Le secteur des technologies connaît une baisse marquée des taux de violation par des tiers
L’approche du secteur technologique en matière de cybersécurité progresse réellement. Le rapport 2025 Global Third-Party Breach Report de SecurityScorecard le confirme. Les violations liées aux produits et services technologiques sont en baisse, passant de 75 % précédemment à 46,75 % aujourd’hui. C’est remarquable. Cela montre que les efforts concertés en matière d’approvisionnement, d’infrastructure de sécurité et de surveillance des fournisseurs portent leurs fruits. Les entreprises technologiques apprennent vite, s’adaptent plus rapidement et leurs défenses deviennent plus difficiles à pénétrer.
C’est la preuve que les principes fondamentaux de la sécurité, la visibilité constante, la détection proactive des menaces et l’évaluation des fournisseurs en fonction des risques, peuvent fonctionner. Si cela peut se produire ici, d’autres secteurs devraient en prendre note. Mais ne réagissez pas trop vite aux chiffres, la technologie n’est pas devenue invulnérable. Ce déclin signifie que les attaquants changent d’objectif, mais n’abandonnent pas. Ils recherchent toujours des points d’entrée, mais ils passent moins de temps sur la frontière traditionnelle et plus de temps à la contourner. C’est la diversification des surfaces d’attaque.
Pour l’avenir, les dirigeants devraient moins considérer cela comme un signe de relâchement que comme une validation de la nécessité de redoubler d’efforts. Cette réduction ne signifie pas que le risque a disparu. Il a simplement changé de forme. Les conseils d’administration et les équipes de direction doivent continuer à investir dans le suivi en temps réel, dans une meilleure gouvernance des fournisseurs tiers et dans des examens plus rigoureux des achats. La sensibilisation de l’ensemble de la chaîne permet de maintenir la pression sur les attaquants potentiels.
L’accès par des tiers apparaît comme un vecteur d’attaque privilégié
Une chose devient de plus en plus claire : les attaquants ne perdent pas de temps à s’attaquer à la porte d’entrée. Ils ciblent les fournisseurs tiers pour s’étendre rapidement et discrètement. Le 2025 Global Third-Party Breach Report rend cette tendance incontournable : 41,4 % des attaques par ransomware impliquent désormais des points d’accès tiers. C’est presque la moitié. Il ne s’agit pas de cas isolés. Il s’agit d’un phénomène systémique.
L’accès par des tiers permet aux acteurs de la menace d’atteindre des cibles et d’être efficaces. Il leur permet d’atteindre plusieurs environnements par le biais d’une seule couche, en utilisant l’accès au fournisseur comme rampe de lancement. C’est précisément la raison pour laquelle les groupes parrainés par l’État et les opérateurs de ransomwares donnent la priorité à l’accès par des tiers. Ryan Sherstobitoff, vice-président de la division STRIKE Threat Research and Intelligence de SecurityScorecard, ne mâche pas ses mots : « Les acteurs de la menace donnent la priorité à l’accès par des tiers en raison de son évolutivité. Si vos équipes n’examinent les risques liés aux fournisseurs qu’une fois par an, vous êtes en retard sur la vitesse de ces menaces.
Les examens périodiques ne suffisent plus, surtout lorsque les adversaires recherchent des opportunités en temps réel. Les responsables de la sécurité doivent remplacer les audits programmés par une surveillance continue. Le passage d’une diligence raisonnable basée sur une liste de contrôle à une surveillance dynamique est ce qui différencie les entreprises qui détectent rapidement les violations de celles qui s’en rendent compte trop tard.
Les dirigeants devraient travailler en étroite collaboration avec leurs DSI et RSSI pour s’assurer que l’accès des fournisseurs est surveillé en permanence, avec des alertes en temps réel et des capacités de réponse automatisées. Il s’agit de détecter les problèmes avant que les dommages ne s’étendent à l’ensemble de la chaîne d’approvisionnement.
Les secteurs du commerce de détail et de l’hôtellerie sont confrontés aux taux d’infraction les plus élevés
Alors que le secteur technologique améliore son dispositif de sécurité, le commerce de détail et l’hôtellerie sont désormais sous le feu des critiques. Selon le 2025 Global Third-Party Breach Report de SecurityScorecard, le commerce de détail et l’hôtellerie affichent le taux de violation le plus élevé, soit 52,4 %. Ce taux est supérieur à celui du secteur technologique (47,3 %) et à celui de l’énergie et des services publics (46,7 %). Ces secteurs, riches en données sur les consommateurs et souvent tributaires d’un large éventail de fournisseurs externes, deviennent des cibles précieuses pour les acteurs de la menace qui constatent une maturité inégale en matière de sécurité dans les chaînes d’approvisionnement.
Ce qui se passe ici, c’est que les points faibles sont exposés. De nombreuses organisations dans ces secteurs sont confrontées à des infrastructures fragmentées, à des outils obsolètes et à une surveillance limitée des fournisseurs en temps réel. Cela crée un environnement où les failles de sécurité des tiers sont plus faciles à exploiter. Plus de points de contact numériques signifient plus de points d’entrée potentiels si la surveillance et les protocoles de défense ne sont pas solides à chaque niveau.
Il convient également de noter la distinction entre le volume et le taux. Le secteur secteur des soins de santé a signalé le plus grand nombre de violations (78), mais son taux de violation n’est que de 32,2 %. Cela nous indique que les réseaux de soins de santé sont vastes et probablement ciblés fréquemment, mais leurs contrôles semblent réduire les dommages proportionnels. En revanche, les secteurs de la vente au détail et de l’hôtellerie ont affaire à un plus petit nombre de fournisseurs ou de systèmes, mais laissent passer trop de risques.
Cela devrait être un signal clair pour les dirigeants du commerce de détail, de l’hôtellerie et des autres secteurs exposés : il est temps de se mettre à niveau. Vos systèmes frontaux peuvent sembler à la pointe du progrès, mais vos normes d’approvisionnement et vos outils de contrôle des fournisseurs doivent être à la hauteur de ce niveau de sophistication. Donnez la priorité à la visibilité sur les comportements des tiers et appliquez des exigences contractuelles plus strictes en matière de pratiques de cybersécurité.
Les disparités géographiques mettent en évidence les vulnérabilités régionales
L’exposition aux violations de tiers n’est pas uniformément répartie. L’emplacement joue un rôle important. Le 2025 Global Third-Party Breach Report le montre clairement : les taux de violation varient considérablement d’un pays à l’autre, souvent en fonction de la qualité du développement et de l’application de leurs écosystèmes en matière de réglementation, d’infrastructure et de cybersécurité. Singapour arrive en tête avec un taux de violation de 71,4 %, suivi de près par les Pays-Bas (70,4 %) et le Japon (60 %). Les États-Unis, quant à eux, affichent un taux d’infraction relativement plus faible (30,9 %), soit 4,6 % de moins que la moyenne mondiale.
Ces données indiquent deux choses. Premièrement, les acteurs de la menace se concentrent fortement sur les régions à forte densité numérique et aux chaînes d’approvisionnement complexes. Ces pays ont tendance à avoir plus de partenaires, plus d’intégrations et une plus grande surface à défendre. Deuxièmement, même dans les pays où l’économie numérique est forte, comme les États-Unis, les chiffres sont moins élevés parce que les normes de détection, de prévention et de réglementation peuvent être davantage alignées sur les meilleures pratiques. Lorsque la visibilité des risques de base et l’application de la loi sont plus mûres, le nombre de violations diminue.
Les dirigeants qui opèrent sur les marchés internationaux doivent considérer ces variations régionales non seulement comme des statistiques, mais aussi comme des indicateurs de risque opérationnel. La cybersécurité est mondiale, mais l’infrastructure, les exigences de conformité et la maturité des fournisseurs ne sont pas uniformes. La politique de sécurité doit être adaptée au niveau local. Ce qui fonctionne aux États-Unis peut ne pas fonctionner en Asie du Sud-Est ou dans l’Union européenne sans ajustements.
Pour garder une longueur d’avance, les entreprises ont besoin d’une préparation aux violations spécifique à chaque région, de politiques traduites, de renseignements sur les menaces localisées, de ressources dédiées dans les zones à haut risque et d’équipes d’approvisionnement qui comprennent les risques spécifiques à la géographie. Si elles ne s’adaptent pas aux différences régionales, les entreprises sont obligées de réagir lorsqu’elles sont confrontées à un contrôle réglementaire ou à une violation.
Il est essentiel de coordonner les pratiques de sécurité et d’assurer une surveillance rigoureuse des fournisseurs.
Lorsqu’il s’agit de gérer les risques liés aux tiers, les efforts fragmentés ne suffisent pas. Le 2025 Global Third-Party Breach Report renforce la nécessité d’une approche stratégique unifiée qui va au-delà de la diligence raisonnable de base. Les responsables de la sécurité doivent adapter leurs cadres de gestion des risques au profil spécifique de leur secteur, car les secteurs ne sont pas confrontés aux mêmes menaces, et leurs fournisseurs non plus.
La géographie, la structure organisationnelle et les technologies utilisées sont autant d’éléments qui influencent l’exposition au risque. Une politique unique ne peut pas tout régler. Ce qu’il faut, c’est une approche qui intègre ces variables dans les achats, les conditions contractuelles légales et la surveillance continue des fournisseurs. Cela signifie qu’il faut fixer des exigences dès le départ et tenir les fournisseurs pleinement responsables, non seulement lors de l’intégration, mais aussi tout au long du cycle de vie de la relation.
Le rapport souligne également l’importance de la gestion du risque de quatrième partie, c’est-à-dire l’exposition provenant des fournisseurs de vos fournisseurs. De nombreuses violations ne se produisent pas directement, mais par l’intermédiaire de maillons moins visibles de la chaîne. Pour réduire cette surface, les contrats devraient exiger des fournisseurs qu’ils mettent en place des programmes formels et validés d’atténuation des risques pour les tiers. Sans cette pression exercée en amont, vos propres protections sont incomplètes.
Pour les dirigeants, cela signifie qu’il faut repenser la façon dont les achats collaborent avec les équipes de sécurité. La sélection des fournisseurs ne doit plus se fonder uniquement sur le coût, l’évolutivité ou la commodité. Elle doit également tenir compte de la maturité cybernétique et de la capacité à respecter des normes formelles et applicables. Les organisations qui n’intègrent pas ces éléments dans leurs pratiques opérationnelles risquent d’hériter de maillons faibles qu’elles ne peuvent ni contrôler ni auditer.
Les responsables de la sécurité doivent également rendre compte des indicateurs de performance des fournisseurs avec la même rigueur que les systèmes internes. Si vos engagements avec des tiers fonctionnent en silosvous abandonnez trop de contrôle. Une surveillance coordonnée, mesurable et proactive n’est plus facultative, elle est fondamentale.
Les technologies sécurisées dès la conception et le renforcement des normes d’approvisionnement sont essentiels.
Adopter sécurisées dès la conception est une nécessité. Le 2025 Global Third-Party Breach Report confirme que les organisations qui s’appuient sur des systèmes dotés de fonctions de sécurité intégrées sont mieux placées pour gérer les risques externes croissants. Ces technologies réduisent la dépendance à l’égard des correctifs après coup ou des contrôles réactifs. La conception est importante. Si le produit ou le service pénètre dans votre environnement avec des vulnérabilités inhérentes, les correctifs en aval ne résoudront pas le problème à la source.
SecurityScorecard soutient également l’adoption plus large d’initiatives de conception sécurisée, en soulignant les programmes tels que ceux menés par l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA). Ces initiatives préconisent des normes de conception plus élevées, notamment des valeurs par défaut sécurisées, des configurations renforcées et la transparence en matière d’exposition aux risques. Le message est clair : les futures stratégies de passation de marchés doivent aller au-delà de la fonctionnalité et se concentrer fortement sur la posture de sécurité en tant que critère de sélection.
Cette évolution nécessite un changement dans la manière dont les équipes dirigeantes considèrent les achats informatiques, non pas comme une fonction d’optimisation des coûts, mais comme un investissement à risque à long terme. La sélection des technologies devient plus stratégique lorsque les paramètres de cybersécurité sont pris en compte au même titre que les performances opérationnelles ou la vitesse de déploiement.
Les dirigeants devraient veiller à ce que les politiques d’achat exigent une validation explicite de l’alignement des nouveaux outils ou plates-formes sur une architecture favorable à la sécurité. Les contrats doivent comporter des clauses claires sur les seuils de risque acceptables, les fonctions de sécurité obligatoires et les obligations de maintenance permanente. Soutenir les fournisseurs qui s’engagent à respecter ces normes permet de réduire l’exposition et d’améliorer la résilience de l’ensemble de l’entreprise.
Renforcer les infrastructures critiques en améliorant les mesures de sécurité
Les outils de transfert de fichiers et les services cloud continuent d’être des cibles privilégiées pour les attaquants. Ces systèmes servent souvent de points clés de communication et d’intégration entre les réseaux internes, les fournisseurs et les plateformes orientées vers les clients. Lorsqu’ils sont exploités, les perturbations sont immédiates et généralisées. Le 2025 Global Third-Party Breach Report renforce la nécessité de donner la priorité à ces environnements à fort impact par des mesures de sécurité directes et continues.
Ces systèmes ne peuvent pas s’appuyer sur des paramètres par défaut ou des audits peu fréquents. La base doit être une protection proactive, en commençant par des configurations renforcées, une authentification multi-facteurs (MFA) et une surveillance continue en temps réel. À elle seule, l’authentification multifactorielle réduit considérablement les accès non autorisés, en particulier dans les situations où des informations d’identification volées ou des autorisations mal configurées sont en jeu.
Les organisations qui utilisent des environnements cloud évolutifs ou qui s’appuient sur de grands volumes de données circulant entre les plateformes doivent également mettre en œuvre des évaluations de sécurité fréquentes. Les tests de pénétration et les audits de conformité programmés ne sont plus assez réactifs. SecurityScorecard le dit clairement : les menaces qui pèsent sur ces systèmes sont à la fois persistantes et ciblées, et les dirigeants doivent allouer des ressources en fonction de ce rythme.
Pour les dirigeants, il s’agit d’une question de visibilité et de contrôle à la vitesse opérationnelle. Les infrastructures à haut risque doivent être examinées en même temps que les indicateurs clés de performance de l’entreprise. Si votre système de transfert de fichiers ou votre plateforme cloud est compromis, tout est en jeu, de la conformité à la confiance des clients.
Les dirigeants doivent s’assurer que les équipes de sécurité déploient des contrôles solides et vérifient en permanence leur efficacité. Les attaquants ciblant spécifiquement ces points finaux dans tous les secteurs mondiaux, la capacité à détecter et à contenir rapidement les brèches dépend de la manière dont ces systèmes sont fortifiés et observés.
Analyse complète à partir de diverses sources de données
Une prise de décision efficace dépend de données précises, pertinentes et de grande envergure. Le 2025 Global Third-Party Breach Report se distingue par le fait que ses conclusions reposent sur un ensemble de données stratifiées. SecurityScorecard combine des informations de sources ouvertes, des recherches formelles sur la sécurité et des divulgations gouvernementales pour produire une vue plus complète du paysage actuel des atteintes à la vie privée. Les dirigeants disposent ainsi d’une base de référence plus fiable pour évaluer l’émergence des risques et la meilleure façon d’y répondre.
Contrairement aux rapports qui s’appuient sur des incidents isolés ou des divulgations volontaires, cette analyse couvre 1 000 violations dans tous les secteurs d’activité et toutes les régions. Elle inclut à la fois les incidents impliquant des tiers et ceux qui ne le sont pas, offrant ainsi un contexte qui met en évidence des modèles plutôt que des défaillances ponctuelles. Cette inclusion plus large est importante. Elle permet de mieux comprendre comment la posture de sécurité, le modèle d’entreprise, la géographie et l’écosystème des fournisseurs influent sur l’exposition réelle.
Pour les chefs d’entreprise, il est intéressant de s’appuyer sur ce type d’informations plutôt que sur des enquêtes à plus petite échelle ou des évaluations anecdotiques. La granularité de ce rapport permet de mieux définir les priorités et d’allouer les ressources, des étapes essentielles alors que les budgets de sécurité augmentent et que les attentes croissent encore plus rapidement. Il permet également aux DSI, aux RSSI et aux membres du conseil d’administration d’avoir des conversations plus éclairées en fournissant des repères clairs basés sur des données diverses.
Pour obtenir des informations exploitables, il faut des données complètes. Les dirigeants doivent privilégier les sources de renseignements qui apportent des perspectives multiples et qui décomposent les modèles en fonction de l’industrie, de la géographie et de l’infrastructure. Tout ce qui n’est pas fait dans ce sens ouvre la voie à des angles morts. Les acteurs de la menace s’adaptant rapidement, le renseignement en temps réel et multi-sources est un élément essentiel de la stratégie de la direction, et pas seulement des opérations informatiques.
Récapitulation
Les menaces évoluent. Les attaquants sont plus intelligents, plus rapides et plus stratégiques, et ils contournent les cibles directes en faveur d’un accès plus évolutif par l’intermédiaire des fournisseurs et de l’infrastructure numérique. Les données de 2025 le montrent clairement. Mais elles montrent également qu’une exécution disciplinée fonctionne. La baisse des taux d’intrusion dans le secteur technologique prouve que la surveillance en temps réel, les systèmes sécurisés dès la conception et la supervision des fournisseurs à plusieurs niveaux donnent des résultats.
Les dirigeants n’ont pas besoin de maîtriser tous les détails techniques, mais ils doivent diriger avec précision. Cela signifie qu’il faut investir dans la visibilité des risques tout au long des chaînes d’approvisionnement, exiger des fournisseurs qu’ils respectent des normes plus strictes et mettre en place des politiques d’achat qui favorisent la résilience plutôt que la rapidité à court terme. Cela signifie également qu’il faut rester agile, car ce qui est sûr aujourd’hui ne le sera peut-être pas demain.
Le marché évolue, mais pas les fondamentaux. Les failles se produisent lorsque la visibilité est faible, la surveillance insuffisante et la responsabilité mal définie. Corrigez ces lacunes et vous aurez toutes les chances de vous en sortir.
