Gestion du risque tiers : 6 tendances à suivre en 2026

Gestion du risque tiers en 2026 : les 6 tendances à suivre pour les directions achats et compliance

Hausse des cyberattaques par rebond, record de procédures collectives, augmentation des redressements pour travail dissimulé… Les risques liés aux tiers n’ont jamais autant pesé sur les donneurs d’ordre.

L’année 2026 accentue cette pression sous trois effets conjugués :

- La réglementation se densifie et se précise (NIS2, DORA, CSRD, CS3D) ;

- Les outils des fraudeurs (et des contrôleurs) sont dopés à l’IA ;

- Les autorités de contrôle renforcent leur doctrine, notamment l’Agence française anticorruption et l’URSSAF.

Le coût de la non-conformité des donneurs d’ordre continue d'augmenter, et avec lui le ROI des dispositifs de digitalisation de la due diligence. Pour les entreprises qui gèrent encore leurs tiers avec des fichiers Excel et des relances manuelles, l’année 2026 devrait être celle du basculement… car le risque financier justifie largement l’investissement.

Dans cet article, la rédaction de Provigis analyse les 6 tendances qui vont rythmer la gestion des risques tiers cette année.

Tendance 1 - Cybersécurité : le maillon faible, c'est (souvent) le fournisseur

En 2024, 47 % des entreprises françaises ont subi au moins une cyberattaque majeure, dont 60 % ont débuté par du phishing (CESIN, 2025), un niveau équivalent à 2023. La menace semble donc se normaliser à un niveau élevé.

Globalement, les entreprises semblent investir dans leur propre sécurité, mais continuent de négliger celles de leurs partenaires. En effet, 73 % des RSSI déclarent manquer de ressources pour gérer les risques cyber liés à leurs fournisseurs (CESIN). Et les cyberattaquants l'ont bien compris. Plutôt que de forcer la porte d'un grand groupe bien protégé, ils passent par un prestataire moins vigilant. Ce sont les fameuses attaques par rebond.

En 2026, et plus que jamais, votre entreprise n'est pas plus sécurisée que son fournisseur le plus vulnérable.

💡 Quel budget consacrer à la cybersécurité ?

Clara Chappaz, ministre déléguée à l'IA et au numérique, a posé un repère : les structures concernées par NIS2 devront consacrer environ 10 % de leur budget IT à la cybersécurité. Un minimum, donc, qui devra couvrir aussi bien les systèmes internes que la surveillance de l'écosystème fournisseurs.

C'est précisément pour répondre à ce risque systémique que les directives NIS2 et DORA ont vu le jour. En 2026, ces deux textes européens entrent dans leur phase opérationnelle en France :

• NIS2 sera transposé en France (avec beaucoup de retard). Les entreprises ont trois ans pour se conformer. Mais l’obligation de notifier l’ANSSI en cas d’incident de sécurité significatif est déjà effective ;
• DORA, applicable depuis janvier 2025, entre dans sa première année pleine avec la montée en puissance des contrôles et la désignation des prestataires TIC critiques soumis à supervision européenne directe.

Ce que NIS2 et DORA changent pour les équipes IT/RSSI

La directive NIS2 élargit le périmètre des entreprises soumises à des obligations de cybersécurité : en France, nous sommes passés de 500 entités régulées sous NIS 1 à environ 15 000 sous NIS 2. Les secteurs d’activité concernés passent de 6 à 18 et couvrent désormais également l'agroalimentaire, la gestion des déchets, les services postaux ou encore l'industrie manufacturière.

Votée au Sénat en mars 2025, la transposition française devrait être promulguée au premier semestre 2026. Les décrets techniques de l'ANSSI suivront au deuxième trimestre. Les entreprises auront ensuite trois ans pour se mettre en conformité**, avec des contrôles prévus à partir de fin 2026 pour les entités essentielles**.

Le gouvernement propose d’ailleurs à ces dernières des ressources pour se préparer avec la plateforme « Mon Espace NIS 2 ». Si vous ne savez pas si votre entreprise est concernée par la deuxième mouture de la directive, vous pouvez lancer le simulateur mis à disposition dans la plateforme.

L'ANSSI a d’ores et déjà défini 20 objectifs de sécurité répartis en quatre blocs :

• Gouvernance: politique de sécurité, analyse de risques et responsabilités ;
• Protection et résilience: gestion des incidents sous 24h, PCA/PRA testés, sécurité de la chaîne d'approvisionnement…
• Facteur humain: formation, contrôle d'accès et authentification forte ;
• Technique: cartographie du SI, gestion des vulnérabilités et chiffrement des données.

Attention : la certification ISO 27001 ne couvre que 2 de ces 20 objectifs selon l'ANSSI. Elle ne suffit donc pas à démontrer la conformité.

💡 Le point actu

En mai 2025, la Commission européenne a adressé à la France un avis motivé pour « défaut de transposition complète de NIS 2 ». Le retard français s'explique par l'instabilité politique (dissolution, censures successives du gouvernement), mais le calendrier 2026 reste maintenu.

Pour le secteur financier, le règlement DORA s'applique depuis le 17 janvier 2025. Il concerne les banques, assurances, sociétés de gestion, établissements de paiement, entreprises de crypto-actifs, mais aussi leurs prestataires TIC (cloud, hébergement, infogérance, cybersécurité).

DORA impose un registre annuel des prestataires TIC à transmettre à l'AMF, des tests de résilience réguliers et un cadre contractuel renforcé avec les fournisseurs critiques. Les prestataires TIC jugés « critiques » au niveau européen feront l'objet d'une supervision directe par les autorités européennes (ESMA, EBA, EIOPA).

💡 Le chiffre à connaître

NIS2 et DORA imposent toutes deux de sécuriser la chaîne d'approvisionnement, notamment en cartographiant les fournisseurs ayant accès au SI, en évaluant leur niveau de maturité cyber et en intégrant des clauses de sécurité dans les contrats. Évidemment, il suffit d’un prestataire défaillant pour compromettre votre propre conformité, et le risque est majeur : les attaques via la supply chain ont augmenté de 431 % entre 2021 et 2023 (selon CrowdStrike), et 98 % des 100 plus grandes entreprises françaises ont subi au moins une brèche via un tiers en 2024 (selon SecurityScorecard).

Ce que NIS2 et DORA changent pour la direction des achats

La cybersécurité poursuit son incursion dans les autres services de l’entreprise, bien au-delà des équipes IT. Selon une étude AgileBuyer, 42 % des directions achats positionnent désormais le risque cyber comme leur deuxième préoccupation majeure, juste derrière les défaillances fournisseurs.

NIS2 et DORA imposent aux entreprises d'évaluer systématiquement le niveau de maturité cyber de leurs fournisseurs, ****en particulier ceux qui accèdent au système d'information ou traitent des données sensibles. Cette évaluation doit couvrir les aspects techniques (politiques de sécurité, certifications, tests d'intrusion) mais aussi la gouvernance et la solidité financière du prestataire.

Concrètement, les directions achats doivent intégrer des critères de cybersécurité dans leurs appels d'offres et leurs grilles d'évaluation fournisseurs. L'enjeu est évidemment d’identifier les prestataires à risque avant la contractualisation.

Par la suite, le contrat devient le principal levier de maîtrise du risque. Selon l'Observatoire du risque cyber 2025, 9 entreprises sur 10 considèrent les clauses contractuelles de sécurité comme le premier outil de pilotage du risque cyber fournisseur, notamment grâce à six types de clauses :

• La clause d'audit : le droit d'auditer le prestataire ou d'exiger la transmission du dernier rapport d'audit cyber ;
• La clause de notification d'incidents : obligation d'informer le client sous 24 à 72h en cas de violation de données ou d'incident de sécurité ;
• La clause de sous-traitance : encadrement strict du recours à des sous-traitants, avec validation préalable du donneur d’ordre ;
• La clause de conformité réglementaire : engagement du prestataire à respecter NIS2, DORA et le RGPD selon son périmètre ;
• La clause de réversibilité : conditions de récupération des données et de transition vers un autre prestataire ;
• La clause de pénalités : sanctions financières en cas de manquement aux engagements de sécurité.

💡 Le chiffre à connaître

64 % des entreprises peinent à impliquer leurs fournisseurs dans leurs exigences de cybersécurité (Observatoire du risque cyber 2025). Face à un prestataire qui refuse de répondre à un questionnaire de sécurité ou de s'engager sur des clauses d'audit, vous avez deux options : renoncer au partenariat ou assumer le risque en le documentant formellement. En cas d'incident, cette traçabilité sera scrutée par les autorités de contrôle.

Ce que NIS2 et DORA changent pour la direction générale

NIS2 introduit une nouveauté majeure : la responsabilité personnelle des dirigeants en matière de cybersécurité. Les organes de direction (conseil d'administration, COMEX et gérance) doivent désormais approuver formellement les mesures de gestion des risques cyber et superviser leur mise en œuvre.

Cette responsabilité se traduit par trois principales obligations :

• Les dirigeants des entités dites « essentielles » et « importantes » doivent suivre une formation en cybersécurité. C’est une première dans la réglementation européenne ;
• Ils doivent valider les politiques de sécurité, les plans de continuité et les budgets associés ;
• Ils sont tenus de s'assurer que l'organisation dispose des ressources nécessaires pour atteindre les 20 objectifs de sécurité définis par l'ANSSI.

Les sanctions prévues par NIS2 visent à la fois l'entreprise et ses dirigeants :

• Côté entreprise : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 millions d'euros ou 1,4 % pour les entités importantes ;
• Côté dirigeants : l'ANSSI pourra prononcer une interdiction temporaire d'exercer des fonctions managériales. Des poursuites judiciaires restent également possibles en cas de négligence caractérisée ayant conduit à un incident majeur.

💡 Point de vigilance

DORA prévoit des astreintes journalières pouvant atteindre 1 % du chiffre d'affaires quotidien moyen mondial, cumulables sur six mois.

Tendance 2 - La fraude au virement : le risque fournisseur amplifié par l’IA

Depuis octobre 2025, la vérification du bénéficiaire des virements (VoP) s’applique aux paiements SEPA et ajoute un contrôle technique au moment de l’exécution des règlements fournisseurs. Ce contrôle vérifie la cohérence entre le nom du bénéficiaire et l’IBAN, mais il n’intervient qu’après la décision interne de paiement.

En amont de cette étape, les fraudeurs concentrent désormais leurs efforts sur la manipulation des personnes qui initient ou valident les virements. Les tentatives de fraude au virement reposent de plus en plus sur des techniques d’ingénierie sociale assistées par IA, comme le clonage de voix ou la diffusion de flux vidéo factices pendant les visioconférences avec les dirigeants.

Lorsque ces fraudes donnent lieu à un litige avec la banque, la jurisprudence montre que la due diligence de l’entreprise conditionne largement l’issue du jugement (CA Paris, 20 juin 2024, CA Rennes, 2024, Cass. com., 12 juin 2025…).

Faux fournisseur et fraude au président : des schémas centrés sur la relation fournisseurs

Le point d’entrée le plus fréquent à la fraude au virement en France reste le fameux changement de coordonnées bancaires communiqué par email. La fraude dite « au faux fournisseur » consiste à intercepter ou imiter une communication habituelle pour substituer un RIB au moment d’un paiement.

Selon Trustpair, 49 % des entreprises françaises ciblées par une fraude l’ont été via ce scénario qui exploite des failles opérationnelles :

• Manque de sensibilisation des fournisseurs au phishing, qui les expose au piratage de leur messagerie ;
• Manque de vigilance des équipes du donneur d’ordre, qui peuvent recevoir des emails depuis des noms de domaine qui ressemblent à ceux du fournisseur (compta@fournisseurs.com au lieu de compta@fournisseur.com, par exemple).
• Absence de procédure formalisée lors d’un changement de coordonnées bancaires ;
• Dépendance à une seule personne pour la validation des paiements.

Une fois la relation détournée, le virement est exécuté dans des conditions normales, ce qui explique que la responsabilité ne se déplace que marginalement vers la banque en cas de litige dans la jurisprudence.

La fraude au président, parfois désignée sous l’acronyme FOVI, vise plutôt à court-circuiter les contrôles internes en s’appuyant sur l’autorité hiérarchique et l’urgence. L’attaquant se fait passer pour un dirigeant ou un membre du comité exécutif et demande un virement exceptionnel, présenté comme confidentiel ou critique.

Ce type de fraude reste moins fréquent que le faux fournisseur, mais son impact financier moyen est plus élevé, en particulier dans les groupes qui disposent de filiales ou de centres de services partagés (OSMP, 2024).

💡 Le chiffre à connaître

Le montant de la fraude au virement s’élève aujourd’hui à 312 millions d’euros en France, un niveau stable mais durablement élevé, tandis que le préjudice total lié à l’ensemble des fraudes aux moyens de paiement a atteint 1,2 milliard d’euros en 2024 (Banque de France).

IA générative et deepfakes : des tentatives plus crédibles, plus difficiles à détecter

La démocratisation de l’IA générative dans ses formes audiovisuelles est en train de réinventer l’ingénierie sociale mobilisée à des fins malveillantes.

Le baromètre CESIN (2025) indique que 9 % des attaques déclarées par les grandes organisations françaises intègrent déjà des mécanismes de deepfake à destination des DAF et des comptables :

• Clonage de voix statique : génération d’une voix artificielle à partir d’enregistrements existants. Cette technique est utilisée pour produire des messages vocaux préenregistrés imitant un dirigeant, un DAF ou un contact fournisseur ;
• Clonage de voix dynamique : génération d’une voix artificielle avec laquelle le fraudeur peut converser pendant un appel téléphonique ;
• Génération vidéo synchronisée : création d’une vidéo artificielle, synchronisée avec une voix synthétique, pendant de courtes séquences de visioconférence pour simuler la présence d’un interlocuteur de confiance.

💡 Le cas Arup : le deepfake qui a coûté des millions de dollars

En février 2024, le cabinet d’ingénierie Arup a affirmé qu’un salarié de sa filiale hongkongaise avait validé plusieurs virements pour un montant total d’environ 25 millions de dollars après avoir participé à une visioconférence réunissant ce qu’il croyait être des cadres du groupe, tous générés artificiellement à l’aide de deepfakes audio et vidéo.

Les données confirment une diffusion rapide de ces pratiques à l’international. Trustpair observe une hausse de 118 % de l’usage de tactiques de fraude assistées par IA entre 2023 et 2024 sur son périmètre clients, et Surfshark recense 580 incidents impliquant des deepfakes sur le seul premier semestre 2025, contre 153 sur l’ensemble de l’année 2024.

Ces chiffres restent partiels mais montrent une capacité à industrialiser l’ingénierie sociale à des fins malveillantes.

💡 Quelles implications pour les directions financières et achats ?

L’ingénierie sociale dopée au deepfake élargit le périmètre des situations à risque dans la chaîne de paiement. Certes, les échanges téléphoniques ou en visioconférence ne doivent pas autoriser un virement à eux seuls, mais ils peuvent préparer et légitimer une demande écrite ultérieure, par exemple un email frauduleux qui demande un changement de coordonnées bancaires ou l’exécution d’un paiement urgent. En installant un contexte crédible, ces échanges peuvent faire baisser la garde du donneur d’ordre, qui pourrait être tenté d’alléger ou d’accélérer les contrôles habituels.

Tendance 3 - RSE et supply chain : 2026, l’année du tri

Après cinq années de progression continue, l’indicateur RSE marque le pas pour la première fois, selon une étude AgileBuyer/CNA (2026) :

• La proportion des directions achats qui déclarent intégrer des critères RSE dans leurs processus a reculé de 9 % en 2025 (69 % vs. 78 % en 2024) ;
• La mesure de l'empreinte carbone des fournisseurs recule elle aussi de 5 % (42 % vs 47 % en 2024) ;
• Près d'un tiers des acheteurs interrogés n'ont désormais plus d'objectifs individuels liés au développement durable.

En réalité, les directions achats abandonnent la logique « promotionnelle » qui consistait à valoriser les fournisseurs vertueux pour adopter une logique « sanctionnelle ». Plutôt que d’attribuer des points bonus au fournisseur qui fait mieux, elles écartent ceux qui ne respectent pas le socle minimum. Le critère RSE passe du différenciant au disqualifiant.

Ce changement de paradigme doit beaucoup à l’entrée en vigueur des nouvelles directives européennes sur la RSE, qui voit son périmètre basculer progressivement du volontariat à l’obligation légale.

💡 Ce qu’il faut retenir

En 2026, la question pour les fournisseurs n'est donc plus de valoriser la démarche RSE, mais plutôt d’être en mesure de fournir les preuves documentaires exigées par ses clients. Les ETI et PME qui travaillent avec des grands comptes devront donc muscler leur jeu à ce niveau (certifications, politiques internes, données d’émissions) et jouer le jeu des audits et questionnaires RSE… au risque de sortir des panels fournisseurs.

CSRD : les fournisseurs dans le périmètre du scope 3

L'accord Omnibus de décembre 2025 a redessiné les contours de la CSRD. Les seuils d'assujettissement passent de 250 à 1 000 salariés (et 450 M€ de chiffre d'affaires), ce qui exclut environ 80 % des entreprises initialement concernées. Nous en parlons dans notre dossier : « CSRD : ce que change vraiment le paquet Omnibus ».

Les grandes entreprises non cotées (vague 2) publieront leur premier rapport en 2028 (pour l'exercice 2027), et les PME cotées (vague 3) en 2029.

💡 La CSRD, les PME et les ETI

Les PME et ETI non assujetties à la CSRD ne sont pas épargnées. Dès lors qu'elles fournissent un grand compte soumis au reporting, elles deviennent maillons de sa chaîne de valeur et doivent être en mesure de répondre à sa due diligence. L'Omnibus a d'ailleurs prévu un cadre pour elles : le standard VSME (Voluntary Standard for SMEs), qui devient le socle commun pour répondre aux demandes des donneurs d'ordre dans le cadre de la CSRD.

Si le périmètre se resserre, peu de concessions ont été faites sur le fond. Par exemple, les entreprises assujetties devront bien documenter les émissions du scope 3, c'est-à-dire celles générées en amont et en aval de la chaîne de valeur.

Or ces émissions indirectes représentent en moyenne 70 à 90 % de l'empreinte carbone totale d'une entreprise. Pour les mesurer, les directions achats et RSE doivent collecter des données auprès de leurs fournisseurs : bilans carbone, certifications environnementales, politiques internes, réponses à des questionnaires ESG... À partir de 2026, ces sollicitations vont logiquement se multiplier.

💡 La CSRD, les PME et les ETI

Pour les directions achats et compliance, l'enjeu de 2026 sera d'industrialiser cette collecte ESG : identifier les fournisseurs concernés, administrer les questionnaires, fiabiliser les réponses et conserver une piste d'audit. Les entreprises qui ont déjà structuré leurs processus de collecte documentaire pour l'obligation de vigilance sociale (attestations URSSAF, régularité fiscale, lutte contre le travail dissimulé) disposent d'un socle opérationnel qu’il faudra étendre aux données extra-financières. Pour les autres, 2026 sera l'année de la digitalisation de la due diligence. Le risque encouru justifie largement l'investissement.

CS3D : le devoir de vigilance étendu à la chaîne de valeur

La directive Corporate Sustainability Due Diligence Directive (CS3D) transpose à l'échelle européenne le principe du devoir de vigilance que la France applique depuis 2017 aux très grandes entreprises. Le calendrier d'application a été révisé par l'accord Omnibus de décembre 2025 :

• 2027 : entreprises de plus de 5 000 salariés et 1,5 milliard d'euros de chiffre d'affaires ;
• 2028 : plus de 3 000 salariés et 900 millions d'euros ;
• 2029 : plus de 1 000 salariés et 450 millions d'euros.

Environ 5 500 entreprises européennes sont directement concernées. Mais la directive couvre explicitement les activités de leurs filiales, fournisseurs et sous-traitants, y compris au-delà du rang 1. Autrement dit, vous devrez identifier les risques d'atteintes aux droits humains et à l'environnement chez « les fournisseurs de vos fournisseurs », mettre en place des mesures de prévention et de remédiation et en rendre compte publiquement.

La différence avec la CSRD tient à la responsabilité :

• La CSRD vous oblige à publier ce que vous faites (ou ne faites pas) en matière ESG. Si vous ne publiez pas, vous risquez une sanction administrative. Mais la CSRD ne vous rend pas responsable des dommages causés par vos fournisseurs;
• En vertu de la CS3D, un travailleur exploité chez un sous-traitant ou une communauté affectée par la pollution issue de l’activité d’un de vos fournisseurs peut engager des poursuites devant les tribunaux européens et obtenir réparation. Les sanctions administratives peuvent atteindre 5 % de votre chiffre d'affaires mondial.

Autre obligation à anticiper : les entreprises assujetties devront mettre en place un mécanisme de réclamation accessible aux parties prenantes externes (salariés des fournisseurs, riverains, ONG). Ce canal doit permettre de signaler des atteintes potentielles et déclencher une enquête interne.

💡 Anticiper le risque de contentieux

La CS3D ouvre la voie aux actions collectives portées par des ONG ou des collectifs de victimes. Plusieurs organisations (Sherpa, ECCJ, Clean Clothes Campaign…) ont déjà annoncé qu'elles utiliseraient ce nouveau cadre pour cibler les donneurs d'ordre européens. Le contrat fournisseur ne suffira plus à démontrer la conformité : il faudra prouver que les diligences ont été effectivement menées, documentées et suivies d'effet.

Tendance 4 - Anticorruption : l'évaluation des tiers sous la loupe

Après trois ans sans stratégie officielle, le gouvernement a adopté en novembre 2025 un nouveau plan national de lutte contre la corruption (2025 - 2029) avec 36 mesures, un comité interministériel et un message clair : l'Agence française anticorruption (AFA) reprend la main.

Dans la foulée, la Cour des comptes a publié un rapport sévère pointant des « résultats contrastés » en matière de lutte contre la corruption, malgré le cadre juridique solide de la loi Sapin II. Le secteur public est en retard, les moyens d'enquête restent insuffisants et les signalements reçus par l'AFA ont presque doublé en 2024 (+ 83 %). La pression monte, clairement.

Les directions achats et compliance doivent capter deux signaux majeurs sur cette actualité :

• Un signal quantitatif: les contrôles devraient s'intensifier. Longtemps en sommeil, la commission des sanctions de l'AFA a été reconstituée début 2025 et peut désormais être saisie ;
• Un signal qualitatif: l'AFA a soumis à consultation publique de nouvelles fiches pratiques sur l'évaluation des tiers, attendues début 2026. Ces fiches détaillent ce que l'agence attend des entreprises en matière de due diligence fournisseurs.

Rappelons que l’évaluation des tiers a toujours été le maillon faible du dispositif anticorruption Sapin II, à la fois de l’avis de l’AFA et du Baromètre Anticorruption signé Grant Thornton pour la France, qui explique : « L’évaluation des tiers est le pilier de la loi Sapin II le moins mature et le plus difficile à mettre en œuvre pour les entreprises ». Nous en parlons ici en détail.

Forcément, les entreprises ont encore plus de mal à dépasser le fournisseur de rang 1 et à documenter leurs diligences sur les intermédiaires, agents commerciaux et bénéficiaires de mécénat. L’exposition au risque de corruption reste donc problématique.

Tendance 5 - Défaillances fournisseurs : 2025 bat tous les records

L'année 2025 s'est achevée sur 68 057 procédures collectives, selon le Conseil national des administrateurs judiciaires et mandataires judiciaires (CNAJMJ). C'est un record historique, en hausse de 3,5 % par rapport à 2024. La moyenne de la décennie 2010 - 2020 était de 53 000.

Parmi ces procédures, 44 908 sont des liquidations judiciaires directes : l'entreprise cesse son activité sans possibilité de redressement. À fin octobre 2025, plus de 150 000 emplois étaient directement menacés par ces procédures.

Les secteurs les plus exposés restent la construction, le commerce automobile, l'hébergement-restauration et les services aux entreprises. Le transport et l'entreposage affichent la plus forte progression sur un an.

Selon Allianz Trade, les entreprises défaillantes en 2025 cumulent 6,6 milliards d'euros de passif fournisseurs. Ce montant représente les factures impayées aux fournisseurs des entreprises en procédure. Ces créances sont évidemment menacées.

Quel impact sur les directions achats ?

Le risque de rupture d'approvisionnement est décuplé. Quand un fournisseur entre en procédure collective, les livraisons s'arrêtent ou deviennent erratiques. Le temps de trouver une alternative et de la qualifier, la production peut être bloquée.

Les TPE représentent toujours 94 % des procédures**, mais la hausse est plus marquée chez les fournisseurs de taille intermédiaire**. En 2025, 236 PME - ETI de 100 salariés et plus sont entrées en procédure, soit +18,6 % sur un an. Ces entreprises sont souvent des fournisseurs de rang 1 ou des sous-traitants spécialisés.

Leur défaillance est plus difficile à absorber car les volumes sont plus importants, les compétences plus spécifiques et les délais de substitution plus longs.

Prévisions 2026 : ralentissement du rythme de défaillance, mais…

La Banque de France observe une décélération du rythme de hausse depuis l'été 2025 (+4,4 % en novembre contre +10 % en début d'année). Mais le niveau reste historiquement élevé, bien au-dessus de la moyenne pré-Covid.

Certains facteurs de fragilité persistent (tensions sur les délais de paiement), alors que d’autres semblent s’exacerber, notamment au niveau de l’instabilité politique en France et des tensions géopolitiques.

💡 Quels signaux surveiller chez vos fournisseurs ?

Trois indicateurs doivent alerter : l'allongement des délais de livraison sans explication opérationnelle, les demandes inhabituelles d'acomptes ou de paiement anticipé et la dégradation de la cotation Banque de France.

Tendance 6 – Travail dissimulé : les donneurs d'ordre dans le viseur de l’URSSAF

L'URSSAF a redressé 1,6 milliard d'euros au titre de la lutte contre le travail dissimulé en 2024. C'est un record historique, en hausse de 34 % par rapport à 2023. Le montant a quintuplé depuis 2013 (321 millions d'euros), et la tendance devrait s’accélérer, car l’État s’est fixé un objectif de 5,5 milliards d’euros cumulés sur la période 2023 - 2027.

Cette progression résulte avant tout d'une intensification des contrôles : 6 756 actions ciblées en 2024 (+11 % sur un an), avec un taux de redressement supérieur à 80 % sur ces contrôles. Le BTP concentre à lui seul 1 milliard d'euros de redressements notifiés, alors que les services aux entreprises affichent la plus forte progression (+550 % sur deux ans).

En parallèle, le recouvrement effectif reste faible : 121 millions d'euros récupérés en 2024, soit environ 10 % des montants notifiés. L'URSSAF indique que les fraudeurs organisent souvent leur insolvabilité avant la mise en recouvrement.

Ce qui change pour les donneurs d'ordre

L'obligation de vigilance (articles L.8222-1 à L.8222-6 du Code du travail) impose à tout donneur d'ordre de vérifier la conformité sociale de ses prestataires pour toute opération supérieure à 5 000 € HT.

À la signature du contrat, puis tous les six mois, trois documents doivent être collectés :

1. L'attestation de vigilance URSSAF;
2. Un justificatif d'immatriculation (Kbis ou équivalent) ;
3. La liste des salariés étrangers soumis à autorisation de travail (LNTE).

En cas de manquement, le donneur d'ordre peut être tenu solidairement responsable du paiement des cotisations, impôts et rémunérations dus par son prestataire. L'URSSAF peut également annuler les exonérations de cotisations dont le donneur d'ordre bénéficie pour ses propres salariés. Les majorations atteignent jusqu’à 40 % du montant redressé.

💡 Cour d'appel de Paris, 6 décembre 2024

Un donneur d'ordre a été condamné à un redressement de 168 989 € (dont 48 242 € de majorations) pour manquement grave à l'obligation de vigilance. L'entreprise avait reçu une attestation de vigilance de son sous-traitant mais ne l'avait pas vérifiée. L'attestation s'est par la suite avérée « non authentique ». Le tribunal a considéré que la simple détention du document ne suffisait pas : le donneur d'ordre doit en vérifier l'authenticité et la cohérence avec la prestation réalisée.

Le faux travail indépendant sous surveillance renforcée

En 2024, l'URSSAF a mené 2 635 contrôles sur les travailleurs indépendants, soit un tiers des actions dites « ciblées ». La dissimulation prend souvent la forme d'un statut d'indépendant fictif : un prestataire présenté comme auto-entrepreneur travaille en réalité dans des conditions de subordination (horaires imposés, instructions permanentes, client unique, sanctions…).

La Cour de cassation a rappelé en septembre 2025 qu'un employeur ne peut invoquer une « maladresse contractuelle » pour échapper à une condamnation : le seul fait de recourir sciemment à un statut d'indépendant alors que la relation est de nature salariée suffit à caractériser le travail dissimulé.

Les directions achats qui recourent à des freelances ou à des prestataires en régie doivent documenter l'absence de tout lien de subordination : autonomie dans l'organisation du travail, pluralité de clients, facturation à la mission et non au temps passé, absence de sanctions disciplinaires « internes », etc.

💡 Ce qu’il faut retenir

En 2026, plusieurs cadres qui touchent directement la gestion des tiers avancent simultanément dans leur calendrier : DORA est applicable depuis janvier 2025, NIS2 entre dans sa phase de transposition en France, la vérification du bénéficiaire des virements (VoP) s’applique depuis octobre 2025, la CSRD et la CS3D resserrent les exigences sur la chaîne de valeur et l’AFA renforce sa doctrine sur l’évaluation des tiers. Dans le même temps, l’intensité des contrôles et l’ampleur des montants en jeu augmentent, ce qui exacerbe certains risques fournisseurs, notamment sur le travail dissimulé.

Fiabilisez la conformité fournisseurs en 2026 : collecte probatoire et piste d’audit avec Provigis

Créé en 2009 sous l’impulsion du Club des Acheteurs, Provigis agit comme un Tiers de Collecte Probatoire (TCP) entre les donneurs d’ordre et leurs tiers fournisseurs, prestataires et sous-traitants.

Notre plateforme digitale vous permet de collecter les documents de conformité, contrôler leur validité, historiser les échanges et disposer d’une piste d’audit horodatée et opposable, utilisable en cas de contrôle, d’audit ou de contentieux.

Concrètement, Provigis vous permet de :

• collecter et centraliser les pièces de conformité fournisseurs (obligation de vigilance, assurances, RSE, anticorruption, certifications SI, etc.) ;
• vérifier l’authenticité de documents via des sources officielles interfacées et des contrôles humains si nécessaire ;
• suivre les échéances, déclencher des relances et tracer chaque dépôt, modification et validation ;
• administrer des questionnaires paramétrables (Sapin II, RSE, cybersécurité…) avec scoring et workflows d’homologation ;
• surveiller des signaux de risque comme les défaillances et la santé financière, et intégrer le statut de conformité dans vos outils (ERP, SRM…) pour bloquer ou conditionner les commandes.

Vous souhaitez passer d’un pilotage « au cas par cas » à un pilotage industrialisé de la conformité fournisseurs, sans relances manuelles et sans zones grises sur la traçabilité ?

Réservez votre démonstration personnalisée de Provigis. Nous reprenons votre périmètre (risques, populations de tiers, volumes), vos exigences (vigilance sociale, RSE, Sapin II, cyber, assurance, conformité documentaire) et vos outils (ERP, SRM), puis nous vous montrons, sur vos cas d’usage, comment la plateforme collecte, vérifie, historise et restitue une piste d’audit opposable.