Securise - experts certifiés en cybersécurité pour les PME

Supply chain en 2026 : ne devenez pas le maillon faible de vos clients

Les cyberattaques ciblent désormais les prestataires et sous-traitants. Gîtes de France, Almerys, Red Hat : comment une PME évite d'infecter ses propres clients.

En 2026, les cybercriminels ont changé de cible. Plutôt que d’attaquer frontalement les grandes entreprises bien protégées, ils visent leurs sous-traitants et prestataires, souvent des PME aux moyens plus limités. C’est l’attaque sur la chaîne d’approvisionnement (supply chain attack).

Qu’est-ce qu’une supply chain attack ?

Elle consiste à pirater un fournisseur ou prestataire pour accéder indirectement aux données de ses clients. L’attaquant cible le maillon le plus faible de la chaîne.

Trois cas récents illustrent le phénomène :

  • Gîtes de France : via le prestataire Itea (logiciel de réservation), 389 000 clients exposés
  • Almerys (tiers payant) : une seule attaque touchant les assurés de dizaines de mutuelles
  • Red Hat : en juin 2026, 32 paquets NPM compromis (96 versions malveillantes publiées en 72 secondes), avec près de 10 millions de téléchargements cumulés et un ver voleur d’identifiants

Pourquoi ces attaques explosent

  • Écart de sécurité : les PME prestataires investissent moins que leurs grands clients
  • Effet multiplicateur : un seul prestataire piraté donne accès à tous ses clients
  • Confiance inhérente : les systèmes sont souvent interconnectés, avec des accès directs aux bases de données

La responsabilité juridique

Sous le RGPD, les deux parties sont responsables :

  • Le responsable de traitement reste tenu de protéger les données, même si la faille vient du prestataire (notification CNIL sous 72 h)
  • Le sous-traitant a ses propres obligations (article 28 : sécuriser, notifier, coopérer)

En pratique, la CNIL peut sanctionner les deux.

Comment ne pas infecter vos clients (en tant que PME prestataire)

Si vos clients vous font confiance, votre sécurité devient un argument commercial, et votre négligence, un risque pour eux.

  1. Sécurisez votre chaîne de build (CI/CD) : les attaques Red Hat et autres passent par des pipelines compromis. Protégez vos secrets, tokens et clés.
  2. Vérifiez vos dépendances : surveillez les paquets tiers (NPM, PyPI…), y compris transitifs, et bloquez les versions trop récentes non validées.
  3. Segmentez et limitez les accès que vous accordez et recevez : principe du moindre privilège, accès limités dans le temps, révocation systématique.
  4. Visez une certification (ISO 27001, SecNumCloud) : elle rassure vos clients et structure votre sécurité.
  5. Faites scanner votre surface d’attaque externe régulièrement pour détecter ce qu’un attaquant verrait.

Comment auditer vos propres prestataires

  • Exigez leurs certifications et leur politique de sécurité avant de signer
  • Inscrivez des clauses de sécurité au contrat : notification sous 24-72 h, droit d’audit, pénalités
  • Utilisez MonAideCyber (ANSSI), un diagnostic gratuit, pour évaluer vos petits prestataires

En 2026, votre sécurité dépend de celle de votre prestataire le moins protégé, et réciproquement.

Sources : AlexiTauzin - Supply chain attack (Gîtes de France, Almerys), Usine Digitale - Cyberattaque chez Almerys, SecurityWeek - Supply Chain Attack Hits 32 Red Hat NPM Packages.