Vous pensez que votre petite structure n'intéresse personne. Personne, sauf les hackers, qui savent exactement pourquoi. Dans leur logique, votre PME n'est pas la cible finale. Elle est la porte d'entrée, et ils la cherchent activement.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Votre TPE-PME fonctionne exactement comme chaque grand groupe ou collectivité, avec un écosystème entier de fournisseurs, de prestataires et de sous-traitants.
Dans son panorama 2025, l'ANSSI cite en exemple le cas d'un attaquant ayant compromis un prestataire servant de nombreuses entités françaises, exfiltré des ressources clientes, puis exploité les interconnexions et des identifiants volés pour se latéraliser vers plusieurs clients. Le prestataire visé n'était pas la cible, mais le portail.
L'ANSSI, rapporte également que 48 % des victimes de ransomwares en France sont des PME, TPE et ETI, avec un bon de 51 % d'incidents liés à des exfiltrations de données.
Une partie de ces exfiltrations provient directement de la compromission d'un prestataire.
Pourquoi les hackers passent par vos fournisseurs et sous-traitants plutôt que de vous attaquer directement
Mais qu'est-ce que c'est, une attaque par rebond ? Si en anglais, on la traduit par « bounce attack » ou plus spécifiquement, « smurf attack », qui est également le petit nom de nos Schtroumpfs belges, la mignonnerie s'arrête là.
Une attaque par rebond désigne une technique qui exploite un système intermédiaire ou une étape intermédiaire pour contourner une protection ou accélérer une attaque. L’idée générale est de ne pas attaquer directement la cible, mais de « rebondir » sur un élément intermédiaire (serveur, fonction, étape d’un algorithme) afin de réduire la difficulté de l’attaque ou d’en masquer l’origine.
Le hacker n'attaque pas frontalement sa cible, mais s'intéresse à l'écosystème de sous-traitants ou de fournisseurs connectés aux systèmes d'information de la victime pour exploiter d'éventuelles failles de sécurité.
Pourquoi cette méthode ? Parce que les grandes organisations ont renforcé leurs défenses. Plutôt que de s'attaquer frontalement à leurs victimes désormais mieux protégées, les attaquants rusent et se font passer pour un proche de celles-ci, fournisseurs ou sous-traitants informatiques. Votre infrastructure moins surveillée, vos accès VPN, vos identifiants partagés avec un donneur d'ordre etc… sont autant d'ouvertures bien plus accessibles qu'un grand groupe blindé.
Les cyberattaquants vont viser des sous-traitants pour rebondir jusqu'à atteindre la maison mère sans se faire repérer. Pour y arriver, et avec moins de 100 euros, un amateur peut se procurer sur le darknet un kit de débutant qui lui permettra d'attaquer une structure dont l'environnement n'est pas idéalement protégé.
Pour n'en citer qu'une, en 2025, la Fédération Française de Football a été piratée via un prestataire vulnérable. La FFF n'avaient été attaquée directement. C'est le prestataire qui a ouvert la porte.
Que risquez-vous financièrement et juridiquement si votre entreprise est victime d'une attaque par rebond ?
Une cyberattaque peut coûter jusqu'à 466 000 euros à une PME française, représenter plus de 10 % de son chiffre d'affaires annuel, et entraîner la fermeture définitive de 60 % des entreprises victimes dans les 18 mois suivant l'incident.
Mais le préjudice ne s'arrête pas à votre trésorerie. Si votre système a servi de vecteur pour atteindre l'un de vos clients, vous portez une part de responsabilité dans ses dommage. Perte de marché, litiges contractuels, rupture de confiance : la relation commerciale ne survit souvent pas à ce type d'incident. Une attaque par rebond engendre également des pertes financières directes, une perte de confiance des clients et partenaires, des sanctions juridiques en cas de non-respect du RGPD ou de la directive NIS2, une perturbation des opérations et des litiges liés à la responsabilité professionnelle.
Une fois que l'attaque a transité par votre réseau pour toucher un client, vous devez à la fois gérer votre propre sinistre et répondre des dommages causés à autrui. Certains contrats prévoient des clauses de responsabilité explicites en cas de compromission par un sous-traitant. Mais sachez que votre prestataire d'assurance regardera de très près si vous aviez respecté les bonnes pratiques de base avant de vous indemniser.
NIS2 : même si vous n'êtes pas directement visé, vos clients vont vous demander des comptes
Selon la directive NIS2, les entités régulées doivent sécuriser leur chaîne d'approvisionnement. Vos clients grands comptes ou ETI vont donc vous demander des garanties sur votre niveau de cybersécurité. Attendez-vous à recevoir des questionnaires de conformité, des demandes d'audit, des exigences contractuelles renforcées. Si vous n'y répondez pas, alors vous risquez tout simplement de perdre ces marchés.
Même si votre PME n'est pas visée directement, principe de l'attaque par rebond, vous pouvez être concerné si vous fournissez des services à un client soumis à la directive, par exemple comme hébergeur, intégrateur, prestataire cloud ou société d'infogérance. Sur la responsabilité personnelle des dirigeants, la NIS2 ne laisse rien passer. En cas de non-conformité grave ou répétée, votre responsabilité personnelle peut être engagée.
Et les sanctions financières sont lourdes. Pour les entités essentielles, elles peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel. Pour les entités importantes, le plafond est fixé à 7 millions d'euros ou 1,4 % du chiffre d'affaires. Et pour les PME qui travaillent comme sous-traitants d'une entité régulée, une PME de moins de 50 salariés peut être concernée si elle fournit des services à une entité régulée, par le principe de sécurité de la chaîne d'approvisionnement.
Comment éviter que votre réseau serve de porte d'entrée vers vos clients
Il suffit de prendre quelques mesures fondamentales, notamment recommandées par Clubic, Cybermalveillance.gouv.fr et l'ANSSI, pour protéger votre entreprises, mais également les données de vos prestataires, clients et fournisseurs plus efficacement contre les attaques par rebond.
L'authentification multifacteur sur tous vos accès critiques, messagerie, VPN, outils partagés avec vos clients, ferme la majorité des portes d'entrée courantes. Déployez aussi une sauvegarde externalisée selon la règle 3-2-1-1-0 : ou au moins trois copies, sur deux supports différents, dont une hors site.
Vérifiez la configuration de votre pare-feu et appliquez systématiquement les correctifs de sécurité.
Pensez aussi à la gestion des droits d'accès en interne. Chaque collaborateur ne devrait avoir accès qu'aux données et systèmes strictement utiles à son travail. Un compte trop permissif ou un identifiant partagé entre plusieurs personnes suffit pour qu'un attaquant progresse latéralement dans votre réseau, puis dans celui de votre client. Les cyberattaquants cherchent en priorité à forcer un compte à privilège pour réaliser des actes malveillants. Moins vous en distribuez, moins vous leur en offrez.
Cartographiez vos connexions avec vos partenaires. Quels accès avez-vous accordés à vos clients ou fournisseurs ? Quels systèmes partagez-vous avec eux ? Un accès distant accordé à un technicien il y a deux ans et jamais révoqué, c'est une porte ouverte. Révisez vos contrats en y intégrant des clauses de cybersécurité. De toute façon, vos donneurs d'ordre vous le demanderont.
La moitié des salariés ne suit pas régulièrement de formations en cybersécurité, selon le baromètre national de la maturité cyber des TPE-PME de 2025. Si vous formez vos équipes à reconnaître un e-mail de phishing, à ne pas réutiliser des mots de passe ou encore à signaler immédiatement toute anomalie, vous paierez moins cher que les pots cassés en cas de cyberattaque par manque de connaissance.
Selon le baromètre 2025 de Cybermalveillance.gouv.fr, près de 6 TPE-PME sur 10 reconnaissent qu'elles ne sauraient pas évaluer les conséquences d'un incident cyber.
