Imaginez que vous confiez la clé de votre bureau à votre fournisseur de nettoyage. C'est normal, il doit entrer pour faire son travail. Maintenant, imaginez que ce fournisseur perd la clé. Ou pire, qu'on lui vole. Quelqu'un entre chez vous, la nuit, avec une clé légitime. Votre alarme ne sonne pas parce que la clé est reconnue. Vos caméras captent quelqu'un qui circule calmement, comme s'il avait le droit d'être là.

C'est exactement ce qui se passe, chaque jour, dans les systèmes informatiques d'organisations comme la vôtre.

Dans mon dernier article, je vous ai parlé de la menace qui vient de l'intérieur, le shadow AI, ces employés qui utilisent des outils non approuvés avec les meilleures intentions du monde. Aujourd'hui, parlons d'une menace encore plus sournoise. Celle qui entre par la porte de vos fournisseurs, vos partenaires, vos sous-traitants. Les gens en qui vous avez confiance.

L'ampleur du problème en chiffres

Les données sont claires, et elles devraient inquiéter tout dirigeant.

Selon le Verizon Data Breach Investigations Report (DBIR) 2025, 30 % de toutes les brèches de données impliquent désormais un tiers, qu'il s'agisse d'un fournisseur, d'un partenaire ou d'un sous-traitant. C'est le double de l'année précédente, où ce chiffre était à 15 %. En un an, le risque lié aux fournisseurs a doublé.

IBM, dans son rapport Cost of a Data Breach 2025, confirme la tendance sous un angle différent. La compromission via la chaîne d'approvisionnement est le deuxième vecteur d'attaque le plus coûteux, avec un coût moyen de 4,91 millions de dollars américains par incident, juste derrière les attaques par initiés malveillants (4,92 M$). Ce vecteur représente aussi 15 % de toutes les brèches analysées. Mais ce qui distingue vraiment ces attaques, c'est le temps. Il faut en moyenne 267 jours pour les détecter et les contenir. Neuf mois. Trois quarts d'une année pendant laquelle quelqu'un circule dans vos systèmes avec un accès légitime.

Et ce n'est pas un problème réservé aux grandes entreprises. SecurityScorecard, dans son Global Third-Party Breach Report (publié en 2025, analysant les données de 2024), arrive à une estimation encore plus élevée : plus de 35 % des brèches trouvent leur origine chez un tiers. La méthodologie diffère de celle de Verizon, mais les deux rapports convergent vers le même constat. La menace liée aux fournisseurs explose.

Ce qu'on voit de plus en plus sur le terrain, c'est le manque de préparation. L'enquête de Mitratech sur la gestion des risques fournisseurs révèle que les organisations n'évaluent en moyenne que 40 % de leurs fournisseurs, et que 70 % des programmes de gestion du risque fournisseur sont en sous-effectif. Six fournisseurs sur dix ne sont pas évalués du point de vue de la cybersécurité.

Comment ça fonctionne

Pourquoi les cybercriminels s'intéressent-ils autant à vos fournisseurs? La réponse est simple : c'est plus efficace. Plutôt que d'attaquer votre organisation directement, là où vous avez peut-être un pare-feu, un antivirus, une équipe de surveillance, ils attaquent un de vos fournisseurs. Souvent plus petit. Souvent moins protégé. Et une fois qu'ils ont compromis ce fournisseur, ils héritent de sa clé, de son accès légitime à vos systèmes.

Reprenons l'image de la clé du bureau. Le cybercriminel ne force pas votre porte. Il ne brise pas votre fenêtre. Il vole la clé de quelqu'un qui avait le droit d'entrer. Votre système de sécurité ne voit rien d'anormal, parce que techniquement, il n'y a rien d'anormal. L'accès est légitime.

L'angle mort, c'est la confiance. Ces attaques n'exploitent pas une faille technique. Elles exploitent une relation d'affaires. Votre fournisseur de paie a accès aux données de tous vos employés. Votre fournisseur de CRM connaît tous vos clients. Votre fournisseur infonuagique héberge vos données financières. Chacun de ces accès est un pont que les attaquants peuvent emprunter.

Et le phénomène s'accélère. Depuis avril 2025, les attaques contre la chaîne d'approvisionnement logicielle se produisent au rythme moyen de 26 par mois, selon Cyble, soit le double du rythme observé entre le début de 2024 et mars 2025. Chaque incident a le potentiel de toucher des dizaines, voire des centaines d'organisations en aval.

Un mercredi matin ordinaire

Mercredi, 9 h 45. Votre directrice des finances vous appelle. Quelque chose ne va pas avec le système de paie. Les relevés des employés affichent des données incorrectes. Des numéros d'assurance sociale qui ne correspondent pas, des adresses modifiées. Votre équipe TI vérifie. Le système fonctionne normalement. Aucune alerte. Aucune anomalie dans les journaux.

10 h 30. L'enquête progresse. L'équipe TI découvre que les modifications ont été faites par le compte du fournisseur de paie, une connexion automatisée entre son système et le vôtre, active 24 heures sur 24 depuis des années. Le fournisseur confirme qu'il n'a pas fait ces modifications. Quelqu'un d'autre utilise son accès.

11 h 15. Le fournisseur de paie vous informe qu'il a été victime d'un incident de sécurité il y a trois semaines. Trois semaines. Il ne vous a pas avisé parce qu'il « évaluait l'impact ». Pendant ce temps, les attaquants ont utilisé ses accès pour entrer dans les systèmes de ses clients. Dont le vôtre.

13 h. Le portrait se précise, et il est préoccupant. Les données personnelles de vos 350 employés (noms, adresses, numéros d'assurance sociale, informations bancaires pour le dépôt direct) ont été copiées. Pas par une attaque contre vos systèmes. Par une attaque contre un fournisseur à qui vous faisiez confiance.

14 h 30. Votre responsable de la protection des renseignements personnels vous rappelle vos obligations : évaluer si l'incident présente un risque de préjudice sérieux, aviser la Commission d'accès à l'information, notifier les 350 personnes touchées, consigner l'incident au registre.

Votre avocat appelle. Votre assureur aussi. Et la question que tout le monde vous pose est la même : « Quelles mesures de sécurité aviez-vous exigées de ce fournisseur? »

Vous cherchez le contrat. Il date de quatre ans. Il n'y a aucune clause de cybersécurité. Aucune obligation de notification en cas d'incident. Aucun droit d'audit. Juste un engagement vague sur la « confidentialité des données ».

Ce que ça coûte vraiment

Les chiffres d'IBM sont clairs. Une brèche impliquant un fournisseur coûte en moyenne 4,91 millions de dollars américains. Mais derrière cette moyenne se cachent des réalités concrètes que les moyennes ne capturent pas.

Ordre de grandeur pour une PME de 350 employés dont les données de paie ont été compromises (IBM, coût moyen par dossier pour les données d'employés : 168 $/dossier) : 350 employés × 168 $/dossier ≈ 59 000 $. Ce chiffre ne représente que le coût par dossier compromis. Il n'inclut pas les frais de forensique informatique pour comprendre ce qui s'est passé, un mandat qui se chiffre facilement en dizaines de milliers de dollars pour une PME. Ni les frais juridiques pour évaluer vos obligations et gérer les notifications. Ni les heures de votre équipe TI détournées de leurs projets pendant des semaines.

Et puis il y a les coûts qu'on ne mesure pas facilement. Vos employés qui reçoivent une lettre leur annonçant que leurs informations bancaires et leur numéro d'assurance sociale ont été exposés. Leur confiance envers l'organisation en prend un coup. Votre équipe TI, déjà sollicitée, absorbe un incident qu'elle n'a pas causé et qu'elle n'avait aucun moyen de prévenir. Le stress, le sentiment d'impuissance, la surcharge.

N'oublions pas le temps. IBM rapporte que les brèches liées à la chaîne d'approvisionnement prennent 267 jours à détecter et contenir, soit 26 jours de plus que la moyenne globale. Neuf mois pendant lesquels vos systèmes sont compromis sans que vous le sachiez.

Pourquoi les PME sont particulièrement vulnérables

La raison pour laquelle les PME sont exposées n'a rien à voir avec la compétence. C'est la réalité opérationnelle qui joue contre elles.

Une grande entreprise a une équipe dédiée à la gestion des risques fournisseurs. Elle envoie des questionnaires de sécurité, exige des certifications, fait des audits. Une PME de 200 employés n'a souvent même pas un employé dédié à la cybersécurité, encore moins quelqu'un qui évalue la posture de sécurité de chaque fournisseur.

Et pourtant, cette même PME utilise couramment des dizaines d'applications infonuagiques, chacune opérée par un fournisseur qui a un certain niveau d'accès à ses données. Le système de paie, le CRM, la comptabilité, le courriel, la vidéoconférence, le stockage de fichiers, la signature électronique. Chaque connexion est un pont potentiel.

En pratique, ce qu'on voit sur le terrain, c'est que la plupart des PME n'ont aucune visibilité sur la posture de sécurité de leurs fournisseurs. Elles ne savent pas quels fournisseurs ont accès à quelles données. Le chiffrement au repos chez leurs fournisseurs? Aucune idée. Et si un fournisseur a subi un incident sans les aviser, elles n'ont aucun moyen de le savoir. Quand l'incident arrive, c'est l'organisation qui détient les données (pas le fournisseur) qui porte la responsabilité légale.

La Loi 25 et la responsabilité élargie

C'est ici que la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) change fondamentalement la donne pour les dirigeants québécois.

La Loi 25 est claire. Les données que vous partagez avec des tiers (fournisseurs, sous-traitants) relèvent de votre responsabilité. Pas de celle du fournisseur. De la vôtre. Vous êtes le gardien des renseignements personnels que vous collectez, même quand vous les confiez à quelqu'un d'autre pour les traiter.

Concrètement, cela signifie plusieurs obligations. Vous devez encadrer par contrat la protection des renseignements personnels confiés à des tiers. Vous devez faire une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque vous confiez des renseignements personnels à un fournisseur situé à l'extérieur du Québec. Si un incident survient chez votre fournisseur et qu'il présente un risque de préjudice sérieux pour les personnes concernées, c'est vous qui devez aviser la Commission d'accès à l'information (CAI) et les personnes touchées, avec diligence. Et vous devez consigner l'incident à votre registre.

La Loi 25, entrée en vigueur par phases entre 2022 et 2024, prévoit des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars ou 2 % du chiffre d'affaires mondial, et des sanctions pénales encore plus sévères en cas de récidive ou de manquement grave. Mais la vraie question, c'est le piège spécifique à la chaîne d'approvisionnement : vous êtes responsable d'un incident que vous n'avez pas causé, dans un système que vous ne contrôlez pas, chez un fournisseur que vous n'avez peut-être jamais évalué.

C'est un risque non maîtrisé. Et la Loi 25 ne vous donne pas le luxe de l'ignorer.

Ce que vous pouvez faire lundi matin

La bonne nouvelle, c'est que le risque lié aux fournisseurs se gère. L'important, c'est de commencer quelque part plutôt que de l'ignorer en espérant que ça n'arrive pas.

Voici cinq questions à poser à votre équipe TI cette semaine.

« Avons-nous un inventaire complet de tous nos fournisseurs qui ont accès à des données personnelles ou à nos systèmes? » Si la réponse est non, ou si la réponse est « on pense que oui », c'est votre premier chantier. Vous ne pouvez pas protéger ce que vous ne connaissez pas.

« Nos contrats avec ces fournisseurs contiennent-ils des clauses de cybersécurité, comme la notification d'incident, le droit d'audit, les exigences minimales de protection? » Un contrat sans clause de cybersécurité en 2026, c'est comme une police d'assurance sans couverture. Le document existe, mais il ne vous protège pas.

« Savons-nous quels fournisseurs ont un accès permanent à nos systèmes, et cet accès est-il encore justifié? » Beaucoup d'accès fournisseurs sont configurés une fois et jamais revus. Le fournisseur que vous avez quitté il y a deux ans a-t-il encore une connexion active à vos systèmes?

« Si notre fournisseur de paie (ou de CRM, ou de comptabilité) subissait un incident demain, quel est notre plan? » Si la réponse est un silence inconfortable, vous avez identifié votre priorité.

« Avons-nous documenté nos obligations en vertu de la Loi 25 en ce qui concerne les renseignements personnels confiés à des tiers? » La documentation n'est pas une formalité bureaucratique. C'est votre preuve que vous avez fait vos devoirs si un incident survient.

Ces questions ne sont pas techniques. Elles sont stratégiques. Et elles méritent d'être posées par la direction, pas seulement par l'équipe TI. Si votre DG vous demande demain « où est-ce qu'on en est avec la sécurité de nos fournisseurs? », avez-vous une réponse?

Besoin d'aide pour sécuriser votre chaîne d'approvisionnement?

InfoSec accompagne les PME québécoises dans la gestion des risques fournisseurs et la conformité à la Loi 25. Si vous n'avez pas de CISO dédié, nos services vCISO vous donnent le leadership stratégique nécessaire pour encadrer vos relations avec vos tiers, sans embauche à temps plein.

Pour un accompagnement en conformité à la Loi 25 ou en conseil stratégique en cybersécurité, planifiez un appel découverte.

Mario Bouchard, M. Adm., CISSP, Président, InfoSec Sécurité de l'information Inc. Avec plus de 30 ans d'expérience en cybersécurité, il accompagne les CISO et leaders TI pour faire de la cybersécurité un accélérateur de livraison. infosecurite.com

Sources

Verizon — Data Breach Investigations Report (DBIR) 2025. Statistique clé : 30 % des brèches impliquent un tiers, le double de l'année précédente (15 %). verizon.com/dbir
IBM — Cost of a Data Breach Report 2025. Coût moyen d'une brèche impliquant la chaîne d'approvisionnement : 4,91 M$ US. Temps moyen de détection et confinement : 267 jours. Coût par dossier d'employé compromis : 168 $/dossier. Deuxième vecteur d'attaque le plus fréquent (15 %) et deuxième plus coûteux. ibm.com/reports/data-breach
SecurityScorecard — Global Third-Party Breach Report (publié en mars 2025, données 2024). Plus de 35 % des brèches trouvent leur origine chez un tiers, en hausse de 6,5 % sur un an. securityscorecard.com (PDF)
Mitratech — Third-Party Risk Management Survey 2025. Les organisations n'évaluent en moyenne que 40 % de leurs fournisseurs. 70 % des programmes de gestion du risque fournisseur sont en sous-effectif. mitratech.com
Cyble — Threat Landscape Reports 2025. Les attaques contre la chaîne d'approvisionnement se produisent au rythme de 26 par mois depuis avril 2025, le double du rythme observé entre le début de 2024 et mars 2025. cyble.com
Commission d'accès à l'information du Québec — Principaux changements apportés par la Loi 25. Obligations relatives aux fournisseurs, notification d'incidents, registre, évaluation des facteurs relatifs à la vie privée. cai.gouv.qc.ca