Vos fournisseurs sont une cible et vous l’êtes aussi !
Vous pensez que vos systèmes sont bien protégés. Coupe-feu en place, antivirus à jour, politiques de mots de passe respectées. Et pourtant, un attaquant s’introduit dans votre réseau… par votre fournisseur de logiciels comptables.
Voilà exactement ce qu’est une attaque de chaîne d’approvisionnement.
ISO 27001 couvre ce risque directement dans ses contrôles 5.19 à 5.22. La majorité des organisations ne les appliquent pas en bonne et due forme.
C’est quoi, une attaque de chaîne d’approvisionnement?
Une attaque de chaîne d’approvisionnement (ou supply chain attack) survient lorsqu’un attaquant compromet une organisation non pas directement, mais en ciblant un tiers de confiance qui lui a accès : un fournisseur de logiciels, un sous-traitant TI, un partenaire qui se connecte à vos systèmes, ou même une composante logicielle libre (open source) intégrée dans vos outils.
L’idée est d’attaquer le point le plus faible. En ciblant un fournisseur, un attaquant peut toucher tous ses clients d’un seul coup.
Ce type d’attaque est redoutable parce que la source compromise est de confiance aux yeux de vos systèmes, l’attaque peut toucher des milliers d’organisations en même temps et la détection prend souvent plusieurs mois.
Attaques rapportées dans les médias
SolarWinds (2020)
Des attaquants affiliés aux services de renseignement russes ont compromis le processus de mise à jour du logiciel SolarWinds Orion. Une mise à jour légitime, signée numériquement, contenait une porte dérobée. Plus de 18 000 organisations l’ont installée, dont des ministères américains et des entreprises Fortune 500.
Kaseya VSA (2021)
Des attaquants ont exploité une vulnérabilité dans Kaseya VSA, un outil de gestion à distance utilisé par des fournisseurs MSP. Des centaines de PME clientes ont vu leurs données chiffrées par un rançongiciel, sans que leurs propres systèmes ne soient directement ciblés.
3CX (2023)
Le logiciel de téléphonie 3CX, très utilisé par les PME, a été compromis via une dépendance tierce. L’installateur officiel contenait du code malveillant. Des organisations qui avaient simplement mis à jour leur logiciel de téléphone se sont retrouvées infectées.
XZ Utils (2024)
Un contributeur malveillant a passé deux ans à gagner la confiance de la communauté d’un outil Linux très répandu avant d’y insérer une porte dérobée. Si elle n’avait pas été découverte par hasard, des millions de serveurs Linux auraient été exposés.
Polyfill.io (2024)
Une entreprise chinoise a acheté le domaine polyfill.io, une bibliothèque JavaScript utilisée par des centaines de milliers de sites web. Elle a modifié le script pour y injecter du code malveillant qui redirigeait les visiteurs mobiles vers des sites frauduleux. Plus de 380 000 sites ont été touchés, dont des plateformes comme Hulu, Mercedes-Benz et le Forum économique mondial. Les PME qui utilisaient cette bibliothèque sans le savoir étaient exposées.
DragonForce via SimpleHelp (2025)
Le groupe DragonForce a exploité des vulnérabilités dans SimpleHelp, un outil de gestion à distance utilisé par des fournisseurs MSP. Une fois à l’intérieur du MSP, les attaquants ont déployé des rançongiciels simultanément sur tous les clients en aval. Même schéma qu’avec Kaseya, quatre ans plus tard.
npm @redhat-cloud-services (juin 2026)
Le 1er juin 2026, 32 paquets publiés sous un namespace officiel de Red Hat ont été compromis sur npm, avec environ 80 000 téléchargements hebdomadaires. Des développeurs utilisaient ces paquets quotidiennement, sans se douter de quoi que ce soit.
Briser le mythe du “trop petit pour être ciblé”
Les PME se croient encore trop petites pour être dans la mire. C’est un mythe, et il a des conséquences concrètes.
Dans une attaque de chaîne d’approvisionnement, la PME n’est pas nécessairement la cible finale. Elle est le vecteur. Si elle a accès aux systèmes d’un client plus grand, elle devient une porte d’entrée intéressante. Et puisque les PME utilisent les mêmes logiciels que les grandes entreprises, quand un outil commun est compromis, tout le monde est touché peu importe la taille.
Comment se préparer : les premières étapes concrètes
Étape 1 : Faites l’inventaire de vos fournisseurs TI
Dressez la liste de tous les tiers qui ont accès à vos systèmes ou données : fournisseurs de logiciels SaaS, firmes de soutien informatique, comptables avec accès à vos fichiers, partenaires qui se connectent à votre réseau.
Pour chaque fournisseur, posez-vous trois questions : quel niveau d’accès a-t-il à vos systèmes ou données, que se passe-t-il s’il est compromis et avez-vous une entente écrite qui définit ses obligations en matière de sécurité?
Étape 2 : Appliquez le principe du moindre privilège
Un fournisseur ne devrait jamais avoir plus d’accès que ce dont il a besoin. Révisez les accès accordés, révoquez ce qui est inutile et activez l’authentification multi-facteur pour tout accès externe.
Étape 3 : Surveillez vos mises à jour
Les mises à jour de logiciels sont le vecteur numéro un des attaques de chaîne d’approvisionnement. Cela ne veut pas dire arrêter de les faire. Cela veut dire : s’abonner aux avis de sécurité de vos fournisseurs principaux, attendre quelques jours avant d’appliquer une mise à jour majeure pour les logiciels critiques et tester les mises à jour critiques dans un environnement séparé si possible.
Étape 4 : Rédigez une clause de sécurité dans vos contrats fournisseurs
Vos contrats avec des tiers devraient inclure des exigences minimales de sécurité : obligation de signaler un incident dans les 72 heures, droit d’audit, exigences de chiffrement. Ce n’est pas du luxe. C’est devenu une attente de base dans tout cadre de conformité sérieux.
Étape 5 : Ayez un plan de réponse minimal
Si un fournisseur vous avise d’une compromission, savez-vous quoi faire? Préparez une courte liste : qui appeler, comment isoler les accès du fournisseur concerné, comment communiquer avec vos clients si leurs données sont touchées.
Tendances à surveiller
Les attaques de chaîne d’approvisionnement sont en forte croissance. Selon Gartner, 45 % des cyberattaques majeures en 2026 vont impliquer la chaîne d’approvisionnement. Le coût moyen d’une telle compromission est estimé à 4,91 M$ US, avec un délai moyen de 267 jours pour la détecter et la contenir.
Les MSP comme cibles d’abord. Les fournisseurs de services gérés (MSP) qui gèrent les TI de dizaines ou centaines de PME deviennent des cibles prioritaires. Selon un rapport de Guardz portant sur 350 fournisseurs MSP (2026), 75 % d’entre eux ont été compromis au moins une fois en 2025-2026. Compromettre un MSP, c’est compromettre tous ses clients d’un coup.
Les réglementations s’intensifient aussi. En Europe, la directive NIS2 est en vigueur depuis octobre 2024 et elle impose des obligations explicites sur la sécurité de la chaîne d’approvisionnement : évaluer la posture de sécurité des fournisseurs avant de signer un contrat, intégrer des clauses de sécurité obligatoires, notifier les incidents dans les 24 heures (rapport initial) et 72 heures (rapport complet) et se réserver le droit d’audit des fournisseurs. Au Québec et au Canada, les pressions réglementaires vont dans le même sens. Les PME fournisseurs de grandes entreprises ou d’institutions publiques vont recevoir de plus en plus de questionnaires de sécurité et d’exigences contractuelles.
Enfin, l’intelligence artificielle accélère les attaques. Les attaquants utilisent maintenant l’IA pour rédiger des contributions malveillantes plus crédibles, détecter des vulnérabilités dans les dépendances open source et automatiser les attaques à grande échelle.
Le lien avec ISO 27001
La norme ISO 27001:2022 adresse la sécurité des fournisseurs dans l’Annexe A, domaine 5, avec quatre contrôles qui ne sont pas optionnels : 5.19 (sécurité dans les relations fournisseurs), 5.20 (accords avec les fournisseurs), 5.21 (chaîne d’approvisionnement TIC) et 5.22 (surveillance et gestion du changement).
Concrètement, cela signifie : documenter votre politique de sélection et de supervision des fournisseurs, intégrer des exigences de sécurité dans tous vos contrats avec des tiers ayant accès à vos actifs, tenir un registre des fournisseurs critiques et revoir annuellement les accès accordés.
ISO 27001 ne garantit pas qu’une attaque de chaîne d’approvisionnement ne vous touchera jamais. Mais elle vous force à savoir réellement à qui vous faites confiance et pourquoi.
En résumé
Les attaques de chaîne d’approvisionnement frappent les PME, souvent par rebond, souvent sans avertissement.
Bref, vous n’avez pas besoin d’un département de sécurité de 20 personnes pour commencer. Un inventaire honnête de vos fournisseurs, une révision des accès accordés et quelques clauses contractuelles suffisent à réduire votre exposition.
La plupart des audits ISO 27001 que je vois traitent les contrôles fournisseurs comme une case à cocher. C’est souvent là que la prochaine brèche va entrer.
Vous pouvez trouver d’autres articles sur le blog de certi360.com. Merci pour vos suggestions d’articles, ils sont créés à partir de vos questions et commentaires.