98 van de 100 grootste bedrijven in Frankrijk hebben ten minste één keer te maken gehad met inbreuken door derden in de afgelopen 12 maanden, zo blijkt uit het ‘2025 Frankrijk Cybersecurity Rapport’van Security Scorecard. Hoewel sommige bedrijven hun interne verdediging hebben verbeterd, laten de gegevens zien dat de meeste inbreuken nu binnenkomen via leveranciers, niet via de bedrijfsinfrastructuur.
Het rapport beoordeelt de externe cyberrisicopositie van de grootste Franse bedrijven op basis van marktkapitalisatie en benadrukt de aanhoudende blootstelling aan kritieke afhankelijkheden in de toeleveringsketen.
Belangrijkste bevindingen:
- 98% van de top 100 bedrijven in Frankrijk werd het afgelopen jaar getroffen door ten minste één cyberinbreuk door derden.
- 100% had minstens één inbreuk bij een leverancier van derden.
- Directe cyberinbreuken daalden licht – van 7% vorig jaar naar 4% dit jaar – met bedreigingen van binnenuit en malware als belangrijkste oorzaken.
- De top 25 bedrijven hadden te maken met meer dan twee keer het aantal inbreuken door derden dan de onderste 25.
- 94% van de bedrijven met een ‘A’beveiligingsclassificatie had geen bekende inbreuken.
- 29% van de bedrijven kreeg de beoordeling ‘C’of lager, een daling ten opzichte van 40% in het rapport van vorig jaar.
“Directe inbreuken zijn gedaald, maar de blootstelling van derden treft nu bijna elk groot Frans bedrijf”, zegt Corian Kennedy, Senior Manager of Threat Insights & Attribution bij SecurityScorecard. “Interne controles zijn niet langer voldoende. Zonder inzicht in leveranciers en hun afhankelijkheden, blijft het pad naar inbreuken wijd open.”
Hoogtepunten per sector:
Bouw en infrastructuur: Alle beoordeelde bedrijven kregen de beoordeling ‘C’ of lager en hadden te maken met inbreuken door derden, wat duidt op een hoog risiconiveau.
Industrie: Deze sector liet een opmerkelijke verbetering zien, met slechts 13% van de bedrijven met een beoordeling ‘C’of lager, tegenover 42% vorig jaar.
Financieel: Deze sector rapporteerde het laagste niveau van blootstelling aan inbreuken door derden, met 93,75% van de getroffen bedrijven – nog steeds hoog, maar onder het nationale gemiddelde.
Recente incidenten onderstrepen de inzet: In augustus 2024 was RansomHouse het doelwit van de Universiteit van Parijs-Saclay, waarbij gevoelige academische gegevens werden buitgemaakt en de activiteiten werden verstoord. Tijdens de Olympische Zomerspelen van 2024 kreeg het Grand Palais Museum Network te maken met een ransomware-aanval waardoor de interne systemen moesten worden stilgelegd. Deze gevallen laten zien hoe digitale risico’s verder kunnen reiken dan de particuliere sector en ook openbare instellingen en kritieke evenementen kunnen treffen.
Internationale vergelijking: De blootstelling van Frankrijk aan inbreuken op de toeleveringsketen (98% derde partij, 100% vierde partij) overtreft die van de buurlanden. Ter vergelijking: bedrijven met een beoordeling ‘C’ of lager vertegenwoordigen 24% in het Verenigd Koninkrijk, 34% in Duitsland en 41% in Italië. Scandinavische bedrijven leiden met slechts 20% op dit niveau. De resultaten wijzen op de behoefte aan een beter managen van de toeleveringsketen en een betere verantwoording van leveranciers in Frankrijk.
Aanbevelingen:
Om de veerkracht van de digitale toeleveringsketen te versterken, beveelt SecurityScorecard organisaties aan:
- Verbeter de zichtbaarheid in relaties met derde en vierde partijen.
- Prioriteit geven aan applicatie- en netwerkbeveiliging als basisbescherming.
- Vervang periodieke leveranciersbeoordelingen door continue monitoring.
- Veilige praktijken bij het ontwerp en de inkoop van leveranciers vereisen.
- Pas sterke toegangscontroles, multi-factor authenticatie en tijdige patching toe.
De houding van Frankrijk ten opzichte van cyberrisico’s weerspiegelt een wereldwijde realiteit waarin digitale toeleveringsketens het primaire aanvalsoppervlak zijn geworden. Beveiliging vereist nu real-time, op bewijs gebaseerd toezicht op het hele ecosysteem van leveranciers. Dat geldt ook voor relaties met derden. Als dat niet gebeurt, staan kritieke systemen bloot.
Lees het volledige rapport en bekijk de gegevens per sector hier; Read the full report and access data by sector here.
