Votre entreprise peut avoir la meilleure cybersécurité du monde, si l’un de vos fournisseurs est compromis, vous êtes potentiellement compromis aussi. Les attaques par la chaîne d’approvisionnement (supply chain attacks) explosent parce qu’elles permettent aux cybercriminels de toucher des centaines d’entreprises en compromettant un seul maillon de la chaîne. L’affaire SolarWinds, les attaques via MOVEit et les compromissions de prestataires d’infogérance ont démontré l’ampleur de cette menace. Pour les PME du Grand Ouest, la gestion des risques fournisseurs est devenue un impératif de cybersécurité.

Comment fonctionnent les attaques supply chain

Les attaques supply chain prennent plusieurs formes. La compromission de logiciels consiste à injecter du code malveillant dans une mise à jour logicielle légitime distribuée par un éditeur. Tous les clients qui installent la mise à jour sont infectés simultanément. La compromission de prestataires de services IT (infogérance, maintenance, hébergement) donne aux attaquants un accès direct aux systèmes de tous les clients du prestataire via les outils d’administration à distance. La compromission de bibliothèques et composants open source insère du code malveillant dans des paquets logiciels largement utilisés. La compromission de matériel (hardware supply chain) implante des composants modifiés dans les équipements avant leur livraison. Enfin, la compromission des fournisseurs de cloud et de SaaS expose les données de tous leurs clients hébergés.

Pourquoi les PME sont particulièrement vulnérables

Les PME sont doublement exposées aux attaques supply chain. D’une part, elles dépendent de fournisseurs de services IT qui gèrent leur infrastructure avec des accès privilégiés, sans toujours vérifier le niveau de sécurité de ces prestataires. D’autre part, les PME sont elles-mêmes des maillons de la chaîne d’approvisionnement de grandes entreprises. Un sous-traitant industriel, un cabinet comptable ou un prestataire de services compromis peut servir de vecteur d’attaque contre ses clients grands comptes. Les grands donneurs d’ordres imposent d’ailleurs de plus en plus des exigences de cybersécurité à leurs fournisseurs et sous-traitants, faisant de la maturité cyber un critère de sélection commerciale.

Évaluer et gérer le risque fournisseurs

La gestion du risque supply chain commence par l’inventaire de tous les fournisseurs qui accèdent à votre système d’information ou traitent vos données. Pour chaque fournisseur critique, une évaluation du niveau de sécurité doit être réalisée : certifications (ISO 27001, HDS, SOC 2), politiques de sécurité, gestion des vulnérabilités, capacité de réponse aux incidents et couverture d’assurance cyber. Les contrats doivent inclure des clauses de sécurité spécifiques : droit d’audit, obligation de notification des incidents, engagement sur les mesures de protection minimales et clauses de réversibilité. La revue des accès accordés aux fournisseurs doit être régulière : chaque prestataire ne doit avoir que les accès strictement nécessaires à sa mission, limités dans le temps et tracés.

Les mesures techniques de protection

Sur le plan technique, la segmentation réseau isole les accès des fournisseurs du reste de l’infrastructure. Les bastions de sécurité (PAM — Privileged Access Management) enregistrent et contrôlent toutes les sessions d’administration des prestataires. La surveillance des flux réseau entre votre infrastructure et celles de vos fournisseurs permet de détecter les communications anormales. La vérification de l’intégrité des mises à jour logicielles avant leur déploiement et la mise en place d’un environnement de test limitent le risque de propagation d’une compromission logicielle. La directive NIS2 impose explicitement la gestion des risques liés à la chaîne d’approvisionnement, avec des obligations de diligence raisonnable envers les fournisseurs directs.

Ealison sécurise votre chaîne d’approvisionnement numérique

Ealison aide les entreprises du Grand Ouest à évaluer et maîtriser leurs risques supply chain. Nous auditons les accès de vos fournisseurs, évaluons leur niveau de sécurité, déployons les solutions de segmentation et de PAM, et mettons en place les procédures de gestion des risques tiers exigées par NIS2 et DORA. Nous aidons également les PME à répondre aux questionnaires de sécurité de leurs propres clients grands comptes.

Maîtrisez les risques de votre chaîne d’approvisionnement numérique. Contactez Ealison pour une évaluation gratuite de vos risques fournisseurs.