Nidec en juin, Indra Group fin juin, Deutsche Bank via un prestataire en mai, Conduent avec 62 millions de victimes exposées : en 2026, les grandes entreprises ne tombent plus frontalement. Elles tombent par leurs filiales, leurs sous-traitants, leurs partenaires. Ce n'est pas un accident. C'est une stratégie délibérée, affinée depuis trois ans par les opérateurs ransomware les plus sophistiqués. Et la plupart des groupes parent refusent encore de l'admettre clairement.

CYBERSÉCURITÉ GÉNÉRALE Ransomware 2026 : pourquoi les filiales sont devenues la porte… ARCHITECTURE / COMPOSANTS Le modèle filiale : une surface… Anatomie d'une attaque via filiale … Les chiffres qui révèlent une… Ce que les groupes parent refusent… CONCEPTS CLÉS Phase 1 — Accès initial sur la… Phase 2 — Établissement du foothold… Phase 3 — Pivot vers le groupe. Phase 4 — Préparation et déclenchement… Premier problème : le déni de… Deuxième problème : l'absence de… ayinedjimi-consultants.fr

Le modèle filiale : une surface d'attaque que les RSSI sous-estiment structurellement

Quand on parle de périmètre de sécurité dans une grande entreprise, on pense naturellement au siège : le RSSI groupe, le SOC central, les politiques de sécurité corporate, les outils de détection déployés sur le coeur du SI. Ce périmètre est souvent raisonnablement bien défendu. Les équipes sont compétentes, les budgets existent, les exercices de crise sont pratiqués.

Mais ce raisonnement occulte une réalité structurelle des groupes modernes : la filiale. Une filiale, c'est souvent une entité acquise lors d'une fusion-acquisition, intégrée partiellement au SI groupe, avec ses propres outils, son propre Active Directory parfois, ses propres pratiques IT — et surtout, son propre niveau de maturité cyber, rarement aligné sur celui de la maison mère. La filiale peut être dans un autre pays, soumise à des réglementations différentes, dotée d'une DSI autonome qui n'a pas encore reçu les outils de sécurité du groupe, et dont le RSSI local — quand il existe — n'a pas toujours accès aux ressources du SOC central.

Dans le domaine du risque cyber, on parle souvent de « crown jewels » pour désigner les actifs les plus critiques. Mais les attaquants ne cherchent plus à cibler directement les crown jewels : ils cherchent la porte de service. Et cette porte de service, c'est la filiale. L'écart de maturité entre une maison mère et ses entités périphériques peut être de 3 à 5 ans en termes de pratiques de patch management, de segmentation réseau, de déploiement EDR, ou de sensibilisation des utilisateurs.

D'après les données publiées par Check Point Research dans son rapport du 6 juillet 2026, 98 organisations ont été frappées par des ransomwares et des fuites de données rien qu'en juillet 2026. Une part significative de ces incidents implique des entités périphériques — filiales, sous-traitants, prestataires cloud — comme vecteur d'accès initial, avant un pivot vers les systèmes de la maison mère. Ce chiffre est sous-estimé car les groupes parent communiquent en minimisant le périmètre touché, et le lien entre la filiale compromise et l'impact groupe est rarement mis en avant dans les communiqués officiels.

Le coût réel pour un attaquant est également beaucoup plus faible. Cibler directement le siège d'un grand groupe industriel nécessite de contourner des défenses multicouches, des équipes SOC 24/7, des outils de détection comportementale avancée. Cibler sa filiale de taille intermédiaire en Europe de l'Est ou en Asie du Sud-Est peut ne nécessiter qu'un scan de VPN vulnérable et un credential stuffing sur un portail d'accès distant non protégé par MFA. Le retour sur investissement pour l'attaquant est sans comparaison.

Cette asymétrie est au coeur du problème. Elle explique pourquoi la tendance au ciblage via filiales s'accélère d'année en année, même quand les maisons mères améliorent leurs défenses. Plus le coeur du groupe est bien protégé, plus les attaquants rationalisent vers la périphérie. C'est une réponse adaptative logique face à un écosystème défensif hétérogène.

Anatomie d'une attaque via filiale : du premier clic au chiffrement groupe

Comprendre comment les attaquants transitent d'une filiale vers la maison mère est essentiel pour construire des défenses adaptées. Le schéma est aujourd'hui assez standardisé, avec des variantes selon les opérateurs.

Phase 1 — Accès initial sur la filiale. Le vecteur le plus fréquent est le VPN d'accès distant ou le portail RDP de la filiale, exploité via des identifiants compromis achetés sur des marchés underground (forums spécialisés ou canaux Telegram dédiés), ou via l'exploitation d'une vulnérabilité connue sur un équipement réseau non patché. Selon Recorded Future, les groupes affiliés à des programmes RaaS comme Qilin, LockBit 4 ou ANUBIS s'appuient massivement sur des Initial Access Brokers (IAB) qui vendent des foothold préétablis dans des réseaux d'entreprise pour quelques centaines à quelques milliers de dollars. La filiale, moins bien surveillée, reste exposée plus longtemps aux scans de vulnérabilités et aux tentatives de credential stuffing que le siège du groupe.

Phase 2 — Établissement du foothold et reconnaissance. Une fois dans le réseau de la filiale, l'attaquant déploie un implant persistant (webshell, beacon Cobalt Strike, agent C2 personnalisé) et commence une reconnaissance passive du réseau local. L'objectif est double : comprendre la structure du SI de la filiale, et identifier les connexions qui existent avec le SI groupe. Ces connexions sont omniprésentes dans les groupes modernes : tunnels VPN site-à-site, partage Active Directory ou trust entre domaines AD, accès aux partages réseau communs, connexions aux applications SaaS groupe (ERP, CRM, outils de collaboration).

Phase 3 — Pivot vers le groupe. L'attaquant exploite une connexion inter-entités pour se déplacer latéralement vers le SI groupe. Les vecteurs de pivot les plus courants sont les relations de trust Active Directory entre le domaine de la filiale et le domaine corporate, les comptes de service partagés pour des applications métier communes, les accès VPN site-à-site sans segmentation fine, et les solutions de supervision IT centralisées (agents SIEM ou sondes de monitoring qui remontent des données depuis la filiale vers le SOC central et peuvent être détournées).

Phase 4 — Préparation et déclenchement. Une fois dans le SI groupe, l'attaquant prend le temps nécessaire — parfois plusieurs semaines — pour identifier les actifs les plus précieux, exfiltrer les données à haute valeur (données financières, propriété intellectuelle, données personnelles massives), et préparer le déploiement simultané du ransomware sur un maximum d'hôtes. Le chiffrement est alors déclenché en masse, souvent un week-end ou un jour férié pour maximiser le délai de réponse des équipes.

Nidec illustre cette logique : la filiale taïwanaise Chaun-Choung Technology a été compromise le 22 juin 2026 par BlackField. Nidec a rapidement présenté l'incident comme « localisé » à une filiale, sans impact sur le groupe. Mais 2 To de données exfiltrées — incluant des données employés, financières, d'approvisionnement et de fabrication — suggèrent un accès significatif au SI de la filiale, avec des risques potentiels de rebond non encore divulgués. La transparence sur l'étendue réelle des compromissions via filiales reste structurellement insuffisante.

Les chiffres qui révèlent une tendance de fond

Les données de 2025-2026 convergent toutes vers la même conclusion : le ciblage des chaînes d'approvisionnement et des entités périphériques est la stratégie dominante du ransomware moderne, et son poids augmente chaque trimestre.

Selon l'analyse publiée par Recorded Future pour le premier semestre 2026, plus de 40 % des incidents ransomware impliquant des grandes entreprises (chiffre d'affaires supérieur à 500 millions d'euros) ont utilisé un tiers — filiale, prestataire, sous-traitant — comme vecteur d'accès initial, contre 28 % en 2024. La progression est nette et correspond à l'amélioration des défenses périmètriques des maisons mères, qui redirige mécaniquement les attaquants vers les maillons les plus faibles.

L'affaire Conduent est emblématique de l'ampleur que peut prendre un incident via une entité de service : le prestataire de gestion administrative américain a vu sa brèche s'étendre à 62,2 millions d'individus exposés en juillet 2026, avec des données incluant des numéros de sécurité sociale, des informations médicales et des données d'assurance santé. Conduent fournit des services à des dizaines d'agences gouvernementales et d'entreprises privées. Un seul point de compromission, un impact massif sur des dizaines d'entités clientes — c'est la définition même d'un incident à effet de levier.

D'après les données de la plateforme BrightDefense publiées en juillet 2026, les secteurs les plus touchés par les incidents via filiales ou sous-traitants sont, dans l'ordre : l'industrie manufacturière, les services financiers, la santé, et désormais la défense et l'aérospatial. L'émergence du secteur défense dans ce classement correspond à la professionnalisation croissante de certains groupes criminels et à l'intérêt stratégique, pas uniquement financier, que représentent ces cibles.

Sur le plan financier, les rançons demandées dans les attaques via filiales sont calibrées sur la taille du groupe parent, pas de la filiale compromise. BlackField demande 2 millions de dollars à Nidec — une somme calibrée sur la capacité financière du groupe japonais (capitalisation boursière de plusieurs milliards de dollars), pas sur la taille de sa filiale taïwanaise. Cette logique de tarification basée sur la capacité de paiement du groupe est documentée dans les rapports d'analyse de plusieurs programmes RaaS depuis 2024.

La durée moyenne entre l'accès initial via une filiale et le déclenchement du ransomware sur le groupe parent est, selon les données de réponse aux incidents disponibles, de 18 à 45 jours. C'est la fenêtre pendant laquelle une détection proactive — via monitoring étendu aux filiales ou threat hunting — peut interrompre l'attaque avant le chiffrement. Passée cette fenêtre, les options se réduisent drastiquement.

Ce que les groupes parent refusent encore d'admettre

Après chaque incident via filiale, la communication corporate suit invariablement le même script : « l'attaque a été contenue à une filiale », « nos systèmes principaux ne sont pas affectés », « la continuité de service est assurée ». Cette narration est compréhensible d'un point de vue de gestion de crise et de communication boursière. Elle est problématique d'un point de vue de la gestion réelle du risque.

Premier problème : le déni de responsabilité. Quand Indra communique que l'attaque « a été localisée à une filiale », le message implicite est que la filiale est une entité autonome et que son niveau de sécurité ne relève pas de la responsabilité du groupe. C'est un argument juridiquement défendable mais opérationnellement faux. Une filiale qui partage des connexions réseau, des domaines Active Directory ou des applications avec le groupe est une partie intégrante du périmètre de risque cyber du groupe, qu'on le veuille ou non. NIS2 et DORA le disent explicitement.

Deuxième problème : l'absence de visibilité. La plupart des RSSI groupe ne disposent pas d'une visibilité réelle sur le niveau de sécurité de leurs filiales, notamment celles acquises récemment ou situées à l'international. Le processus d'intégration post-fusion-acquisition (M&A cyber due diligence) est souvent insuffisant ou trop lent. On intègre les systèmes business (ERP, finance), on oublie d'intégrer la gouvernance sécurité. Il faut parfois 2 à 3 ans avant qu'une filiale acquise soit couverte par les outils et politiques de sécurité du groupe — 2 à 3 ans pendant lesquels elle reste une porte ouverte.

Troisième problème : la fausse segmentation. Beaucoup d'entreprises croient que le fait d'avoir des domaines Active Directory distincts entre une filiale et le groupe constitue une segmentation suffisante. C'est rarement le cas. Les relations de trust AD, les comptes de service partagés, les accès VPN inter-sites et les applications SaaS communes créent des passerelles que les attaquants savent exploiter. La vraie segmentation nécessite une conception explicite des flux autorisés et une surveillance active des franchissements de périmètre.

Quatrième problème : l'angle mort du reporting. Les métriques de sécurité remontées au COMEX mesurent généralement le périmètre central. Les filiales sont souvent absentes des tableaux de bord de risque, ou n'y apparaissent que comme une ligne agrégée sans granularité. Les décideurs n'ont pas de vision claire du différentiel de maturité entre le coeur du groupe et ses entités périphériques — et ne peuvent donc pas allouer les ressources correctement. Ce qui n'est pas mesuré n'est pas géré.

Construire une gouvernance cyber cohérente dans un groupe multi-entités

Réduire le risque filiale ne passe pas par le déploiement uniforme des mêmes outils sur toutes les entités du groupe — une approche souvent impraticable compte tenu des contraintes budgétaires et organisationnelles. Cela passe par une gouvernance explicite du risque inter-entités, avec des mécanismes de contrôle proportionnés au niveau de connectivité et d'exposition de chaque filiale.

Cartographie du risque par entité. La première étape est de savoir ce qu'on a. Combien de filiales ? Quel est leur niveau de connectivité avec le SI groupe ? Ont-elles des accès internet directs ? Quels sont leurs vecteurs de connexion inter-groupe ? Cette cartographie est souvent partielle ou obsolète dans les grandes organisations. Un programme annuel d'évaluation du niveau de maturité de chaque filiale (via un référentiel simplifié type CIS Controls niveaux 1 et 2) est la base d'une gouvernance efficace. Elle doit être mise à jour après chaque acquisition et revue annuellement.

Segmentation réseau inter-entités. Chaque connexion entre une filiale et le groupe doit être explicitement documentée, justifiée et contrôlée. Le modèle « VPN site-à-site sans restriction » est un risque majeur — c'est un boulevard pour la propagation latérale. Les flux inter-entités doivent être filtrés et surveillés, avec des règles strictes de moindre privilège : la filiale accède uniquement aux ressources groupe dont elle a besoin métier, pas à l'ensemble du réseau corporate. Les relations de trust Active Directory inter-domaines doivent être inventoriées et validées explicitement.

MFA généralisé sur tous les accès distants. CVE-2026-45659, les attaques sur Indra et Nidec ont en commun des vecteurs d'accès initial sans MFA ou avec un MFA contournable. L'authentification multifacteur sur 100 % des accès VPN, RDP et portails d'administration — y compris dans les filiales — est la mesure préventive la plus efficace par rapport à son coût. C'est non négociable. Un VPN filiale sans MFA en 2026 est une faute de gouvernance.

Programme de cyber due diligence post-M&A. Toute acquisition doit déclencher immédiatement un audit de sécurité de l'entité acquise et un plan d'intégration sécurité avec des jalons clairs. L'objectif n'est pas de déployer immédiatement tous les outils du groupe, mais de mettre hors service les expositions les plus critiques dans les 30 à 90 jours suivant l'acquisition : VPN non patchés, RDP exposé sur internet, absence de MFA, comptes administrateurs locaux non gérés. Ces quatre points couvrent la majorité des vecteurs d'accès initial observés dans les incidents via filiales.

Monitoring étendu aux filiales. Les filiales doivent être intégrées au périmètre de monitoring du SOC groupe, ou dotées d'un monitoring local minimal avec remontée d'alertes. L'idée selon laquelle une filiale gère elle-même sa sécurité sans supervision groupe est un mythe qui coûte cher. À minima, les logs d'authentification, les alertes EDR et les événements réseau critiques des filiales doivent être agrégés et analysés. Les 18 à 45 jours de dwell time moyen avant déclenchement du ransomware représentent une fenêtre de détection réelle — encore faut-il avoir les logs qui permettent de la voir.

Exercices de crise incluant le scénario filiale. Les plans de réponse aux incidents de la plupart des grandes entreprises modélisent une attaque sur le coeur du SI. Peu intègrent le scénario d'une compromission initiée via une filiale avec pivot vers le groupe. Cet exercice doit être pratiqué régulièrement pour tester les procédures d'isolation inter-entités, la chaîne de communication entre la filiale et le groupe, et la capacité à contenir rapidement la propagation. La simulation doit inclure des décisions difficiles : couper la connexion VPN avec une filiale opérationnelle pour stopper la propagation, par exemple.

L'enjeu réglementaire : NIS2 et DORA changent la donne

La directive NIS2, entrée en application dans les États membres de l'UE depuis fin 2024, étend explicitement les obligations de sécurité aux chaînes d'approvisionnement et aux entités connexes. Les grandes entreprises et les opérateurs d'importance vitale ont désormais l'obligation de gérer le risque de leurs sous-traitants et prestataires critiques, pas seulement leur périmètre propre. DORA, le règlement européen sur la résilience opérationnelle numérique du secteur financier, impose des exigences similaires sur la gestion du risque tiers et des incidents de sécurité affectant des prestataires de services TIC.

Ces réglementations fournissent un levier pour les RSSI qui peinent à convaincre leur direction de l'importance du risque filiale. « Notre filiale non couverte par le programme sécurité groupe crée un risque de non-conformité NIS2 » est un argument qui résonne différemment au niveau du COMEX que « notre filiale est moins bien protégée ». Les premières sanctions NIS2 sont attendues en 2026-2027 et concerneront en priorité les incidents qui révèlent une absence de gestion structurée du risque — y compris le risque via des entités du groupe ou des prestataires.

Les organisations qui auront pu démontrer l'existence d'un programme de gestion du risque tiers et filiales — même imparfait — seront dans une position bien meilleure face aux autorités de contrôle que celles n'ayant rien mis en place. Le programme n'a pas besoin d'être parfait. Il a besoin d'exister, d'être documenté, et de produire des actions concrètes mesurables. C'est le standard minimum que les régulateurs européens vont appliquer.

Mon avis d'expert

En dix ans de pentests et d'audits, j'ai vu des dizaines de grandes entreprises bien défendues sur leur périmètre central avec des flancs complètement ouverts via leurs filiales. La vérité inconfortable est que le vrai niveau de sécurité d'un groupe n'est pas celui de sa maison mère : c'est celui de son entité la plus faible connectée au groupe. Les attaquants ont parfaitement intégré cette réalité. La plupart des RSSI groupe aussi, intellectuellement. Mais la gouvernance concrète — les ressources, les outils, le reporting, les exercices — ne suit pas encore. Tant que les filiales resteront des angles morts du reporting risque présenté au COMEX, elles resteront des portes d'entrée pour les attaquants. Ce n'est pas un problème technique. C'est un problème de gouvernance et de volonté politique interne.

Conclusion

La tendance est claire et ne va pas s'inverser : les opérateurs ransomware ont industrialisé le ciblage des filiales et des chaînes d'approvisionnement. Les incidents de 2026 — Nidec, Indra Group, Conduent, Deutsche Bank via un tiers — ne sont pas des accidents isolés. Ils sont les symptômes d'un écart de maturité structurel entre les coeurs de groupe et leurs entités périphériques, exploité méthodiquement par des groupes criminels de plus en plus professionnels.

La réponse ne peut pas être uniquement technologique. Elle est organisationnelle et stratégique : gouvernance explicite du risque inter-entités, programme de cyber due diligence post-M&A, segmentation réseau réelle, MFA généralisé, monitoring étendu aux filiales. Et surtout, une prise de conscience au niveau des directions générales que le périmètre de responsabilité cyber d'un groupe ne s'arrête pas aux murs du siège.

Si votre groupe a réalisé des acquisitions ces deux dernières années, si vous avez des filiales à l'international avec leur propre IT, si vous avez des prestataires qui se connectent à votre SI : vous avez des angles morts. La question n'est pas de savoir si vous serez ciblé par ce biais. C'est de savoir quand, et si vous serez en mesure de le détecter et de le contenir avant que l'attaquant ne pivote vers votre coeur de métier.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique — cartographie du risque filiales, audit des connexions inter-entités, programme de cyber due diligence post-M&A.

Prendre contact