Applications et services tiers : un maillon de plus en plus faible
![Image Route de la surveillance - épisode 5 : [États-Unis], trouble jeu sur la cybersurveillance](https://incyber.org//wp-content/uploads/2026/02/media-episode-1-885x690.png)
Marks & Spencer, Qantas, Allianz Life, aéroports européens… Les fuites de données se multiplient à travers le monde, impliquant des partenaires et fournisseurs des entreprises visées. Deux experts nous livrent les bonnes pratiques à respecter pour limiter les risques.
En avril 2025, Marks & Spencer (M&S) a subi une cyberattaque majeure qui a perturbé ses opérations, notamment en forçant l’arrêt des commandes en ligne et en affectant la gestion des stocks en magasin (ruptures de produits). L’attaque a été attribuée au groupe Scattered Spider. Celui-ci est passé par une porte dérobée en ciblant un prestataire tiers, en l’occurrence du personnel de Tata Consultancy Services (TCS). Des techniques d’ingénierie sociale ont permis aux attaquants de se faire passer pour des salariés et de récupérer des identifiants d’accès facilitant l’infiltration des systèmes de M&S.
En juillet 2025, la compagnie aérienne Qantas a été victime d’une cyberattaque exposant les données personnelles de 5,7 millions de ses clients. Les informations compromises l’ont été via un éditeur de logiciels, Salesforce. Les cybercriminels ont, une fois de plus, utilisé l’ingénierie sociale pour parvenir à leurs fins. Ils se sont en effet fait passer pour des membres du support informatique afin d’obtenir des accès sensibles. Les informations exfiltrées comprenaient noms, adresses électroniques, numéros de téléphone et dates de naissance des clients, sans toutefois inclure leurs numéros de passeport, mots de passe ou données bancaires. L’attaque a été revendiquée par le groupe criminel Scattered Lapsus$ Hunters qui, faute de rançon payée, a publié les données sur le dark web.
Quelques jours plus tard, Allianz Life, la branche américaine du groupe d’assurance, a elle aussi laissé s’évaporer dans la nature les données personnelles d’environ 1,5 million de clients, conseillers financiers et collaborateurs. Là encore, les attaquants ont accédé à une plateforme tierce (outil de CRM) basée sur le cloud, en utilisant des techniques d’ingénierie sociale.
Enfin, en septembre 2025, une cyberattaque majeure a ciblé plusieurs grands aéroports européens. En cause, le logiciel d’enregistrement des passagers et de dépôt des bagages MUSE, développé par Collins Aerospace, filiale du groupe américain RTX Corporation. Cette attaque a provoqué de longues files d’attente, des retards massifs, l’annulation de très nombreux vols et des opérations d’enregistrement réalisées manuellement faute de système électronique fonctionnel. L’Agence européenne de cybersécurité (ENISA) a confirmé qu’il s’agissait d’une attaque par ransomware visant à bloquer l’accès aux données du logiciel MUSE.
Les compromissions imputables à des tiers en hausse de 68 %
Ces quatre exemples montrent la vulnérabilité croissante des entreprises face aux cyberattaques réalisées par le biais de prestataires tiers. Selon le rapport Data Breach
Investigations Report 2024 de Verizon, les compromissions imputables à un tiers ont représenté 15 % des cyberattaques en 2024, en hausse de 68 % par rapport à l’année précédente. Ce type de compromission englobe les incidents sur les infrastructures de partenaires et les problèmes (directs et indirects) sur la supply chain logicielle.
« C’est une tendance forte. Les cybercriminels ciblent de plus en plus la chaîne d’approvisionnement IT. Cela passe tout d’abord par l’exploitation de failles dans des composants technologiques. Log4shell, qui utilise une vulnérabilité zero-day touchant l’utilitaire Java Log4j, en est un bon exemple. Autre moyen : le ciblage d’infrastructures de cloud ou de fournisseurs de solutions pour, in fine, atteindre de multiples entreprises ou organisations », déclare Bernard Montel, Technical Director EMEA / Security Strategist chez Tenable.
Pour limiter les risques, les outils de détection traditionnels sont extrêmement démunis face à ce type d’attaque. « Cela tient à la fragmentation de la surface d’attaque. Il n’est en effet pas possible de positionner un EDR sur chaque service cloud ou chez chaque fournisseur. Il faut donc inciter ses partenaires à mettre en place de l’hygiène cyber, la prévention étant dans ce domaine plus efficace que la détection » ajoute Bernard Montel.
Cette hygiène cyber passe tout d’abord par une bonne gestion des vulnérabilités, avec édition de rapports prouvant qu’une faille a bien été patchée. Elle passe également par une gestion sérieuse et efficace des accès et des identités… « Il est impératif de piloter les accès à l’infrastructure cloud selon le principe du Just in Time (JIT) Access (accès juste à temps). Cette approche permet de réduire en permanence les niveaux de privilège que certains services possèdent et de ne leur octroyer des niveaux élevés que quand c’est nécessaire », complète Bernard Montel.
Concernant les identités, un autre phénomène doit également être pris en compte : les accès privilégiés sont de plus en plus fréquemment portés par des entités non humaines. « Ces identités machine peuvent être issues de pipelines CI/CD, d’automatisations, d’IA ou d’IA agentiques. L’identité est aujourd’hui devenue une nouvelle frontière. Nous ne sommes plus dans un environnement où il est possible de tout fermer derrière un firewall. Désormais, n’importe qui accède à n’importe quelle donnée, quel que soit sa localisation », note de son côté Jean-Christophe Vitu, VP Solution Engineers EMEA chez CyberArk.
Prospective : la question des risques liés aux projets IA
Autre risque identifié par nos experts : il existe aujourd’hui un lien direct entre les infrastructures de cloud et celles consacrées à l’IA. En effet, la plupart des projets d’IA générative d’entreprise s’exécutent désormais dans le cloud, ce qui représente une nouvelle surface d’attaque. « Nous voyons apparaître des projets d’attaque dédiés aux projets d’IA, via l’exploitation de vulnérabilités. Si les cybercriminels peuvent accéder aux données d’entraînement d’un LLM, ils peuvent les détruire, ce qui ralentit le projet, mais ils peuvent aussi les modifier (data poisoning) », prévient Bernard Montel.
Jean-Christophe Vitu confirme cette tendance émergente liée à l’IA, insistant sur les risques particuliers que l’IA agentique fait peser sur les entreprises. « Un agent IA est à la frontière entre les identités humaines et machines, car son comportement n’est pas prédictible comme peut l’être une application traditionnelle. La compromission d’un agent IA peut se faire au niveau de son code. À l’extrême, elle peut également être réalisée via l’identification d’un mot clé qui pourrait déclencher un kill switch (bouton d’arrêt d’urgence) destiné à saboter l’agent. Enfin, les données auxquelles l’agent accède peuvent elles aussi être compromises », précise Jean-Christophe Vitu.
En guise de conclusion, la question se pose pour les grands groupes de savoir comment gérer le niveau de maturité en cybersécurité de dizaines, voire de centaines de prestataires IT. « La directive NIS2 va forcer les petites et moyennes entreprises essentielles ou importantes à mettre en place les bonnes pratiques. Le seul moyen pour les grands groupes de vérifier que leurs prestataires sont ‘au niveau’ est de s’appuyer sur la règlementation. Un fournisseur qui ne peut prouver avoir mis en œuvre les bonnes pratiques ne sera pas sélectionné par un grand compte. Il faut adopter une approche de réduction de l’exposition par les risques », conclut Bernard Montel.