Deux banques américaines, un seul fournisseur : les 11 vulnérabilités tierces invisibles aux questionnaires

Le 20 avril 2026, le groupe ransomware Everest a publié sur son site de leak deux banques américaines majeures. Toutes les deux ont confirmé : la brèche n'est pas venue de leur réseau interne, mais d'un fournisseur tiers commun. Une chaîne de quelques minutes, un seul vendor compromis, deux institutions financières exposées.

Le TPRM — Third Party Risk Management — n'est plus un sujet de conformité. C'est devenu un sujet de continuité business. Et pourtant, la plupart des programmes TPRM en 2026 reposent encore sur un questionnaire annuel statique.

Voici ce que ces questionnaires ne voient JAMAIS — et qui constitue 90 % du risque réel de vos tiers.

Pourquoi le questionnaire annuel ne suffit plus

Trois raisons structurelles : • Le questionnaire mesure ce que le fournisseur dit. Pas ce qu'il fait. • Sa fenêtre de validité est de 12 mois. La fenêtre d'exposition d'une CVE critique est de 20 heures. • Il ne couvre pas les actifs externes du fournisseur (sous-domaines, ports, certificats) qui sont le vrai vecteur d'attaque.

Les 11 vulnérabilités tierces que vos questionnaires ne détectent JAMAIS

Voici la liste des éléments concrets de vulnérabilité d'un fournisseur que vous pouvez observer en continu, sans coopération du tiers, et qui sont totalement invisibles aux questionnaires : 1. Certificats TLS expirés ou faibles sur leurs services exposés 2. Ports nouveaux ouverts sur internet (changement de surface) 3. Sous-domaines vulnérables au takeover (Webflow, GitHub Pages, S3 mal configurés) 4. CVEs critiques sur services internet-facing (versions exposées détectables) 5. En-têtes de sécurité HTTP manquants (HSTS, CSP, X-Frame-Options) 6. Configuration email cassée (SPF, DKIM, DMARC mal configurés → spoofing de leur domaine) 7. Credentials leakées sur le dark web liées au domaine du fournisseur 8. Apparition dans des fuites de données récentes (breach databases) 9. Présence dans la victimology CTI (déjà attaqué ces 90 derniers jours) 10. Drift d'alignement déclaré (le fournisseur dit SOC 2, ses signaux externes ne matchent pas) 11. Ports OT/ICS exposés sur internet (Modbus, S7, BACnet… pour fournisseurs industriels)

Comment FortaRisks couvre les 11 en continu

Notre module TPRM observe en continu chaque tier critique sans nécessiter sa coopération : • EASM appliqué au fournisseur : 100+ types de findings sur leur surface externe (couvre #1, #2, #3, #4, #5) • Email Health : SPF/DKIM/DMARC monitorés en continu (couvre #6) • Disclosure module : scan dark web + breach databases (couvre #7, #8) • CTI victimology : filtre par fournisseur + corrélation avec acteurs actifs sur leur secteur/pays (couvre #9) • Posture cross-mapping : détection drift entre déclaration (SOC 2, ISO 27001) et signaux externes observables (couvre #10) • Scanner OT/ICS natif appliqué aux fournisseurs industriels — 15+ ports : Modbus, S7, BACnet, DNP3, OPC UA, EtherNet/IP, IEC-104 (couvre #11) Score décomposable par dimension. Pas de boîte noire BitSight ou SecurityScorecard. Vous voyez exactement ce qui contribue au risque, vous pouvez le contester avec preuve, et le fournisseur peut l'expliquer ou le corriger.

Du premier tiers ajouté à la première alerte : 7 jours

Là où un questionnaire annuel met 3 mois entre l'envoi et l'analyse, FortaRisks vous donne : • Score initial sur 100 % de vos tiers en moins de 7 jours • Détection continue des changements de posture (drift, nouvelles CVE, expirations) • Alertes priorité selon criticité business + exposition réelle • Rapport audit-ready exportable pour DORA, ISO 27001, SOC 2, Loi 25

Conclusion

Les 2 banques américaines tombées le 20 avril savaient probablement que leur fournisseur partagé était critique. Ce qu'elles ne savaient pas, c'est qu'il avait une CVE critique non patchée depuis 9 jours. Cette information était publique. Personne ne la regardait.

→ Voir les 11 vulnérabilités de vos tiers en moins de 7 jours. Demander une démo FortaRisks : https://www.fortarisks.com/contactez-nous