Sûreté des entreprises : TPE, PME, maillon faible de la chaîne d’approvisionnement.

Article du 12/05/2025

En mai 2025, en pleine période de déclaration d’impôts, une vaste fuite de données fiscales a exposé plus de deux millions de contribuables français. L’origine du sinistre ne provenait pas de l’entreprise elle-même (un cabinet de conseil spécialisé dans la gestion de patrimoine), mais d’un centre d’appel sous-traitant dont les protocoles de sécurité se sont révélés défaillants. Un hacker a ainsi pu compromettre ce partenaire et accéder aux informations sensibles (emails, numéros de téléphone, données financières), qu’il a revendues sur le dark web.

Ce cas concret illustre de manière frappante le risque de sécurité majeur posé par des prestataires insuffisamment protégés au sein de la chaîne d’approvisionnement d’une entreprise. Le maillon faible n’était pas le donneur d’ordre bien sécurisé, mais son partenaire externe moins mature en sûreté.

PME et sous-traitants : un risque pour la chaîne de sûreté des entreprises

Les petites et moyennes entreprises (PME) occupent souvent une place critique dans l’écosystème de sûreté des grands groupes, tout en étant souvent moins préparées face aux risques de sécurité. D’après une étude de Marsh McLennan, les PME européennes affichent en moyenne un niveau de cybersécurité inférieur de 15 % à celui des grandes entreprises.

Cette disparité s’explique par des moyens plus limités, mais aussi par un manque de maturité en matière de culture de sûreté.

Le Club des Directeurs de Sécurité des Entreprises (CDSE) souligne ainsi que la mise en place d’une direction sûreté dédiée reste l’apanage des grands groupes, tandis que dans les PME (et même bon nombre d’ETI) cette fonction est souvent négligée. En clair, beaucoup de PME n’ont ni responsable, ni politique de sûreté et de protection contre la malveillance. Cette immaturité fait peser un risque sur l’ensemble de la chaîne : un attaquant qui ne parvient pas à percer les défenses d’un grand compte cherchera le maillon faible du côté de ses sous-traitants ou fournisseurs moins sécurisés.

Toute entité peut être visée dès lors que les précautions nécessaires n’ont pas été prises, ce qui inclut les petites structures souvent trop confiantes. Pour les grandes entreprises, laisser perdurer ces faiblesses chez leurs partenaires revient à sous-estimer un risque systémique capable de les toucher indirectement.

Facteur humain : l’ennemi intérieur

Au-delà des carences structurelles, l’absence de culture de sûreté dans de nombreuses PME se traduit par des comportements à risque et des failles humaines exploitées par les attaquants. Selon le Forum Économique Mondial, 95 % des brèches de sécurité des données trouvent leur origine dans une erreur ou négligence humaine. Un clic imprudent sur un e-mail piégé, un mot de passe trop faible ou un correctif logiciel ignoré suffisent à ouvrir une brèche. La DGSI alerte d’ailleurs que le facteur humain reste le principal vecteur de compromission des systèmes d’information. Faute de formation et de sensibilisation, les employés de prestataires peuvent involontairement commettre des erreurs aux conséquences graves. Par ailleurs, des acteurs malveillants peuvent chercher à manipuler ou à infiltrer ces maillons faibles, humains – ce qu’on appelle l’ingérence.

Un flash récent de la DGSI décrit par exemple comment un salarié d’une entreprise prestataire a pu installer un logiciel espion sur une clé USB afin de voler les identifiants de ses collègues dans un grand groupe industriel. D’autres incidents ont vu des employés de PME sous influence ouvrir des pièces jointes piégées envoyées par de faux recruteurs, entraînant des vols de données massifs. Ces scénarios, autrefois dignes de thrillers d’espionnage, sont désormais bien réels. Ils démontrent que sans vigilance humaine la meilleure infrastructure technique peut être contournée. Le facteur humain mal géré transforme une petite faille en catastrophe, comme l’a montré la fuite de données fiscales : il suffit à un seul employé mal formé ou malveillant chez le sous-traitant pour faire tomber la forteresse.

Mieux se protéger : vers une culture de sûreté partagée dans l’écosystème

Face à ces constats alarmants, les donneurs d’ordres et les PME partenaires doivent agir de concert pour élever le niveau de sûreté de l’ensemble de la chaîne. Voici quelques recommandations concrètes pour renforcer cet écosystème de sécurité :

• Externaliser la fonction sûreté – Une PME qui n’a pas les moyens d’un responsable interne peut faire appel à une prestation sûreté externalisée. Des experts mutualisés ou consultants externes pourront élaborer des plans de sûreté, veiller à l’évaluation des risques et conseiller sur les bonnes pratiques. Cela permet aux petites structures de bénéficier d’un pilotage professionnel de la sûreté sans supporter le coût d’un poste.
• Auditer et certifier les sous-traitants – Les grands groupes doivent auditer régulièrement la sûreté de leurs fournisseurs critiques. Il est recommandé de faire réaliser des audits de sûreté par des prestataires spécialisés de confiance, afin d’identifier les vulnérabilités chez les partenaires et de mettre en place des correctifs. Les liens avec chaque sous-traitant doivent être réévalués : quel accès a-t-il aux données sensibles ? Quels risques fait-il peser ? Une certification minimale ou un label pourrait être exigé des prestataires, garantissant qu’un socle de mesures de protection est en place. De même, des clauses contractuelles de sécurité et de sûreté plus strictes doivent devenir la norme dans les appels d’offres.
• Former et sensibiliser au facteur humain – Aucune technologie ne protège d’une erreur humaine sans une formation adéquate. Il est indispensable d’instaurer une vraie culture de sûreté partagée entre les donneurs d’ordre et les sous-traitants. Chaque employé, du PDG au technicien, doit être formé aux bases de l’hygiène numérique : gestion des mots de passe, détection de phishing, politiques de confidentialité, etc. Des programmes de sensibilisation réguliers, éventuellement mutualisés entre grandes entreprises et leur écosystème de PME, aideront à responsabiliser chacun. L’objectif est de transformer le « maillon faible » humain en première ligne de défense, grâce à la vigilance collective.
• Améliorer la surveillance et la réaction – Pour les entreprises de plus grande taille, il convient d’investir dans des centres de veille et de réponse aux incidents (SOC ou centre opérationnel de sécurité). Une détection proactive des activités anormales peut stopper une intrusion avant qu’elle ne cause des dégâts. En cas d’attaque malgré tout, des procédures claires doivent exister pour isoler le partenaire compromis, informer les autorités compétentes et soutenir le sous-traitant affecté. Entraîner conjointement les équipes (exercices de crise incluant les prestataires) renforce la vigilance de tous et la réactivité en cas d’incident réel.

Conclusion

En matière de sûreté des entreprises, la responsabilité est nécessairement partagée. Le cas de la fuite de données fiscales l’a prouvé : même une organisation parfaitement protégée sur le plan interne peut voir sa sûreté compromise par le maillon faible d’un partenaire.

Les grandes entreprises et les PME sous-traitantes forment un tout interdépendant : la chaîne d’approvisionnement ne sera aussi solide que son maillon le plus fragile. Il appartient donc aux donneurs d’ordre d’accompagner et d’exiger de leurs fournisseurs un niveau de sécurité adéquat, et aux PME d’adopter une culture de sûreté plus rigoureuse. Audit, formation, amélioration continue – ce combat impose une vigilance collective de tous les acteurs. Ingérence, cyberattaques, erreurs humaines : les menaces évoluent sans cesse, et seule une prise de conscience permettra d’endiguer les fuites de données.

En renforçant chaque maillon, c’est toute la chaîne de valeur qui gagne en résilience. Aux entreprises, grandes comme petites, de jouer le jeu de la sécurité collective – car la confiance et la pérennité de tout un écosystème en dépendent.