Ah, la Supply Chain IT (la chaîne d’approvisionnement IT)… ce doux euphémisme pour désigner l’ensemble des gens, outils, dépendances, bibliothèques, API et prestataires que tu n’as jamais vraiment vérifiés, mais qui pilotent tranquillement ta sécurité, ton uptime et ta conformité RGPD. Un vrai bonheur.
Et pourtant, selon les dernières données publiées par Cyble, la réalité de 2025 pique un peu :
- 79 attaques sur la supply chain en six mois seulement.
- 63 % visent directement le secteur IT & services numériques (prestataires, éditeurs, ESN, intégrateurs…).
- 27 incidents majeurs en Europe, dont 10 en France (cocorico 🐓).
- Et un rythme inquiétant de 25 attaques/mois, soit le double de l’an dernier.
Un genre de croisière qui vire au naufrage, sauf que le Titanic, c’est toi, et l’iceberg, c’est ton fournisseur SSO moldave.
🎭 Définition rapide : c’est quoi une attaque supply chain ?
C’est simple : tu ne touches même pas à ton infrastructure, tu corromps celle du fournisseur en amont, ou de l’éditeur d’un module, ou d’un prestataire tierce-partie — et tu laisses les dominos tomber. Résultat : l’attaque est silencieuse, légitime, invisible. Et souvent injustement attribuée à l’IT interne. Merci qui ? Merci les dépendances non auditées, les scripts pipés, les clés d’API stockées en clair et les intégrateurs “Agile”.
🚨 Les faits du jour : une escalade chronique
Les chiffres de Cyble ne laissent aucun doute : on ne parle plus d’une tendance, mais d’un modèle industriel. Et comme d’habitude, ce sont les prestataires les plus connectés, les plus « compliance-ready » et les moins monitorés qui servent d’entrée VIP.
- Les attaques les plus courantes ?
- Malwares injectés dans les mises à jour de logiciels tiers.
- Scripts JavaScript modifiés chez des fournisseurs de tracking (analytics, pub, pixels, etc.).
- Détournement d’accès via VPN ou compte technicien mal sécurisé (voir notre article MFA : l’illusion d’un rempart).
- Compromission d’images Docker ou de packages open-source.
- Les secteurs les plus touchés ?
- Intégrateurs IT.
- SaaS utilisés dans l’ombre (coucou le Shadow SaaS).
- Chaînes de production industrielles (OT + IT = 💣).
- Fournisseurs de cybersécurité eux-mêmes. Oui, c’est beau.
🧱 Pourquoi ça explose ?
Parce que la majorité des entreprises ne vérifie jamais ce qu’elles délèguent. Pire : certaines se vantent même de ne pas « interférer » avec leurs partenaires IT, au nom de la sacro-sainte “confiance contractuelle”. L’équivalent cyber de laisser les clés de chez toi au premier électricien venu en espérant qu’il ne vide pas le frigo.
Et surtout, la sécurité de la chaîne d’approvisionnement est toujours vue comme “externe”. Du coup :
- Pas de SOC qui surveille les flux inter-applicatifs.
- Pas d’outillage SIEM pour tracer les connexions sortantes.
- Pas d’analyse de dépendances dans les dépôts Git.
- Et bien sûr, aucun scan de sécurité sur les prestataires externes.
Mais par contre, le RSSI a bien une checklist ISO 27001. Si, si.
🕵️♂️ Les attaques récentes (ça pique) :
- Une plateforme de gestion RH piratée = toutes les données du personnel des clients siphonnées. (Vous avez dit cohérence avec le RGPD ?)
- Un éditeur de modules WordPress compromis, avec propagation sur des milliers de sites.
- Une société de télémaintenance qui sert de passerelle pour infiltrer des hôpitaux.
- Et bien sûr, l’énième reprise du scénario SolarWinds à la sauce DevSecFail.
🧠 Comment on évite l’incendie ?
Voici quelques remèdes pour éviter que ton prochain audit se transforme en bûcher :
- Cartographie de ta chaîne d’approvisionnement numérique. Qui accède à quoi ? Avec quelles clés ? Et depuis où ?
- Surveillance continue (SOC ou Zabbix, on ne juge pas) des flux inter-entreprises.
- Contrôle strict des accès : pas d’accès VPN permanent, pas de Shadow Admin.
- Revues régulières de code et dépendances open-source (coucou la CVE-2025-33073).
- Tests de sécurité tiers lors des phases projet, pas après le Go-Live.
- Contrats incluant des clauses de sécurité contraignantes : MFA, logs, segmentation réseau, etc.
Spoiler : 80 % de ces mesures sont déjà dans la documentation NIS2 ou dans ton RSSI préféré. Suffit juste de les lire. Et de les appliquer.
📢 Morale de l’histoire
La cybersécurité en 2025, c’est plus que jamais une question de chaîne. Et si tu ne connais pas les maillons de ta chaîne, tu fais partie du maillon faible.
Alors oui, c’est cool de faire des dashboards avec des KPI cyber. Mais peut-être qu’un bon vieux audit de ce que tes prestataires touchent dans ton SI ferait un peu moins joli… mais un peu plus utile.
Voir notre article sur les obligations des prestataires :
Prestataires IT : Vos Obligations Cyber en 2025 – Le Guide Sans Bullshit
Supply Chain & Cybersécurité : la faille invisible qui fait tomber les géants
