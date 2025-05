Rapport SecurityScorecard : 98% des plus grandes entreprises françaises touchées par des violations de données impliquant des tiers

mai 2025 par SecurityScorecard

SecurityScorecard publie son rapport 2025 sur la cybersécurité en France, révélant que 98 des 100 plus grandes entreprises du pays ont été affectées par au moins une violation de données impliquant un tiers au cours des 12 derniers mois. Le rapport évalue la posture de risque cyber externe des principales entreprises françaises (classées par capitalisation boursière) et met en lumière une exposition persistante liée aux dépendances critiques de la chaîne d’approvisionnement numérique.

Ce rapport, publié pour la deuxième année consécutive, repose sur les données propriétaires de SecurityScorecard. Il examine les principaux facteurs de risque tels que la sécurité réseau, l’hygiène des terminaux, la fréquence des correctifs, les vulnérabilités applicatives et la santé du DNS. Si certaines entreprises ont renforcé leurs défenses internes, les données montrent que la majorité des violations s’infiltrent désormais par les fournisseurs, et non plus directement via l’infrastructure de l’entreprise.

Principaux constats :

• 98% des 100 plus grandes entreprises françaises ont été affectées par au moins une violation de données impliquant un tiers au cours de l’année écoulée.

• 100% d’entre elles comptaient au moins un fournisseur de quatrième niveau ayant subi une violation.

• Les violations directes ont légèrement diminué, passant de 7% l’année dernière à 4% cette année, les causes principales étant les menaces internes et les logiciels malveillants.

• Les 25 premières entreprises du classement ont subi plus du double de violations de données tierces que les 25 dernières.

• 94% des entreprises ayant une note de cybersécurité « A » n’ont connu aucune violation connue.

• 29% des entreprises obtiennent une note « C » ou inférieure, contre 40% dans le rapport précédent.

“Les violations directes sont en baisse, mais l’exposition via les tiers touche désormais presque toutes les grandes entreprises françaises”, déclare Corian Kennedy, Senior Manager, Threat Insights & Attribution chez SecurityScorecard. “Les contrôles internes ne suffisent plus. Sans visibilité sur les fournisseurs et leurs dépendances, la voie reste grande ouverte.”

Éclairage sectoriel :

• Construction & Infrastructures : Toutes les entreprises évaluées ont obtenu une note « C » ou inférieure et ont été touchées par des violations tierces, signalant un niveau de risque élevé.

• Industrie : Ce secteur affiche une amélioration notable, avec seulement 13% des entreprises notées « C » ou moins, contre 42% l’année dernière.

• Finance : Ce secteur enregistre le plus faible niveau d’exposition aux violations tierces, avec 93,75% des entreprises concernées — un chiffre toujours élevé, mais inférieur à la moyenne nationale.

Incidents récents : des signaux d’alerte

En août 2024, le groupe RansomHouse a ciblé l’Université Paris-Saclay, exfiltrant des dossiers académiques sensibles et perturbant les opérations. Durant les Jeux olympiques d’été 2024, une attaque par ransomware a visé le réseau du Grand Palais, forçant la fermeture de ses systèmes internes. Ces événements illustrent l’ampleur des risques numériques, y compris pour les institutions publiques et les événements critiques.

Comparaison internationale :

L’exposition de la France aux violations liées à la chaîne d’approvisionnement (98% via des tiers, 100% via des quatrièmes parties) dépasse celle des pays voisins. À titre de comparaison, 24% des entreprises britanniques, 34% des entreprises allemandes et 41% des entreprises italiennes sont notées « C » ou moins. Les pays scandinaves affichent les meilleurs résultats, avec seulement 20% d’entreprises dans cette catégorie. Ces chiffres révèlent un besoin pressant d’amélioration de la gouvernance de la supply chain et d’une plus grande responsabilisation des fournisseurs en France.

Recommandations :

Pour renforcer la résilience numérique de leur chaîne d’approvisionnement, SecurityScorecard recommande aux organisations de :

• Améliorer la visibilité sur les relations avec les tiers et quatrièmes parties.

• Prioriser la sécurité des applications et des réseaux comme fondements de défense.

• Remplacer les évaluations ponctuelles des fournisseurs par une surveillance continue.

• Intégrer les principes de sécurité dès la conception dans les contrats fournisseurs et processus d’achat.

• Appliquer des contrôles d’accès robustes, l’authentification multifactorielle et des correctifs en temps opportun.

La posture de cybersécurité de la France reflète une réalité mondiale : la chaîne d’approvisionnement numérique est devenue la principale surface d’attaque. Les adversaires exploitent désormais les voies indirectes à grande échelle, rendant les contrôles traditionnels insuffisants. La sécurité exige désormais une supervision en temps réel, fondée sur des preuves, de l’ensemble de l’écosystème fournisseur — y compris des fournisseurs de quatrième niveau. Tout manquement à cette exigence laisse les systèmes critiques vulnérables.