- Les accès prestataires figurent dans plus de 50 % des violations de données majeures documentées — ils combinent des droits légitimes, une surveillance insuffisante et une durée de vie souvent non maîtrisée.
- Home Depot (2014) : 56 millions de cartes bancaires compromises via des identifiants d'un prestataire de maintenance CVC, actifs pendant cinq mois sans détection, avec accès non segmenté aux systèmes de paiement.
- Air India (2021) : 4,5 millions de passagers affectés via la compromission de SITA, prestataire centralisé de gestion des données passagers pour plusieurs compagnies aériennes mondiales.
- La relation prestataire crée une asymétrie de contrôle : l'organisation donne accès à ses systèmes sans maîtriser la posture de sécurité de l'entité tierce ni surveiller activement l'usage des accès accordés.
- Les contrats de prestation doivent inclure des clauses d'obligations de sécurité, de notification d'incident et de droit d'audit — sans ces clauses, la gestion du risque tiers reste théorique.
Les accès prestataires constituent une catégorie de risque structurelle dans la gestion des accès. Contrairement aux accès employés, ils combinent plusieurs facteurs aggravants : des droits légitimes sur des systèmes sensibles, une supervision moins rigoureuse que les comptes internes, une durée de vie souvent mal encadrée, et une posture de sécurité de l'entité tierce que l'organisation ne maîtrise pas. Cette combinaison en fait un vecteur d'intrusion privilégié, bien documenté dans les analyses post-incident des dix dernières années.
La notion de "prestataire" recouvre des réalités très diverses : intégrateurs systèmes avec accès permanents à l'infrastructure, éditeurs de logiciels avec accès de maintenance aux serveurs applicatifs, prestataires de services managés (MSP) gérant des composants de l'infrastructure, consultants avec accès temporaires aux environnements de développement ou de production. Chaque catégorie présente un profil de risque distinct qui doit être adressé spécifiquement.
Les mécanismes de compromission des accès tiers
La compromission des accès prestataires suit généralement l'un de trois mécanismes. Le premier est la compromission directe : l'attaquant cible le prestataire — souvent une entité aux contrôles de sécurité moins matures que l'organisation principale — pour récupérer des identifiants ou établir un accès persistant, puis pivote vers les systèmes de l'organisation cible via les accès légitimes du prestataire. C'est le vecteur utilisé dans les attaques Target et Home Depot.
Le deuxième mécanisme est l'accès orphelin prestataire : à la fin d'une mission, les accès accordés au prestataire ne sont pas révoqués, soit parce qu'aucun processus formel de fin de contrat n'existe, soit parce que la responsabilité de la révocation n'est clairement assignée à personne. Ces accès deviennent des portes d'entrée persistantes accessibles à quiconque ayant compromis les systèmes du prestataire.
La violation de Target, qui a exposé les données de 40 millions de cartes bancaires et 70 millions de clients, a débuté par la compromission d'un prestataire de maintenance CVC (chauffage, ventilation, climatisation). Ce prestataire avait accès au portail de facturation de Target — accès utilisé pour les échanges de données liés à la maintenance. Faute de segmentation réseau, ce même accès permettait d'atteindre les systèmes de point de vente. L'attaquant a installé un malware de capture sur les terminaux de paiement de 1 797 magasins. La violation est restée active pendant 19 jours avant détection. L'enquête du Sénat américain a établi que l'accès prestataire n'avait aucune raison légitime de toucher les systèmes de paiement — la segmentation réseau aurait contenu la violation au périmètre du portail de facturation.
Mesures de contrôle des accès tiers
Le cadre de contrôle des accès prestataires repose sur quatre piliers. La segmentation réseau : les accès prestataires doivent être isolés sur des zones réseau dédiées, sans visibilité sur les systèmes qui ne relèvent pas de leur mission. Le principe du moindre privilège tiers : les droits accordés sont strictement limités aux ressources nécessaires à la mission documentée, avec une durée de validité explicite. La surveillance active : les sessions d'accès prestataires doivent être enregistrées et auditables, et les anomalies de comportement (accès à des ressources hors périmètre, volumes de données inhabituels) doivent déclencher des alertes.
Le quatrième pilier est contractuel : les obligations de sécurité du prestataire — niveau de protection minimal de ses systèmes, notification d'incident sous 24 ou 48 heures, droit d'audit — doivent être formalisées dans le contrat. Sans clause contractuelle, l'organisation n'a aucun levier pour exiger une remédiation en cas d'incident chez le prestataire.
Évaluation de la posture de sécurité des tiers
L'évaluation de la sécurité des tiers avant attribution des accès est une pratique encore insuffisamment développée, particulièrement pour les prestataires de taille moyenne. Les outils de scoring de sécurité tiers (BitSight, SecurityScorecard) offrent une évaluation externe basée sur des signaux observables — certificats TLS, IP en liste noire, ports exposés. Ils ne remplacent pas un questionnaire de sécurité ou un audit, mais permettent une première qualification du risque prestataire à l'échelle du portefeuille de fournisseurs.
La violation de Capital One a exposé les données de 100 millions de clients via une mauvaise configuration d'un rôle IAM AWS, exploitée par une ancienne employée d'Amazon Web Services. Le rôle concerné — attaché à une instance EC2 — disposait de droits de lecture sur l'ensemble des buckets S3 de l'organisation, sans limitation au périmètre fonctionnel de l'instance. L'incident a illustré que les accès accordés aux prestataires cloud (infrastructure, support) peuvent créer des surfaces d'attaque durables si les permissions ne sont pas révisées périodiquement et limitées au strict nécessaire.
Deutsche Bank a subi en 2019 un incident impliquant la transmission accidentelle des données personnelles de 1 200 employés à un destinataire non autorisé — une erreur attribuée à une mauvaise configuration des droits d'accès dans un processus impliquant un prestataire externe de traitement RH. Les données transmises incluaient salaires, évaluations de performance et informations personnelles sensibles. L'incident, bien que non malveillant dans son origine, a mis en évidence les risques liés aux accès accordés aux prestataires de services RH externalisés sur des données hautement sensibles.
Medibank, premier assureur santé australien, a subi en octobre 2022 une violation exposant les données de 9,7 millions de clients actuels et anciens, incluant des diagnostics médicaux et des informations de sinistres. L'attaquant a accédé aux systèmes via des identifiants d'un prestataire tiers. Medibank a refusé de payer la rançon, conduisant à la publication des données sur le dark web par le groupe REvil. L'incident a entraîné une révision complète de la réglementation australienne sur la cybersécurité dans le secteur de la santé et des sanctions significatives de l'OAIC (Office of the Australian Information Commissioner).