Mis à jour le 29 mars 2026

Sécuriser les accès des prestataires externes à votre SI

En moyenne, une PME fait appel à 12 prestataires externes ayant un accès à son système d’information. Chaque accès est une porte d’entrée potentielle pour les cybercriminels. En 2025, 63% des violations de données impliquaient un tiers de confiance. Sécuriser les accès de vos prestataires n’est plus optionnel.

Sommaire

Pourquoi les prestataires sont un risque majeur

Vos prestataires informatiques, comptables, consultants ou sous-traitants accèdent à des ressources sensibles de votre entreprise. Leur compromission est votre compromission.

Les risques concrets

  • Compromission de chaîne d’approvisionnement : un prestataire piraté donne accès à tous ses clients (attaque SolarWinds, Kaseya)
  • Accès excessifs : le prestataire a souvent plus de droits que nécessaire, par facilité
  • Identifiants partagés : un même compte utilisé par toute l’équipe du prestataire
  • Accès persistants : les accès ne sont jamais révoqués après la fin de la mission
  • Shadow IT : le prestataire installe des outils non validés pour « faciliter » son travail
63%Des violations de données impliquent un tiers
12Prestataires externes en moyenne par PME
76%Des accès prestataires ne sont jamais audités

Les attaques par la chaîne d’approvisionnement

Un cybercriminel ne vous attaque pas directement. Il compromet d’abord un de vos prestataires, puis utilise les accès légitimes de ce prestataire pour pénétrer votre réseau. C’est souvent plus facile, car les prestataires (surtout les petites structures) ont parfois des niveaux de sécurité inférieurs au vôtre.

Point clé : La sécurité de votre SI est aussi forte que le maillon le plus faible de votre chaîne de prestataires. Un comptable qui accède à vos données financières depuis un PC non sécurisé, un développeur freelance qui utilise un mot de passe faible : chaque prestataire est un vecteur d’attaque potentiel.

Les types d’accès accordés aux prestataires

Avant de sécuriser les accès, il faut les identifier et les catégoriser.

Accès courants

  • Prestataire IT : accès administrateur aux serveurs, réseau, messagerie, sauvegardes
  • Expert-comptable : accès au logiciel de comptabilité, données financières
  • Développeur web : accès FTP/SSH au serveur web, base de données, CMS
  • Prestataire RH : accès aux données du personnel, logiciel de paie
  • Maintenance : accès distant aux équipements (imprimantes, automates, climatisation)
  • Auditeur : accès temporaire aux documents financiers et juridiques

Principes fondamentaux de sécurisation

Cinq principes guident la sécurisation des accès prestataires.

1. Moindre privilège

Chaque prestataire ne doit avoir accès qu’aux ressources strictement nécessaires à sa mission. Un développeur web n’a pas besoin d’accéder aux données comptables. Un comptable n’a pas besoin d’accéder aux serveurs de production.

2. Traçabilité

Chaque action d’un prestataire doit être journalisée. Qui a accédé à quoi, quand, depuis où, et qu’a-t-il fait. Les logs doivent être conservés et analysés régulièrement.

3. Temporalité

Les accès doivent être limités dans le temps. Un accès accordé pour une mission de 3 mois doit expirer automatiquement à la fin de la mission. Pas d’accès permanent par défaut.

4. Comptes nominatifs

Chaque personne chez le prestataire doit avoir son propre compte identifié. Un compte générique « prestataire-IT » utilisé par 5 techniciens différents ne permet aucune traçabilité.

5. Authentification forte

L’authentification multi-facteurs est obligatoire pour tout accès prestataire. Sans MFA, un simple mot de passe volé ouvre les portes de votre SI.

Mise en œuvre pratique

Voici les mesures techniques et organisationnelles à mettre en place.

Mesures techniques

  • VPN dédié : les prestataires se connectent via un tunnel VPN spécifique, séparé de celui des collaborateurs
  • Bastion d’accès (jump host) : un serveur intermédiaire qui contrôle et journalise tous les accès distants
  • Segmentation réseau : isoler les zones accessibles aux prestataires du reste du réseau
  • PAM (Privileged Access Management) : outil de gestion des accès à privilèges qui sécurise, contrôle et audite les connexions des prestataires
  • MFA obligatoire : pas d’exception pour les prestataires

Mesures organisationnelles

  • Clause de sécurité contractuelle : inclure des obligations de sécurité dans vos contrats prestataires
  • Accord de confidentialité (NDA) : signé avant tout accès aux données
  • Droit d’audit : se réserver le droit d’auditer les pratiques de sécurité du prestataire
  • Plan de réversibilité : définir comment les accès seront révoqués et les données restituées en fin de contrat
  • Référent sécurité : nommer un responsable interne pour chaque prestataire

Gestion du cycle de vie des accès

Les accès prestataires doivent être gérés de l’intégration jusqu’au départ.

À l’arrivée du prestataire

  1. Définir le périmètre exact des accès nécessaires
  2. Créer des comptes nominatifs avec les droits minimum requis
  3. Activer la MFA sur chaque compte
  4. Configurer la date d’expiration des accès
  5. Faire signer les documents contractuels (NDA, charte informatique)
  6. Documenter les accès dans un registre centralisé

Pendant la mission

  • Réviser trimestriellement les accès : sont-ils encore nécessaires ?
  • Surveiller les logs d’activité pour détecter les comportements anormaux
  • Vérifier les changements de personnel chez le prestataire

À la fin de la mission

  1. Révoquer immédiatement tous les accès
  2. Changer les mots de passe des comptes partagés éventuels
  3. Vérifier la restitution ou destruction des données
  4. Archiver les logs d’activité pour la durée légale
  5. Mettre à jour le registre des accès
Questions fréquentes
3 questions
C’est parfois nécessaire pour la maintenance, mais cet accès doit être strictement encadré. Utilisez un bastion d’accès (jump host) qui enregistre toutes les sessions, imposez la MFA, et assurez-vous que le prestataire utilise des comptes nominatifs. Révisez régulièrement les logs d’activité. L’accès administrateur ne doit être utilisé que quand c’est indispensable.
Demandez des preuves tangibles : certifications (ISO 27001, SOC 2), politique de sécurité documentée, assurance cyber. Posez des questions concrètes : comment gèrent-ils les mots de passe, les mises à jour, les sauvegardes ? Incluez un droit d’audit dans le contrat. Pour les prestataires critiques, un questionnaire de sécurité formalisé est recommandé.
Oui, absolument. Tout prestataire qui accède à des données personnelles est un sous-traitant au sens du RGPD. Vous devez signer un contrat de sous-traitance (article 28 du RGPD), vérifier ses garanties de sécurité, et vous assurer qu’il traite les données conformément à vos instructions. Vous restez responsable de la protection des données même quand un prestataire y accède.

Besoin d’accompagnement ?

Audit des accès prestataires, mise en place de bastions d’accès et rédaction de clauses contractuelles : Odyssix sécurise les accès tiers à votre système d’information.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter