Découvrez à travers cet article, comment sécuriser la collaboration avec des acteurs externes ?
Toute entreprise doit quotidiennement collaborer avec des acteurs externes. Mais aujourd’hui, cette collaboration est un facteur de risque : 35 % des incidents de cybersécurité survenus en 2025 étaient liés à un tiers. Dans les grandes entreprises, les incidents impliquant un acteur externe représentent même 43 % des cyberattaques ayant eu un impact significatif.
L’essor de ce mode opératoire s’explique facilement : plutôt que d’attaquer frontalement une organisation bien protégée, les cybercriminels préfèrent désormais s’en prendre d’abord à un prestataire, un fournisseur ou un sous-traitant plus vulnérable en vue d’atteindre leur cible principale.
Les DSI et RSSI font donc face à un nouveau défi : comment sécuriser les échanges avec les tiers sans freiner la collaboration ?
Pour maîtriser les risques liés à la collaboration externe, il faut d’abord identifier l’ensemble des acteurs avec qui votre entreprise est amenée à collaborer. Les prestataires IT interviennent directement sur vos infrastructures informatiques et votre système d’information : ils disposent d’accès importants et sont donc une cible privilégiée. Vos fournisseurs jouent également un rôle crucial, puisqu’ils apportent des produits ou des services essentiels à l’activité de votre entreprise et échangent régulièrement des informations commerciales ou contractuelles sensibles.
Vos sous-traitants prennent en charge une partie de la production ou des opérations, parfois avec un accès à vos outils internes. Cela inclut les collaborateurs temporaires comme les freelances qui travaillent pour votre organisation. Les cabinets de conseil ou les auditeurs peuvent travailler sur des documents stratégiques ou disposer d’un accès à vos données financières. Les clients et les prospects interagissent souvent via des portails, des espaces de partage ou des outils de signature électronique.
Chacun de ces acteurs échange avec votre entreprise via des canaux de communication différents : e-mails, visioconférences, partage de fichiers, applications métiers, messaging… La multiplication de ces points de contact étend votre surface d’attaque et certains canaux peuvent échapper à votre surveillance, à l’inverse de vos systèmes internes qui sont constamment supervisés et mis à jour.
La collaboration avec des tiers externes repose sur la confiance. Or, la confiance n'exclut pas le contrôle, surtout en matière de cybersécurité. Mais dans la pratique, il est souvent difficile d’avoir une maîtrise directe sur les pratiques des tiers.
Contrairement à vos collaborateurs internes, les acteurs externes ne sont pas soumis à votre politique de sécurité. Ils utilisent leurs propres outils, leurs propres réseaux, leurs propres mots de passe. Leur niveau de maturité cyber est souvent différent du vôtre. Un prestataire qui utilise le même mot de passe sur toutes ses applications, un fournisseur qui tarde à appliquer un correctif de sécurité, un sous-traitant dont le poste de travail est infecté par un malware sont autant de situations difficiles à anticiper et à contrôler. Un simple email de phishing envoyé depuis la messagerie compromise d'un prospect peut suffire à tromper vos équipes.
À cela s'ajoute la prolifération des accès. Chaque nouveau partenaire se voit attribuer des comptes et des droits d’accès à certaines de vos ressources. Leurs permissions sont parfois paramétrées avec trop de largesse par souci de praticité. Lorsque la collaboration prend fin, la DSI n’est pas systématiquement prévenue à temps et les accès sont alors révoqués en retard. Résultat : des portes sont entrouvertes sur votre SI, parfois pendant des mois.
Les cybercriminels savent identifier et exploiter ces failles. En compromettant un tiers disposant d'accès légitimes à votre environnement, ils peuvent s'y introduire discrètement, sans déclencher aucune alerte. Ces attaques par rebond sont aujourd'hui l'un des vecteurs d'intrusion les plus redoutables.
En cas d’incident lié à un tiers, le risque le plus immédiat est la fuite ou le vol des données sensibles échangées avec l’acteur externe concerné. Il peut s'agir de données commerciales ou stratégiques, de données personnelles liées aux clients, ou encore de propriété intellectuelle comme des brevets. Ces informations sont susceptibles d’être revendues sur le marché noir, d’être diffusées publiquement, ou d’être exploitées pour mener d’autres attaques.
Un autre risque important est celui d’une intrusion dans vos systèmes d’information. Lorsqu’un tiers disposant d’accès légitimes à certaines de vos ressources est compromis, les attaquants peuvent s’infiltrer dans votre SI. Si le tiers compromis est votre prestataire informatique, les conséquences peuvent être particulièrement lourdes car les cybercriminels peuvent élever leurs privilèges afin de prendre le contrôle de vos actifs les plus critiques.
Un tel incident est également susceptible d’affecter la confiance de vos clients et la réputation de votre marque, notamment si leurs données personnelles ont été dérobées.
Enfin, la responsabilité juridique de votre entreprise est engagée. Le RGPD impose au responsable de traitement des données personnelles de s'assurer que ses sous-traitants offrent des garanties de sécurité suffisantes. La directive NIS2 étend cette logique à l'ensemble de la chaîne d'approvisionnement numérique. En cas d'incident impliquant un tiers, c'est bien l'entreprise donneuse d'ordres qui peut être tenue responsable et sanctionnée.
Pour sécuriser la collaboration avec les acteurs externes, il convient d’abord de contractualiser vos exigences de cybersécurité auprès de chacun d’eux. Vous pouvez également intégrer les tiers dans vos programmes de sensibilisation à la cybersécurité afin qu’ils disposent de la même maturité cyber que vos collaborateurs.
Par ailleurs, la gestion des accès joue un rôle essentiel pour prévenir les risques liés à la chaîne d’approvisionnement. Il convient d’appliquer le principe du moindre privilège : chaque tiers ne doit disposer que des droits strictement nécessaires à sa mission.
Il est également possible de mettre en place une cryptographie Zero Knowledge, ce qui garantit que seul l'utilisateur détient l'accès à ses propres données. Ce mécanisme empêche tout accès non autorisé, y compris de la part de l'éditeur de la solution. Néanmoins, il est important de ne jamais stocker côté serveur pour les maintenir hors de portée de toute personne tierce.
Cette approche Zero Knowledge pose une question pratique : comment permettre le recouvrement des accès si l’utilisateur perd ses identifiants ? L’utilisateur peut désigner un Trustee : une personne de confiance qui reçoit une notification pour autoriser le recouvrement du mot de passe, sans jamais avoir accès aux données elles-mêmes.
Vous pouvez également appliquer la règle des deux personnes (Two-man rule) en imposant qu'au moins deux personnes habilitées agissent conjointement pour accéder à certaines ressources critiques, car cela rend toute compromission unilatérale impossible.
En parallèle, il est important de mettre en place une surveillance proactive de vos accès et de vos flux de données. Un monitoring en continu et le paramétrage d'alertes permettent de détecter les activités suspectes et d’empêcher les compromissions avant qu'elles ne se produisent.
Enfin, le choix des outils de collaboration joue aussi un rôle important. Vos échanges avec les tiers doivent s'appuyer sur des solutions chiffrées de bout en bout, que ce soit en matière de partage de fichiers, de messagerie, d’appels audio et de visioconférence.
Les incidents de sécurité liés à des acteurs externes sont désormais le troisième vecteur d’attaque le plus courant derrière le phishing et l’exploitation de vulnérabilités. Ercom aide votre entreprise à protéger sa chaîne d’approvisionnement grâce à deux solutions souveraines qui intègrent le chiffrement de bout en bout. Cryptobox sécurise le partage de fichiers à un niveau Diffusion Restreinte* agréé par l’ANSSI (*renouvellement en cours). Citadel Team est une plateforme de communication qui garantit la confidentialité et l’intégrité de vos échanges par messagerie, audio et visioconférence pour vous permettre de collaborer avec vos tiers en toute sérénité.