par les cybercriminels.
En effet, les attaquants ont désormais tendance à exploiter les maillons les moins bien protégés de la chaîne d’approvisionnement afin de pénétrer au sein des
systèmes d’entreprises.
À titre d’exemple, en novembre 2024, le fournisseur de logiciel américain Blue Yonder a notamment été victime d’une attaque par ransomware qui a eu un impact sur l’activité de 3 000 entreprises réparties dans 76 pays. Par conséquent, il est essentiel de se demander comment protéger l’ensemble de la chaîne d’approvisionnement contre des cybermenaces de plus en plus nombreuses et sophistiquées.
Open source et IA multiplient les risques
En raison de l’interconnexion des différents systèmes des entreprises, des fournisseurs et des partenaires, les attaquants ont de plus en plus tendance à cibler ces derniers pour ensuite propager leurs attaques de manière latérale afin de compromettre les systèmes et les données de l’entreprise elle-même. Les PME et sous-traitants sont particulièrement ciblés en raison de leurs ressources de cybersécurité limitées.Pour beaucoup, les composants logiciels open-source représentent une surface d'attaque, car l’accessibilité de ce code au public permet aux attaquants de l'étudier à la recherche de failles et d'exploiter potentiellement de nombreuses applications logicielles en même temps en trouvant des bugs critiques. En 2024, une attaque particulièrement notable de la chaîne d’approvisionnement open source a exploité la porte dérobée XZ Utils, touchant ainsi de multiples distributions Linux populaires. Au contraire, pour les logiciels bien gérés, c'est un avantage. Les bibliothèques open-source populaires sont continuellement examinées et améliorées par des centaines de contributeurs, ce qui permet d'accélérer le développement des logiciels.
De plus, avec l’essor de l’ingénierie sociale, les cybercriminels ciblent les collaborateurs dotés d’accès stratégiques ou d’un niveau de privilège élevé au sein des infrastructures informatiques. Cela leur permet d’utiliser des méthodes de manipulation humaine pour contourner les moyens de défense techniques. Le développement extrêmement rapide de l’IA leur a notamment permis de raffiner leurs techniques en mettant au point des campagnes de phishing ultra-ciblées, des deepfakes ou des attaques crédibles sur mobile. Enfin, il est important de noter que le développement du télétravail et de l’exploitation d’appareils personnels – des téléphones mobiles, par exemple – à des fins professionnelles ont contribué à l’extension de la surface d’attaque exploitable par les cyberattaquants.
Des stratégies de défense misant sur le Zero Trust et le MFA
Afin de se protéger contre ces risques, les entreprises ont tout intérêt à mettre en place des stratégies de protection complètes, en se dotant d’approches, d’outils et de partenaires adaptés pour lutter contre d’éventuelles attaques. L’approche Zéro Trust est l’un des fondements d’une stratégie de cybersécurité robuste. Elle s’appuie sur le principe suivant : « ne pas faire confiance et toujours tout vérifier ».Il s’agit notamment d’introduire des méthodes d’authentification fortes (MFA), doublées de contrôles stricts et d’une gouvernance des accès segmentés. En effet, il est essentiel de bien s’assurer que les bonnes personnes sont dotées des niveaux de privilèges adaptés et de régulièrement contrôler – et modifier – les accès, en particulier des fournisseurs ou partenaires externes.
La réglementation tente d’endiguer les attaques sur la chaîne d’approvisionnement
Il est tout aussi important de s’assurer que l’ensemble des membres de l’écosystème disposent de protections adaptées, tant pour des raisons de cybersécurité que de conformité réglementaire. À titre d’exemple, depuis la mise en application du règlement DORA en janvier 2025, les prestataires de services financiers sont tenus de s’assurer que l’ensemble de leurs fournisseurs et partenaires se conforment aux normes de sécurité définies par la réglementation, au risque de s’exposer à de lourdes amendes, voire à des poursuites judiciaires. C’est pourquoi il est essentiel de mener des audits réguliers de la posture de sécurité des partenaires et de s’assurer que ceux-ci sont sensibilisés et correctement formés à la lutte contre les cybermenaces.Les acteurs des cybermenaces se tournent de plus en plus vers la chaîne d’approvisionnement pour pénétrer au sein de systèmes sécurisés. En exploitant cet élargissement de la surface d’attaque à des organisations fournisseurs et partenaires de plus petites tailles moins bien équipées et formées à lutter contre la cybercriminalité. Afin de préserver la continuité de leur activité et l’intégrité de leur infrastructure informatique de plus en plus complexe et interconnectée, les entreprises doivent s’assurer de développer et de mettre en œuvre des stratégies et des bonnes pratiques en collaborant avec les tiers, mais également avec des experts de la cybersécurité capables de leur apporter à la fois des solutions adaptées, des conseils et un accompagnement pour créer les cadres techniques qui seront en mesure de protéger l’ensemble de leur écosystème, tout en garantissant la conformité réglementaire.
Par Bruno Durand, Vice-Président des ventes Europe du Sud chez Sophos
