Prestataires IT comme risque de sécurité : la sécurité de la chaîne d’approvisionnement pour les PME

Écrit par ExposIQ | mars 19, 2026

Les PME suisses externalisent de plus en plus leur informatique auprès de prestataires externes. Les Managed Service Providers (MSP), les sociétés de services informatiques et les consultants cloud prennent en charge la gestion des réseaux, serveurs et terminaux. C’est souvent judicieux, mais cela crée un risque dont on parle trop peu : votre prestataire informatique dispose d’un accès étendu à vos systèmes. Et s’il est compromis, vous l’êtes aussi.

Le problème : la confiance sans contrôle

Un scénario typique en PME : le prestataire informatique dispose de droits d’administrateur sur le contrôleur de domaine, d’un accès VPN au réseau interne, d’un accès à la configuration du pare-feu et des mots de passe root de tous les serveurs. Il gère les sauvegardes, maintient les mises à jour logicielles et s’occupe des nouveaux collaborateurs.

C’est une relation de confiance considérable. Et dans la plupart des cas, il n’existe aucun contrôle indépendant pour vérifier si le prestataire lui-même applique des pratiques sécurisées. Son propre réseau est-il protégé ? Utilise-t-il l’authentification multi-facteurs ? Ses outils d’accès à distance sont-ils à jour ? Les identifiants de ses clients sont-ils stockés de manière sécurisée ?

La réponse honnête : la plupart des PME ne le savent pas. Et la plupart ne posent pas la question.

Les attaques par la chaîne d’approvisionnement se multiplient

Les attaques par la chaîne d’approvisionnement (supply chain attacks), c’est-à-dire les attaques via les fournisseurs et prestataires de services, font partie des catégories de menaces qui croissent le plus rapidement. La logique est d’une simplicité redoutable : pourquoi un attaquant s’en prendrait-il à 100 PME individuellement alors qu’il peut accéder à toutes les 100 via un seul prestataire informatique ?

Le passé fournit des exemples éloquents :

  • Kaseya VSA (2021) : le groupe de ransomware REvil a compromis le logiciel de gestion à distance Kaseya VSA. Via le mécanisme de mise à jour, le ransomware a été distribué à plus de 1’500 entreprises dans le monde, toutes clientes de MSP utilisant Kaseya. Les PME concernées n’avaient elles-mêmes rien fait de mal.
  • SolarWinds (2020) : des attaquants ont infiltré le processus de compilation du logiciel SolarWinds Orion. La mise à jour manipulée a été distribuée à plus de 18’000 organisations, dont des agences gouvernementales et de grandes entreprises.
  • MOVEit Transfer (2023) : une vulnérabilité dans le logiciel de transfert de fichiers MOVEit a été exploitée par le groupe Clop. Plus de 2’600 organisations et 77 millions de personnes ont été touchées, dont beaucoup indirectement parce que leur prestataire utilisait MOVEit.
  • ConnectWise ScreenConnect (2024) : des vulnérabilités critiques dans le logiciel de support à distance ont permis aux attaquants de prendre le contrôle des systèmes clients via des instances MSP compromises.

Ces incidents ne sont pas des cas isolés, mais un schéma récurrent. L’Agence européenne pour la cybersécurité (ENISA) classe les attaques par la chaîne d’approvisionnement parmi les principales menaces. Et l’Office fédéral de la cybersécurité (OFCS) met régulièrement en garde contre ce risque.

Comment les prestataires informatiques deviennent une porte d’entrée

Les vecteurs d’attaque via les prestataires informatiques sont multiples :

Outils de gestion à distance compromis

Les MSP utilisent des outils comme ConnectWise, Kaseya, Datto ou TeamViewer pour gérer les systèmes de leurs clients. Ces outils disposent par conception d’un accès étendu aux terminaux et serveurs gérés. Une vulnérabilité dans l’outil de gestion à distance ou des identifiants volés du technicien MSP ouvrent la porte à tous les réseaux clients simultanément.

Pratiques non sécurisées chez le prestataire

Toutes les attaques ne reposent pas sur une vulnérabilité logicielle. Problèmes fréquents chez les prestataires informatiques :

  • Réutilisation de mots de passe : le même mot de passe administrateur est utilisé chez plusieurs clients
  • Absence de MFA : les accès à distance aux systèmes clients ne sont protégés que par un mot de passe
  • Bases de données de mots de passe non chiffrées : les identifiants clients sont stockés dans des tableurs Excel ou des gestionnaires de mots de passe non sécurisés
  • Systèmes propres obsolètes : le prestataire patche les systèmes de ses clients, mais pas les siens
  • Absence du principe du moindre privilège : chaque technicien a accès à tous les systèmes clients

Infrastructure partagée

Certains prestataires exploitent des systèmes de monitoring ou de sauvegarde partagés. Si cette infrastructure centrale est compromise, tous les clients connectés sont impactés.

Comment évaluer votre prestataire informatique

La confiance est une bonne chose, mais elle devrait reposer sur une base éclairée. Voici des questions concrètes à poser à votre prestataire informatique :

  1. Contrôle des accès : qui a concrètement accès à nos systèmes ? Existe-t-il un concept d’autorisations basé sur les rôles, ou chaque technicien dispose-t-il d’un accès complet ?
  2. Authentification multi-facteurs : l’accès à nos systèmes est-il protégé par la MFA ? Cela s’applique-t-il également à tous les techniciens du prestataire ?
  3. Gestion des mots de passe : comment nos identifiants sont-ils stockés ? Un gestionnaire de mots de passe professionnel avec chiffrement est-il utilisé ?
  4. Sécurité propre : le prestataire effectue-t-il lui-même des audits de sécurité réguliers ? Dispose-t-il d’une certification ISO 27001 ou d’une attestation équivalente ?
  5. Réponse aux incidents : que se passe-t-il si le prestataire lui-même est compromis ? Existe-t-il un plan pour informer les clients concernés et bloquer les accès ?
  6. Actualisation des logiciels : quels outils de gestion à distance sont utilisés et sont-ils à jour ?
  7. Journalisation : les accès à nos systèmes sont-ils journalisés ? Pouvons-nous consulter ces journaux ?

Si votre prestataire ne peut ou ne veut pas répondre à ces questions, c’est un signal d’alarme.

Pourquoi les PME ont besoin de leur propre scanning de vulnérabilités

Indépendamment de la compétence et de la fiabilité de votre prestataire informatique, il existe de bonnes raisons de disposer de son propre scanning de vulnérabilités :

Visibilité indépendante : votre prestataire informatique a un intérêt inhérent à présenter son propre travail sous un jour favorable. Un scan de vulnérabilités indépendant vous montre la réalité objective : les systèmes sont-ils réellement à jour ? Les règles du pare-feu sont-elles propres ? Y a-t-il des services exposés qui ne devraient pas l’être ?

Maîtrise de son propre risque : la responsabilité de vos données ne peut pas être externalisée. Même si le prestataire informatique gère les systèmes, c’est vous, en tant qu’entreprise, qui portez la responsabilité en cas de perte de données. La nLPD (nouvelle Loi sur la Protection des Données) le stipule sans ambiguïté.

Détection précoce des problèmes : des scans réguliers détectent quand un correctif n’a pas été installé, quand un service est mal configuré ou quand une nouvelle vulnérabilité affecte vos systèmes. Vous pouvez réagir de manière proactive au lieu d’attendre le prochain incident de sécurité.

Base de négociation : avec des résultats de scan concrets, vous pouvez mener des discussions fondées avec votre prestataire. « Notre scan montre que le serveur Exchange n’a pas installé deux correctifs critiques » est un tout autre point de départ que « Tout est sécurisé chez nous ? »

Transparence de la chaîne d’approvisionnement : un scan externe de votre propre infrastructure montre également si les systèmes gérés par le prestataire présentent des vulnérabilités que celui-ci aurait dû corriger.

Trust, but verify

Le principe « Trust, but verify » (faire confiance, mais vérifier) est issu de la diplomatie, mais il est hautement pertinent dans le domaine de la sécurité informatique. Il ne signifie pas que vous devez vous méfier de votre prestataire informatique. Il signifie qu’en tant qu’entreprise, vous ne pouvez pas déléguer entièrement la responsabilité de votre propre sécurité.

Mesures concrètes que chaque PME peut mettre en oeuvre :

  • Scanning de vulnérabilités propre : réalisez des scans réguliers et automatisés indépendamment de votre prestataire informatique
  • Inventaire des accès : tenez à jour une liste de tous les accès externes à vos systèmes (VPN, bureau à distance, portails cloud)
  • Dispositions contractuelles : définissez des SLA pour la gestion des correctifs, l’obligation de MFA et les délais de réponse aux incidents
  • Revues régulières : discutez des résultats de scan trimestriellement avec votre prestataire et faites suivre les points ouverts
  • Processus d’escalade : définissez ce qui se passe si des vulnérabilités critiques ne sont pas corrigées dans un délai convenu

ExposIQ comme contrôle indépendant

ExposIQ permet aux PME suisses de réaliser un scanning de vulnérabilités simple et indépendant, fonctionnant en parallèle du prestataire informatique existant. La plateforme ne nécessite aucune expertise technique : vous saisissez vos domaines et plages d’adresses IP et recevez régulièrement un aperçu actualisé de votre posture de sécurité.

Avec plus de 35 moteurs de scan, 64’000 CVE et un scoring des risques basé sur l’EPSS, vous voyez en un coup d’oeil quelles vulnérabilités existent et avec quelle urgence elles doivent être corrigées. Les résultats fournissent une base objective pour le dialogue avec votre prestataire informatique, ou vous montrent qu’il fait du bon travail.

Hébergé en Suisse, conforme à la nLPD et disponible dès CHF 99 par mois. Car le contrôle indépendant n’est pas un vote de défiance, mais une gestion professionnelle des risques : exposiq.ch

ExposIQ est la plateforme suisse pour la gestion automatisée des vulnérabilités. Nous aidons les PME et les prestataires informatiques à identifier et corriger les vulnérabilités – de manière sécurisée, compréhensible et conforme à la nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Entreprise

À propos Contact Blog
 Politique de confidentialité Conditions d'utilisation

Newsletter

Copyright © ExposIQ Suisse 2026. Tous droits réservés.