Une agence de création moderne est construite comme rien de ce que les technologies de l’information ont été conçues pour sécuriser. Le personnel permanent côtoie un pool tournant d’indépendants qui arrivent le lundi, travaillent sur un brief Heineken et disparaissent le vendredi. Les actifs de pré-lancement sont stockés dans des bibliothèques Figma partagées avec des photographes à Amsterdam, des rédacteurs à Lisbonne et des motion designers à Berlin. Les entreprises clientes envoient désormais des questionnaires de sécurité avant de signer un contrat. Il ne s’agit plus d’un bureau de création avec quelques ordinateurs portables. Il s’agit d’un réseau fédéré d’identités, d’appareils et d’outils SaaS où chaque décision d’intégration a une conséquence sur la sécurité.
De quelle cybersécurité les agences de marketing auront-elles besoin en 2026 ?
Les agences de marketing et de création ont besoin de contrôles d’accès basés sur l’identité qui correspondent à la vitesse d’intégration des travailleurs indépendants, d’une protection web pour plus de 100 outils SaaS, de contrôles de périphériques sans agent pour les postes de travail Mac non gérés, et d’une console unique qui produit des preuves d’audit pour les clients et les examens NIS2. Des plates-formes comme Jimber permettent d’atteindre ces objectifs grâce à une architecture SASE unifiée : Zero Trust Network Access pour l’accès client par projet, Secure Web Gateway pour la visibilité SaaS, et NIAC pour les postes de travail créatifs gérés par l’agence. L’objectif est de permettre une intégration rapide, et non de bloquer le modèle de travailleur indépendant dont dépend l’entreprise.
Les données traitées par les agences et leur importance
La valeur économique des données d’une agence est concentrée dans la période précédant la publication. Après le lancement de la campagne, un film de héros n’est qu’un média. Deux mois avant le lancement, ce même fichier est une information que les concurrents, les journalistes et les vendeurs à découvert paieront.
Une agence créative typique de 80 personnes détient à tout moment au moins six catégories d’informations de grande valeur. Les briefings des clients sous NDA contiennent des feuilles de route de produits non annoncés, des stratégies de repositionnement et des scénarios de fusion. Les actifs créatifs de pré-lancement comprennent les films de héros, les conceptions d’emballage et les lignes de force des campagnes qui font fluctuer le cours des actions lorsqu’elles sont divulguées. Les données de campagne de première main couvrent les profils des consommateurs, les listes de reciblage et les exportations CRM protégées par le GDPR. Les informations financières sur les clients figurent dans les documents relatifs à l’étendue des travaux, aux conditions de rémunération et aux allocations budgétaires. Les identifiants des médias sociaux donnent un accès direct aux comptes des marques avec des millions de followers. Les actifs liés à l’identité de la marque, y compris les logos et les systèmes visuels inédits, définissent le positionnement concurrentiel pendant des années.
Chaque catégorie a un profil d’attaquant différent. Une stratégie de marketing avant l’introduction en bourse intéresse les vendeurs à découvert. Les journalistes des tabloïds s’intéressent à l’approbation d’une célébrité. Une accréditation sur les médias sociaux permet à un attaquant de contrôler la voix d’une marque qui a mis une décennie à se construire. L’agence ne se contente pas de stocker des données sensibles. Elle stocke des données sensibles avec de multiples voies de monétisation indépendantes.
Comment se produisent les cyberattaques des agences
Les attaquants suivent le chemin de la moindre résistance, et ce chemin passe de plus en plus par l’agence plutôt que par l’entreprise cliente. Une entreprise du Fortune 500 dotée d’un SOC renforcé n’est pas la cible. C’est l’agence de création qui dispose d’un accès privilégié aux plates-formes de marketing de cette entreprise qui est visée. C’est l’effet de la chaîne d’approvisionnement que l’article 21.2.d de la NIS2 est censé traiter. L’analyse de Jimber sur les risques liés à la chaîne d’approvisionnement dans le domaine de la logistique couvre des dynamiques similaires dans les secteurs adjacents.
Quatre types d’attaques dominent les données récentes. Le phishing reste le principal vecteur d’entrée, avec des messages déguisés en briefings de clients, en factures de freelances ou en notifications de plates-formes. L’incident du ransomware d’avril 2025 chez Marks & Spencer a commencé par l’ingénierie sociale d’un contractant externe qui gérait le compte du détaillant, et le coût s’est élevé à des centaines de millions. La compromission de la chaîne d’approvisionnement par le biais de plateformes clients partagées est le deuxième schéma : un attaquant qui atteint le locataire Sprout Social ou HubSpot de l’agence hérite de l’accès à tous les comptes clients qui y sont gérés. Le ransomware sur les serveurs de fichiers créatifs est le troisième modèle, qui touche particulièrement les agences parce que les fichiers sources en haute résolution sont irremplaçables. Le quatrième modèle est l’exploitation d’intégrations tierces, où les attaquants utilisent des plugins compromis ou des outils de stockage d’actifs que l’agence a adoptés sans examen par les services informatiques.
La vague 2025 d’exploitation de WinRAR montre à quel point le point d’entrée peut être banal. Les agences échangent des dossiers d’actifs compressés des dizaines de fois par jour avec des freelances et des fournisseurs externes. Une seule archive militarisée dans ce flux atteint tous les points d’accès qui l’ouvrent.
Le défi de la sécurité de l’économie des freelances
Le modèle de l’indépendant n’est pas une faiblesse de sécurité à atténuer. Il s’agit du modèle de fonctionnement de l’agence moderne. Environ deux tiers de la production créative provient aujourd’hui de freelances, et 68 % des agences embauchent régulièrement des freelances, contre 48 % en 2020. Toute approche de sécurité qui traite cette main-d’œuvre comme un problème à contrôler sera rejetée par l’entreprise ou contournée en moins d’une semaine. Pour un modèle d’accès hybride et indépendant plus large, consultez le cas d’utilisation Jimber sur la sécurité du travail à distance.
Le véritable défi est opérationnel et non philosophique. Trois contraintes rendent la sécurité des free-lances réellement difficile.
La première est le BYOD par défaut. Les indépendants travaillent sur leur propre matériel, presque toujours des Mac, et ils n’installeront pas un agent MDM d’entreprise sur un appareil personnel qu’ils utilisent également pour d’autres clients. La gestion traditionnelle des terminaux est structurellement impossible. Le deuxième problème est l’inadéquation du cycle de vie de l’accès. Les missions des freelances durent des semaines, pas des années, mais la plupart des systèmes d’identité ont été conçus en fonction de la durée de vie des employés, mesurée en années. Le provisionnement manuel des comptes dans Figma, le DAM des actifs de la marque, l’outil de gestion de projet, la plateforme d’évaluation du client, l’outil de médias sociaux et le système de suivi du temps, puis la révocation de chacun d’entre eux à la fin du projet, est le type de travail qui est ignoré. Il en résulte une prolifération d’informations d’identification : d’anciens travailleurs indépendants conservent leur accès pendant des mois. Le troisième facteur est la montée de l’IA fantôme. Soixante et un pour cent des freelances de la génération Z utilisent activement des outils d’IA générative pour accélérer leur travail, collant souvent les briefings des clients dans des modèles que l’agence n’a jamais approuvés.
L’objectif est de rendre l’intégration sécurisée plus rapide que l’intégration non sécurisée. Si un responsable informatique peut accorder à un nouveau travailleur indépendant un accès limité à un seul fichier Figma et à un seul canal Slack en cinq minutes, avec révocation automatique à la date de fin du projet, le modèle de sécurité et le modèle commercial s’alignent. S’il faut trente minutes et trois approbations, le modèle de sécurité est perdant à tous les coups. C’est ce que l’accès basé sur l’identité par le biais de ZTNA apporte réellement, et c’est pourquoi il est plus important dans les agences que presque n’importe où ailleurs. Pour en savoir plus sur l’architecture de ce système, consultez le guide Jimber sur l’architecture SASE.
La pression de la conformité sur les agences en 2026
Les agences ne sont plus en dehors du périmètre de conformité. Trois forces ont changé la donne, toutes visibles aujourd’hui dans les appels d’offres et les avenants aux contrats. Les sociétés de services professionnels sont confrontées à des pressions similaires, comme le montre l’analyse de Jimber sur les SASE pour les cabinets d’avocats et d’experts-comptables, bien que le modèle opérationnel et la panoplie d’outils diffèrent de ceux des agences de création.
Le NIS2 atteint les agences par deux voies. L’application directe au titre de l’annexe II concerne les gestionnaires de services aux entreprises qui atteignent les seuils de taille : 50 employés ou plus, ou un chiffre d’affaires annuel supérieur à dix millions d’euros. De nombreuses agences de taille moyenne satisfont à ce test sur la base du seul premier critère. L’application indirecte est plus courante : les agences qui servent des clients dans des secteurs réglementés par le NIS2 sont de plus en plus souvent classées comme fournisseurs essentiels au titre de l’article 21.2.d, qui exige des clients réglementés qu’ils évaluent les pratiques de leur chaîne d’approvisionnement en matière de cybersécurité. L’échéance belge du 18 avril 2026 pour la vérification des cyberfondamentaux est désormais dépassée, et l’application néerlandaise au titre de la Cyberbeveiligingswet est en vigueur.
Le GDPR continue de s’appliquer à toutes les données marketing traitées par les agences : exportations CRM, listes de reciblage, analyse du parcours client. Les limites du consentement se resserrent et les autorités de contrôle sont devenues plus actives sur la question de savoir où les données sont traitées et sous quelle juridiction.
La pression la plus opérationnelle vient des clients eux-mêmes. Les équipes chargées des achats dans les entreprises intègrent désormais des questionnaires de sécurité dans les documents d’appel d’offres. La certification ISO 27001 est souvent une condition préalable à l’appel d’offres. Les rapports SOC 2 de type II sont demandés pour toute agence traitant des données des consommateurs. Les audits annuels de la chaîne d’approvisionnement comprennent des examens directs des contrôles d’accès, du cryptage et de la réponse aux incidents. Une agence qui ne peut pas répondre à la question « qui a eu accès à notre brief, quand et à partir de quel appareil » perd le compte avant même que le travail créatif ne soit examiné. Pour le contexte belge en particulier, la liste de contrôle de conformité NIS2 de Jimber couvre ce que les auditeurs s’attendent à voir.
La réalité des outils SaaS et les lacunes en matière de sécurité
Une organisation moyenne utilise aujourd’hui une centaine d’applications SaaS distinctes. Les agences se situent à l’extrémité supérieure de cette fourchette, car chaque département a sa propre pile d’applications. La gestion des comptes utilise un ensemble d’outils, la création en utilise un autre, les médias sociaux en utilisent un troisième, et les freelances y ajoutent les leurs.
Une pile d’agences représentative illustre la surface. Adobe Creative Cloud et Figma ancrent la couche de conception, le partage de fichiers s’effectuant via ces deux plateformes et via Dropbox, WeTransfer et Box. La gestion de projet s’effectue sur Monday.com, Asana, ClickUp ou Notion. La gestion des médias sociaux utilise Sprout Social, Hootsuite ou Later. L’examen et l’approbation des clients se font sur Frame.io ou Ziflow. Le suivi du temps, la gestion des dépenses, les paiements des freelances et la signature des contrats se font chacun dans leur propre outil SaaS.
Trois lacunes en matière de sécurité sont récurrentes dans cette pile. Premièrement, la fragmentation de l’identité : la plupart des freelances sont invités à utiliser chaque outil individuellement en utilisant leur courrier électronique personnel, ce qui signifie que l’accès ne peut pas être révoqué de manière centralisée à la fin d’un projet. Deuxièmement, la sortie de fichiers : des actifs haute résolution, des séquences vidéo brutes et des mémoires de clients complets sont transférés chaque jour vers le stockage en nuage personnel, souvent pour des raisons légitimes liées au flux de travail. Troisièmement, l’IA fantôme : les outils d’IA générative se sont répandus plus rapidement que les processus de révision informatique, et un freelance qui colle un briefing sous embargo dans ChatGPT pour accélérer l’idéation est désormais le comportement par défaut, et non plus l’exception. Une couche de politique unifiée qui suit les utilisateurs à travers ces outils est la seule réponse réaliste.
Pourquoi les approches traditionnelles ne fonctionnent plus
La plupart des agences utilisent encore une pile de sécurité conçue pour un bureau de 2015. Les éléments fonctionnent de manière isolée, mais échouent lorsqu’ils sont combinés, une fois que le personnel devient hybride et indépendant.
Les anciens VPN ont été les premiers à se casser la figure. Un monteur vidéo senior qui tire 100 Go de séquences brutes à travers un concentrateur VPN au siège de l’agence produit des tickets d’assistance tous les jours. La latence, le débit et la stabilité se dégradent tous. Pire encore, le VPN place les utilisateurs distants sur un réseau plat où, une fois authentifiés, ils peuvent voir bien plus que ce que leur projet exige. Il s’agit d’une violation du principe du moindre privilège, et les auditeurs s’en rendent compte.
La gestion des informations d’identification par outil s’effondre à l’échelle du freelance. Certaines agences utilisent des identifiants partagés protégés par un gestionnaire de mots de passe, ce qui fonctionne jusqu’à ce que quelqu’un oublie de faire tourner l’identifiant après le départ d’un free-lance et que le mot de passe reste dans son coffre-fort personnel pendant l’année suivante.
La gestion des terminaux ne peut pas résoudre le problème du BYOD. Les agences qui tentent d’imposer la gestion des terminaux sur les appareils des freelances perdent l’accès au pool de freelances ou se font contourner avec des comptes personnels. Aucun de ces deux résultats n’est acceptable. La réponse honnête est que l’appareil n’est pas la frontière. C’est l’application qui l’est. Définir la frontière au niveau de l’application, c’est ce que permettent les plateformes SASE unifiées. L’analyse de Jimber sur la prolifération des outils et l’effet Frankenstack explique pourquoi la consolidation réduit le risque opérationnel pour les petites équipes informatiques.
Comment SASE résout le problème de la sécurité des agences
Une plateforme SASE s’adresse à la pile de l’agence à cinq niveaux distincts, chacun étant lié à un problème opérationnel spécifique.
ZTNA fournit un accès client par projet. Un rédacteur publicitaire freelance qui s’engage pour trois mois sur le compte du client X a accès à un projet Figma, à un canal Slack et à un dossier Google Drive. Il ne voit jamais le reste de l’environnement de l’agence. À la fin de la mission, l’accès expire automatiquement à la date de fin du contrat. C’est l’architecture qui sous-tend le modèle de sécurité zéro confiance de Jimber, construit sur le principe de l’accès réseau zéro confiance de la vérification de l’identité d’abord.
Secure Web Gateway et CASB donnent au responsable informatique une visibilité sur l’ensemble de la pile SaaS sans avoir à déployer des agents sur des appareils indépendants. La découverte d’applications dans le nuage fait apparaître les outils d’informatique et d’intelligence artificielle dont l’agence n’avait pas connaissance. Les règles de prévention des pertes de données peuvent empêcher que des actifs créatifs sous embargo soient téléchargés vers des destinations non autorisées. Les politiques d’utilisation acceptable suivent l’utilisateur à travers les réseaux plutôt que de vivre sur le wifi du bureau.
Le matériel NIAC comble les lacunes des équipements gérés par les agences. Dans de nombreuses agences, les laboratoires Mac partagés pour la finition et la post-production, le stockage en réseau avec les archives de séquences brutes, les imprimantes multifonctions et les systèmes audiovisuels des salles de réunion se trouvent tous sur le même réseau plat que les postes de travail. L’isolation en ligne place ces appareils derrière des contrôles d’identité qui n’autorisent que des flux de trafic explicitement définis. Le volet sur l’isolation du réseau décrit ce à quoi cela ressemble dans la pratique.
L’enregistrement centralisé produit la piste d’audit que les clients et les régulateurs exigent aujourd’hui. Lorsqu’un client de Fortune 500 demande des preuves sur qui a accédé à son dossier, quand et à partir de quel appareil, la réponse provient d’une console plutôt que de douze. C’est cette différence opérationnelle qui rend la conformité de la chaîne d’approvisionnement NIS2 pratique pour les agences disposant d’un responsable informatique et d’un partenaire de service externe.
L’intégration et la désinsertion rapides, en fonction de l’identité, assurent la cohésion de l’ensemble. L’ajout d’un freelance devient un flux de travail qui donne accès à tous les outils approuvés, avec une révocation automatique liée à la date de fin de l’engagement. Le retrait d’un freelance est tout aussi automatique. Le provisionnement manuel ne s’adapte jamais à l’échelle des freelances.
La résidence des données en Europe clôt la question juridictionnelle. Les agences qui servent des clients européens réglementés ne peuvent de plus en plus utiliser des plateformes de sécurité basées aux États-Unis, car le CLOUD Act crée un risque documenté pour la chaîne d’approvisionnement en vertu de l’article 21.2.d du NIS2. Une plateforme dont le traitement des données est limité à l’UE élimine cette conversation avant même qu’elle ne commence. Pour les agences qui travaillent avec un partenaire informatique externe, l’architecture multi-locataire est aussi importante que la technologie elle-même.
Un déploiement réaliste sur 30 jours pour une agence de 80 personnes
Le déploiement qui suit est un modèle de travail et non une promesse du fournisseur. Il suppose une agence de 80 personnes avec environ 40 freelances actifs, une pile SaaS typique et un partenaire de service externe effectuant la majeure partie du travail de mise en œuvre.
| Semaine | Focus | Activités |
|---|---|---|
| Semaine 1 | Découverte et identité | Inventaire des outils SaaS actuels et des comptes de freelance actifs. Connectez le fournisseur d’identité (Google Workspace ou Microsoft Entra ID). Associez le personnel permanent à des groupes basés sur les rôles. Définir le modèle d’engagement des freelances. |
| Semaine 2 | Pilote ZTNA | Remplacer le RPV pour une équipe de compte client (par exemple, l’équipe qui s’occupe de la plus grande entreprise cliente). Publier trois à cinq applications via ZTNA. Validez les performances des flux de fichiers haute résolution. |
| Semaine 3 | Visibilité du SaaS et DLP | Activez la découverte des applications en nuage. Faites remonter à la surface l’inventaire de l’informatique parallèle. Définissez des règles de prévention de la perte de données pour les documents NDA des clients et les actifs créatifs sous embargo. |
| Semaine 4 | Déploiement des freelances et NIAC | Embarquez de nouveaux pigistes grâce au flux de travail unifié. Déployer le matériel NIAC devant les postes de travail créatifs partagés et le NAS de post-production. Mettre hors service l’ancien VPN. Former les responsables de comptes au flux d’intégration des nouveaux indépendants. |
Deux observations pratiques s’appliquent à ce type de déploiement. Tout d’abord, le processus d’intégration des freelances est le résultat le plus important. S’il n’est pas plus rapide et plus facile que l’ancien processus, l’adoption échoue. Deuxièmement, la mise hors service du RPV dans les trente jours n’est pas facultative. Faire fonctionner les deux systèmes indéfiniment est un mode d’échec courant qui érode l’analyse de rentabilité et rend la politique d’accès confuse. Fixez la date de mise hors service dès le début du projet et respectez-la. Pour une vision plus détaillée du déploiement par étapes, consultez le calendrier de mise en œuvre de SASE de Jimber.
Questions fréquemment posées
Le NIS2 s’applique-t-il aux agences de marketing et de création ?
Le NIS2 atteint les agences par deux voies. La première est l’application directe : les agences qui emploient 50 personnes ou plus, ou dont le chiffre d’affaires annuel est supérieur à dix millions d’euros, relèvent de l’annexe II en tant que gestionnaires de services aux entreprises. La seconde est une application indirecte par le biais de l’article 21.2.d, qui exige des clients réglementés par le NIS2 (banques, prestataires de soins de santé, sociétés d’énergie, fabricants) qu’ils évaluent la sécurité de leur chaîne d’approvisionnement. En pratique, la plupart des agences de taille moyenne sont désormais soumises aux attentes du NIS2 par l’intermédiaire de leurs plus gros clients, indépendamment de leur propre seuil de taille.
Comment les agences peuvent-elles sécuriser l’accès des free-lances sans ordinateurs portables gérés ?
Les approches sans agent sont la seule réponse réaliste. L’accès basé sur l’identité par l’intermédiaire de ZTNA contrôle ce que le freelance peut atteindre au niveau de l’application plutôt qu’au niveau de l’appareil. L’accès par navigateur à des ressources limitées supprime la nécessité d’installer des logiciels sur les appareils personnels. Les flux de travail sensibles qui nécessitent des fichiers locaux peuvent être liés à des postes de travail gérés appartenant à l’agence et disponibles sur une base partagée. Le principe consiste à définir la limite au niveau de l’application, et non de l’appareil.
Quel audit de cybersécurité les agences clientes effectuent-elles généralement ?
Les entreprises clientes intègrent des questionnaires standardisés dans leurs processus d’achat. Les plus courants sont basés sur les familles de contrôle de la norme ISO 27001 et sur les critères des services de confiance de type II de SOC 2. Les questions spécifiques portent sur le contrôle d’accès, le cryptage en transit et au repos, les délais d’intervention en cas d’incident, la formation des employés à la sécurité, la gestion des risques par des tiers et la résidence des données. Les agences qui servent des clients réglementés par le NIS2 doivent répondre à des questions supplémentaires sur les risques liés à la chaîne d’approvisionnement, l’exposition juridictionnelle et la capacité de notification des incidents. Le questionnaire arrive avant l’attribution de l’offre, et non après.
Comment le GDPR s’applique-t-il aux données marketing de première partie que nous traitons pour nos clients ?
L’agence est généralement un sous-traitant de données et le client est le responsable du traitement des données. Les obligations de l’agence comprennent le traitement des données à caractère personnel uniquement sur instructions documentées du client, la garantie de la confidentialité par des contrôles d’accès appropriés, la mise en œuvre de mesures de sécurité techniques et organisationnelles proportionnées au risque, et l’assistance au client pour les demandes des personnes concernées et les notifications de violation. Une plateforme d’accès unifiée avec enregistrement central facilite considérablement la preuve de l’obligation de mettre en œuvre des mesures techniques et organisationnelles.
Pouvons-nous continuer à utiliser Adobe Creative Cloud, Figma et nos autres outils SaaS ?
Oui. SASE ne remplace pas les outils SaaS. Il ajoute une couche d’accès et de règles unifiées devant eux. Adobe Creative Cloud, Figma, Sprout Social et le reste de la pile de l’agence continuent à fonctionner exactement comme avant. Ce qui change, c’est le flux d’identité (authentification unique via le fournisseur d’identité de l’agence), l’inspection du trafic (sécurité web et DLP cohérente entre les outils) et le cycle de vie de l’accès (provisionnement et révocation automatisés liés aux engagements plutôt qu’aux actions individuelles de l’administrateur de l’outil).
Comment cela se traduit-il pour notre partenaire de service ?
Des partenaires de service externes exploitent la plateforme au nom de l’agence par le biais d’une console multi-locataire, gérant plusieurs agences clientes à partir d’une interface unique, les données et les politiques de chaque agence étant isolées. C’est le modèle que la plupart des agences de taille moyenne adoptent parce qu’elles ne disposent pas de l’expertise informatique interne nécessaire pour exploiter seules la plateforme. L’architecture « partner-first » est intégrée à la plateforme plutôt qu’ajoutée après coup.
La pression exercée sur la sécurité des agences est passée de « nous devrions » à « nous devons ». Les entreprises clientes vérifient la chaîne d’approvisionnement. Les régulateurs activent NIS2 dans tout le Benelux. Les flux de travail des freelances ont dépassé le modèle de périmètre et de VPN que la plupart des agences utilisent encore. Une plateforme SASE unifiée est le moyen le plus réaliste d’aligner le modèle opérationnel de l’agence sur le modèle de sécurité que l’entreprise exige désormais. L’étape suivante consiste à organiser une séance de travail avec un partenaire de service pour comparer la pile SaaS actuelle à un plan de déploiement par étapes, le flux de travail d’intégration des freelances étant le premier produit livrable. Réservez une démonstration pour voir comment l’architecture s’adapte à votre stack actuel.
