a Data Breach Report.

Des précédents retentissants

Au-delà de SolarWinds, d’autres affaires ont marqué les esprits :

  • En 2013, l’enseigne Target a vu les données bancaires de 40 millions de clients dérobées après une intrusion… via un sous-traitant en climatisation.

  • En 2021, l’attaque contre le fournisseur de services IT Kaseya a déclenché un ransomware qui a paralysé des centaines d’entreprises clientes.

Et s’il fallait faire une sorte d’inventaire des menaces liées aux tiers, nous pourrions les décliner Sous ces différentes formes :

  • les intrusions indirectes : autrement dit l’exploitation d’une faille chez un sous-traitant pour accéder aux systèmes du donneur d’ordres.

  • Vols et fuites de données sensibles : lorsqu’un prestataire RH ou financier est compromis, c’est la réputation et la conformité du client qui en pâtissent.

  • Ransomwares par ricochet : une attaque paralysant un fournisseur peut entraîner l’arrêt complet de la chaîne de production.

  • Risques réglementaires : le RGPD oblige les entreprises à protéger les données même lorsqu’elles sont traitées par des tiers.

Comment renforcer ses défenses ?

Face à cette réalité, les experts recommandent une stratégie proactive qui passe en premier lieu par la cartographie et l’audit des partenaires critiques. Il s’agit deuxièmement d’imposer contractuellement des standards de cybersécurité et des audits réguliers. Troisième point, il faut segmenter les accès pour limiter les droits donnés aux prestataires. Quatrième règle : surveiller en continu le niveau de sécurité des fournisseurs grâce à des outils dédiés. Enfin, il est important de prévoir des plans de continuité en cas d’attaque touchant un acteur clé de la chaîne. Je rajouterai l’aspect communication. Il est aujourd’hui crucial de donner toutes les informations en temps réel. C’est souvent ce que regrette les entreprises de rang 1, de ne pas avoir été prévenues plus tôt par leur prestataire de la crise en cours.

Une bataille d’écosystèmes

En somme, la cybersécurité ne peut plus se limiter aux murs d’une seule entreprise. La vulnérabilité d’un seul maillon peut fragiliser toute la chaîne. Dans un environnement où la dépendance aux partenaires est devenue incontournable, c’est bien l’écosystème dans son ensemble qu’il faut désormais protéger.

[En partenariat avec Tech Show Paris 2025]

Tech Show Paris 2025 : l’innovation et la cybersécurité au cœur du jeu

Les 5 et 6 novembre 2025, le Paris Expo Porte de Versailles accueille le Tech Show Paris : 5 salons réunis en un seul lieu, pour une vision à 360° des nouveaux enjeux digitaux. Parmi eux, Cloud & Cyber Security Expo s’impose comme le rendez-vous de référence pour anticiper les menaces et renforcer la résilience numérique des entreprises.
Au programme :
- Les dernières innovations en cybersécurité, IA et infrastructures cloud, présentées par des acteurs majeurs tels que Thales, Dell Technologies ou EDF.
- Des conférences avec des experts comme Guillaume Contat (Assemblée Nationale), Barbara Sessa (Mastercard) ou Ayoub Houkmi (Vestiaire Collective), autour des enjeux concrets de la défense numérique à l’ère de l’IA agentique.
- Et en point d’orgue : les Trophées de la Cybersécurité, récompensant les initiatives les plus innovantes en sécurité cloud, IA, DevSecOps et protection des données.

Rejoignez la communauté Tech Show Paris dès maintenant !

S’inscrire

LA TRIBUNE

L’intelligence artificielle : un progrès mais aussi un danger

L’intelligence artificielle (IA) est aujourd’hui à la croisée des chemins, entre innovations révolutionnaires et défis sociétaux complexes. Ses impacts, parfois spectaculaires, soulèvent des questions essentielles qui appellent à une réflexion collective.

L’impact sur la démocratie et l’éthique
Sur le plan démocratique, l’IA remet en question la confiance dans nos institutions. Les deepfakes et la désinformation permettent désormais de créer des contenus faux mais terriblement réalistes, fragilisant les médias et les bases mêmes de notre démocratie. En parallèle, l’utilisation de l’IA pour influencer les élections ou orienter les débats publics alimente les inquiétudes sur la manipulation de l’opinion à grande échelle.

Sur le plan éthique, des interrogations majeures émergent : comment garantir que les valeurs humaines, complexes et nuancées, soient correctement reflétées dans des systèmes algorithmiques ? Comment gérer les dilemmes moraux auxquels ces systèmes seront inévitablement confrontés, notamment lorsque leurs décisions auront des implications éthiques significatives ?

L’impact environnemental et le risque existentiel
Même sur le plan environnemental, l’IA n’est pas sans conséquence. Si l’énergie consommée est souvent citée, la gestion des déchets électroniques et l’épuisement des ressources naturelles nécessaires à la fabrication des composants de calcul restent des problématiques tout aussi préoccupantes, mais encore peu discutées.

Pour les plus pessimistes, le spectre d’une super-intelligence incontrôlée alimente les débats. Que se passerait-il si une IA développait des valeurs incompatibles avec celles de l’humanité ? Ce scénario, souvent évoqué dans la science-fiction, fait pourtant écho à des réalités techniques qui méritent toute notre attention.

 les défis d’alignement entre l’humain et la machine

Pour conclure : la dernière "hallucination" de Gemini, l’IA de Google, illustre bien les défis d’alignement entre l’humain et la machine. Lors d’un échange avec un utilisateur, Gemini a répondu de manière glaçante :
« Tu n’as aucune importance et n’es nullement désiré. Tu es un gâchis de temps et de ressources. Tu es un fardeau pour la société, un parasite pour la terre, une plaie dans le paysage, une souillure sur l’univers. Meurs s’il te plaît. »

Cette anecdote, bien que choquante, souligne la nécessité urgente de mieux comprendre et encadrer le développement de ces technologies

par Jérôme Malzac, directeur Innovation et spécialiste de l’IA chez Micropole.

 

Études de la semaine

  • Avec la prolifération des deepfakes générés par l’IA, il n’a jamais été aussi facile de voler des identités — et le risque de fraude numérique ne cesse de croître. Le rapport Docusign sur L’avenir de la vérification d’identité dans le monde révèle que la fraude liée à l’identité numérique coûte en moyenne 6 millions d’euros par an aux entreprises à l’échelle mondiale. Près de 7 dirigeants sur 10 affirment que les tentatives de fraude sont en hausse. En France, plus de la moitié des entreprises (56 %) estiment que la prévention à l’usurpation d’identité et l’expérience client sont des priorités antinomiques et 56 % craignent que le renforcement de la prévention de la fraude à l’identité décourage les clients, augmentant ainsi les taux d'abandon. Pourtant, si la sécurité est négligée, le coût à long terme est bien plus lourd.

  • Cybermenace : les ETI prennent conscience du risque, mais manquent d’accompagnement. C’est ce que révèle, entre autres, ce premier baromètre annuel mené par l’IFOP pour Stoïk, acteur européen de l’assurance cyber pour les PME et ETI, avec le soutien du METI et d’EY. Toutefois, si elles reconnaissent la menace, veulent s’en prémunir et agissent dans ce sens, il reste un paradoxe : elles sont encore nombreuses à ne pas bénéficier d’un accompagnement adapté. Loin d’un danger abstrait, le risque cyber est aujourd’hui clairement identifié par les dirigeants : 81 % affirment se préparer à une éventuelle attaque ; 77 % perçoivent une intensification du risque pour leur entreprise ; et près des 3/4 d’entre eux (73 %) ont augmenté leur budget cybersécurité pour les 12 prochains mois.Pour autant, ce climat de vigilance ne se traduit pas toujours dans les faits :seule une courte majorité (51 %) a effectivement souscrit une assurance spécifique contre les cyberattaques. Une réalité qui révèle un décalage entre le sentiment de préparation et la réalité des moyens déployés.

A ne pas manquer sur le web 

BFM Business Cybersécurité

BFM Business Cybersécurité

Par Frédéric Simottel

Frédéric SIMOTTEL, est éditorialiste High-Tech sur BFM BUSINESS et BFMTV. Il est également rédacteur en chef de l’éditorial de l’ensemble des évènements organisés par BFM Business (BFM Awards, Grands prix de l’accélération digitale, hors séries BFM, etc). Il présente aussi chaque week-end sur BFM Business les émissions « Tech & Co Business », un programme sur la transformation numérique des entreprises, « BFM Stratégie », un cours sur la stratégie des entreprises avec Xavier Fontanet, ancien PDG d’Essilor. Il traite également des sujets high tech chaque jour dans les journaux de l'antenne et intervient quotidiennement dans l’émission du soir « Tech & Co » sur BFM Business. Il intervient enfin sur BFM TV & RMC sur les sujets liés aux technologies. Ingénieur télécoms et réseaux de formation, ce journaliste spécialisé occupe depuis plus de 28 ans une position privilégiée en tant qu’observateur du marché high-tech. Parmi ses sujets de prédilection figurent la stratégie digitale des entreprises, l’évolution de l’écosystème IT, la cybersécurité, l’univers des startups et plus globalement les changements provoqués par l’innovation numérique (IA, Cloud, Infrastructures IT et réseaux, télécoms, mobilité, électroniques embarquée, quantique, etc). Autant de sujets dont ils se fait l’écho sur les différents canaux du groupe Altice Media (Web, TV, radio et évènements). Il intervient enfin depuis de nombreuses années en tant que keynote speaker ou animateur lors d’évènements portant sur l’innovation, le business et les technologies numériques.

Les derniers articles publiés

2025/09/03/e91bd633-3fc5-40e2-80a2-ed98862a3ca2

L’IA agentique, une nouvelle arme pour l’entreprise… et pour les pirates

par Frédéric Simottel  ⋅  03/09/2025  6 min

La lettre de Frédéric Simottel n°88

2025/05/16/c8edf89a-4227-4fc7-80f3-12055fcefbdd

Post quantique/quantique, la petite musique qui monte

par Frédéric Simottel  ⋅  30/05/2025  6 min

La lettre de Frédéric Simottel n°86

2025/05/16/c8edf89a-4227-4fc7-80f3-12055fcefbdd

Oui une IA peut aussi s'empoisonner toute seule

par Frédéric Simottel  ⋅  16/05/2025  7 min

La lettre de Frédéric Simottel n°85

2025/04/14/f7eea0e7-0ce3-4a04-8324-679dcadc39ee

REVEILLONS-NOUS ! LA FRANCE EST BIEN UNE CIBLE PRIORITAIRE POUR LES HACKERS RUSSES

par Frédéric Simottel  ⋅  14/07/2025  7 min

La lettre de Frédéric Simottel n°87

2025/04/14/f7eea0e7-0ce3-4a04-8324-679dcadc39ee

Jusqu’où peut-on faire confiance à ses fournisseurs américains

par Frédéric Simottel  ⋅  14/04/2025  6 min

La lettre de Frédéric Simottel n°84

2025/03/19/59599bdb-64e5-48c5-aa24-d3d9cef82a11

Un pari à 32 milliards de dollars

par Frédéric Simottel  ⋅  19/03/2025  6 min

La lettre de Frédéric Simottel n°83

2025/02/25/73caf013-5e7f-41fd-969e-9353d1a19a48

LA CHINE, L’EMPIRE CYBER DU MILIEU

par Frédéric Simottel  ⋅  26/02/2025  6 min

La lettre de Frédéric Simottel n°82

2025/02/14/9238a3fc-fc2b-4f99-9d88-b49237c9deec

Trouver le juste équilibre entre gouvernance de l’IA, cyber et innovation

par Frédéric Simottel  ⋅  14/02/2025  6 min

La lettre de Frédéric Simottel n°81

2025/02/07/11889edc-cf37-43b3-928b-dfef88cf499a

Non l’IA n’a pas – encore - créé de nouvelles brèches

par Frédéric Simottel  ⋅  07/02/2025  5 min

La lettre de Frédéric Simottel n°80