Supply chain attack : quand votre prestataire se fait pirater (Gites de France, Almerys)
Les cyberattaques ne ciblent plus directement les grandes entreprises. En 2026, les hackers attaquent leurs sous-traitants et prestataires informatiques, beaucoup moins protégés. Les récentes attaques contre Gites de France (via le prestataire Itea) et Almerys (tiers payant santé) illustrent cette tendance. Voici ce qu’est une supply chain attack et comment s’en protéger.
Supply chain attack : Pirater un prestataire pour acceder aux données de ses clients.
Cas récents : Gites de France via Itea (389 000 clients), Almerys (15,4 millions de NIR).
Pourquoi : Ecart de sécurité entre grandes entreprises et PME prestataires.
RGPD : Responsable de traitement ET sous-traitant sont responsables.
Protection : Auditez vos prestataires, clauses de sécurité, segmentation des accès.
Qu’est-ce qu’une supply chain attack
Une supply chain attack (attaque de la chaîne d’approvisionnement) consiste a pirater un fournisseur, sous-traitant ou prestataire d’une organisation pour acceder indirectement aux données de cette organisation. L’attaquant cible le maillon le moins sécurisé de la chaîne.
L’exemple récent de Gites de France est typique : le pirate n’a pas attaqué directement le réseau national, mais le prestataire Itea qui fournit des logiciels de gestion des réservations. Résultat : 389 000 clients concernés par la fuite.
De la même manière, Almerys était le prestataire de tiers payant de dizaines de mutuelles. En piratant Almerys, l’attaquant a potentiellement accès aux données de 15,4 millions de bénéficiaires de multiples assureurs.
Cas
Prestataire pirate
Victimes
Données exposées
Gites de France
Itea (logiciel réservation)
389 000 clients
Réservations 1995-2026
Almerys
Prestataire tiers payant
15,4 millions
Numéros de secu sociale
Pierre & Vacances
Non identifie
1,6 million
Réservations vacances
Belambra
Non identifie
41 000 + 360 000 mineurs
Réservations, données mineurs
Pourquoi les supply chain attacks explosent
Ecart de sécurité : Les grandes entreprises investissent massivement en cybersécurité. Leurs prestataires, souvent des PME, ont des budgets limités. L’attaquant choisit la porte la moins protégée.
Effet multiplicateur : Un seul prestataire pirate donne accès aux données de TOUS ses clients. C’est un ratio effort/résultat imbattable pour les cybercriminels.
Confiance inhérente : Les entreprises font confiance a leurs prestataires. Leurs systèmes sont souvent interconnectés, avec des accès directs aux bases de données.
🔴 Pourquoi les prestataires sont vulnérables
Budget limité : Les PME prestataires ont moins de ressources cybersécurité que leurs clients.
Accès privileges : Les prestataires ont souvent des accès directs aux bases de données clients.
Confiance excessive : Les entreprises ne vérifient pas assez la sécurité de leurs prestataires.
✅ Comment protéger votre chaîne
Auditez : Vérifiez les certifications et la politique de sécurité avant de signer.
Contractualisez : Clauses de sécurité, notification 24h, droit d’audit, pénalités.
Segmentez : Accès minimum, limités dans le temps, révocation systématique.
Responsabilité juridique : qui est responsable
Sous le RGPD, la responsabilité est claire :
Le responsable de traitement (Gites de France, la mutuelle utilisant Almerys) reste responsable de la protection des données, même si la faille vient de son prestataire. Il doit notifier la CNIL sous 72 heures.
Le sous-traitant (Itea, Almerys) a ses propres obligations sous l’article 28 du RGPD : sécuriser les données, notifier le responsable de traitement, coopérer avec les autorités.
En pratique, les deux sont responsables. La CNIL peut sanctionner le responsable de traitement pour ne pas avoir vérifié la sécurité de son prestataire, et le sous-traitant pour ne pas avoir sécurisé ses systèmes.
🔍 Supply chain attacks : les précédents récents
SolarWinds 2020
L’attaque supply chain la plus célèbre. Le logiciel Orion pirate, 18 000 clients infectés dont le gouvernement US.
Kaseya 2021
L’attaque supply chain la plus célèbre. Le logiciel Orion pirate, 18 000 clients infectés dont le gouvernement US.
Ivanti MOVEit 2023
L’attaque supply chain la plus célèbre. Le logiciel Orion pirate, 18 000 clients infectés dont le gouvernement US.
Vague tourisme-sante Mai 2026
L’attaque supply chain la plus célèbre. Le logiciel Orion pirate, 18 000 clients infectés dont le gouvernement US.
Comment protéger votre entreprise
1. Auditez la cybersécurité de vos prestataires. Avant de signer, vérifiez leurs certifications (ISO 27001, SecNumCloud), leur politique de sécurité et leur historique d’incidents. Utilisez MonAideCyber (ANSSI) pour auditer les PME prestataires.
2. Clause de sécurité dans les contrats. Exigez des obligations contractuelles : notification sous 24h en cas d’incident, droit d’audit, pénalités en cas de manquement.
3. Segmentation des accès. Ne donnez a vos prestataires que les accès strictement nécessaires. Limitez dans le temps et dans le périmètre. Révoquez les accès des qu’ils ne sont plus nécessaires.
⚠️ Votre prestataire est votre maillon faible
En 2026, les hackers ciblent vos prestataires, moins protégés. Votre sécurité dépend de celle de votre prestataire le moins sécurisé.
Si vous êtes responsable d’équipe, envisagez des solutions de protection spécifiques pour les postes de développement (Aikido Device Protection, blocage des paquets récents <48h, validation manuelle des extensions).
Questions fréquentes
Qu’est-ce qu’une supply chain attack ? ▼
C’est une attaque qui cible un fournisseur ou prestataire pour acceder indirectement aux données de ses clients. L’attaquant vise le maillon faible.
Qui est responsable en cas de fuite chez un prestataire ? ▼
Sous le RGPD, le responsable de traitement ET le sous-traitant sont responsables. La CNIL peut sanctionner les deux, comme l’illustre le rapport CNIL 2025 qui détaille les sanctions prononcées contre les entreprises et leurs prestataires.
Comment auditer la sécurité d’un prestataire ? ▼
Vérifiez ses certifications (ISO 27001), sa politique de sécurité. Pour les PME, utilisez MonAideCyber (ANSSI), un diagnostic gratuit. Et si votre prestataire s’est déjà fait pirater, suivez la checklist complète apres un piratage.
Mes clients sont-ils informes en cas de fuite chez mon prestataire ? ▼
Oui. Vous devez notifier la CNIL sous 72 heures et informer les personnes exposées.
Comment limiter les risques ? ▼
Auditez vos prestataires, contractualisez les obligations de sécurité, segmentez les accès, révoquez les accès inutiles.
Quiz : Comprenez-vous les supply chain attacks
🧠 Testez vos connaissances sur la sécurité supply chain
Qu’est-ce qu’une supply chain attack ?
Combien de clients Gites de France sont concernés ?
Qui est responsable sous le RGPD ?
Alexi Tauzin 🛡️ Éditeur & Expert Cyber
Fondateur d'alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
