Fournisseurs et sous-traitants : votre maillon faible en cybersécurité ?

Votre entreprise peut avoir le meilleur pare-feu du marché, des collaborateurs sensibilisés et une politique de sécurité exemplaire. Si l'un de vos fournisseurs est compromis, tout cet investissement peut s'effondrer en quelques heures. Les attaques par la chaîne d'approvisionnement (supply chain attacks) comptent parmi les vecteurs les plus dévastateurs et les plus difficiles à anticiper en cybersécurité. Et elles ne concernent pas que les grands groupes.

Selon l'ENISA (Agence de l'Union européenne pour la cybersécurité), les attaques supply chain ont été multipliées par quatre entre 2020 et 2023. Gartner prédit que d'ici 2025, 45 % des organisations mondiales auront subi une attaque logicielle par leur chaîne d'approvisionnement. Pour les PME et ETI françaises, le sujet est d'autant plus critique que la directive NIS2, en cours de transposition, impose désormais des obligations explicites en matière de gestion des risques liés aux fournisseurs.

Comprendre les attaques supply chain

Une attaque supply chain consiste à compromettre une cible finale en attaquant d'abord un maillon de sa chaîne d'approvisionnement : un fournisseur de logiciels, un prestataire informatique, un sous-traitant ayant accès au système d'information. L'attaquant exploite la relation de confiance existante entre l'entreprise et son partenaire pour contourner ses défenses.

Ce type d'attaque est redoutablement efficace pour plusieurs raisons. D'abord, il permet de toucher des centaines ou des milliers de victimes en compromettant un seul fournisseur. Ensuite, le code ou l'accès malveillant transite par un canal de confiance (mise à jour logicielle, accès de maintenance), ce qui le rend particulièrement difficile à détecter. Enfin, les entreprises victimes n'ont souvent aucune visibilité sur les pratiques de sécurité de leurs fournisseurs.

L'affaire SolarWinds en 2020 a marqué un tournant dans la prise de conscience. Des attaquants ont injecté un code malveillant dans une mise à jour du logiciel de supervision Orion, distribué à environ 18 000 organisations clientes, dont des agences gouvernementales américaines et des entreprises du Fortune 500. L'intrusion est restée indétectée pendant plus de neuf mois.

En 2021, l'attaque contre Kaseya, fournisseur de solutions de gestion IT pour les prestataires informatiques (MSP), a illustré un effet de cascade encore plus dévastateur. En compromettant Kaseya, les attaquants du groupe REvil ont pu déployer un ransomware sur les clients des MSP eux-mêmes, touchant entre 800 et 1 500 entreprises dans le monde en une seule opération. Des PME françaises clientes de prestataires utilisant Kaseya ont été directement impactées.

Plus récemment, la compromission de la bibliothèque open source XZ Utils en 2024 a révélé une stratégie d'infiltration patiente : un contributeur malveillant a gagné la confiance des mainteneurs du projet pendant deux ans avant d'injecter une porte dérobée qui aurait pu compromettre des millions de serveurs Linux.

Pourquoi les tiers sont-ils ciblés ?

Les attaquants ciblent les fournisseurs et sous-traitants pour des raisons stratégiques précises :

• Effet multiplicateur : compromettre un éditeur logiciel ou un prestataire IT permet d'atteindre simultanément des dizaines ou centaines de clients. Le retour sur investissement pour l'attaquant est considérablement plus élevé qu'une attaque ciblant une seule entreprise.
• Accès privilégiés : les prestataires informatiques, intégrateurs et éditeurs disposent souvent d'accès directs aux systèmes de leurs clients : comptes d'administration à distance, VPN permanents, accès aux bases de données. Ces accès sont rarement aussi bien surveillés que les accès des employés internes.
• Niveau de sécurité variable : une PME sous-traitante n'a pas les mêmes ressources qu'un grand groupe pour investir en cybersécurité. Les attaquants le savent et ciblent le maillon le plus faible de la chaîne pour atteindre le maillon le plus fort.
• Confiance implicite : les communications et fichiers provenant d'un partenaire de confiance sont rarement scrutés avec la même vigilance que ceux provenant d'un expéditeur inconnu. Un e-mail malveillant envoyé depuis le compte compromis d'un fournisseur a beaucoup plus de chances d'être ouvert.
• Complexité de détection : les activités malveillantes passant par un canal légitime (mise à jour logicielle, accès de maintenance) se fondent dans le trafic normal et échappent aux systèmes de détection conventionnels.

Évaluer le risque fournisseur : une méthodologie pratique

La première étape consiste à cartographier vos fournisseurs en fonction de leur niveau de criticité. Tous les fournisseurs ne représentent pas le même risque. Un prestataire qui a un accès VPN permanent à votre réseau n'a pas le même profil de risque que le fournisseur de vos fournitures de bureau.

Critères de classification des fournisseurs

Classez chaque fournisseur selon quatre axes :

1. Accès au SI : le fournisseur a-t-il un accès direct ou indirect à votre système d'information ? De quel type (VPN, API, accès physique, accès aux données) ? Avec quels privilèges ?
2. Données traitées : quelles données votre fournisseur manipule-t-il ? Des données personnelles au sens du RGPD ? Des données commerciales confidentielles ? Des secrets industriels ?
3. Dépendance opérationnelle : quel est l'impact sur votre activité si ce fournisseur est indisponible pendant 24h, 72h, une semaine ? Est-il substituable rapidement ?
4. Intégration technique : le fournisseur fournit-il un logiciel ou un service intégré dans votre infrastructure (ERP, CRM, outil de supervision, solution de sauvegarde) ?

Sur la base de ces critères, attribuez un niveau de risque (critique, élevé, modéré, faible) à chaque fournisseur. Les fournisseurs critiques et à risque élevé feront l'objet d'une évaluation approfondie et d'un suivi renforcé.

Le questionnaire de sécurité : les bonnes questions

Pour les fournisseurs à risque élevé ou critique, envoyez un questionnaire de sécurité structuré. Voici les domaines essentiels à couvrir :

• Gouvernance : le fournisseur dispose-t-il d'une politique de sécurité formalisée ? D'un responsable sécurité identifié ? De certifications (ISO 27001, SOC 2, HDS) ?
• Gestion des accès : comment sont gérés les accès à vos systèmes ? MFA activé ? Principe du moindre privilège appliqué ? Revue régulière des droits ?
• Protection des données : les données sont-elles chiffrées en transit et au repos ? Où sont-elles hébergées ? Quelle est la politique de rétention et de destruction ?
• Gestion des vulnérabilités : le fournisseur a-t-il un processus de patching ? Des scans de vulnérabilités réguliers ? Un programme de bug bounty ?
• Gestion des incidents : quelle est la procédure de notification en cas d'incident de sécurité ? Quels sont les délais de notification ? Le fournisseur a-t-il déjà subi un incident ?
• Continuité d'activité : le fournisseur dispose-t-il d'un PCA/PRA testé ? Quelle est la fréquence des tests de sauvegarde ?
• Sous-traitance : le fournisseur fait-il appel à des sous-traitants pour le service qui vous concerne ? Si oui, quels contrôles de sécurité leur impose-t-il ?

Ne vous contentez pas de réponses déclaratives. Demandez des preuves : rapports d'audit, certificats, captures d'écran anonymisées de configurations de sécurité. Un fournisseur qui refuse ou ne peut pas fournir ces éléments envoie un signal d'alerte.

Clauses contractuelles de sécurité : ce que vous devez exiger

Le contrat est votre levier juridique principal pour imposer des exigences de sécurité à vos fournisseurs. Trop de PME signent des contrats qui ne contiennent aucune clause relative à la cybersécurité, se privant ainsi de tout recours en cas d'incident.

Voici les clauses essentielles à inclure dans vos contrats avec les fournisseurs à risque élevé ou critique :

Obligations de sécurité minimales

Exigez que le fournisseur maintienne un niveau de sécurité conforme à l'état de l'art et aux normes applicables (ISO 27001, référentiel ANSSI). Précisez les mesures techniques minimales attendues : chiffrement des données, authentification multi-facteurs, journalisation des accès, gestion des correctifs. Le fournisseur doit s'engager à maintenir ces mesures pendant toute la durée du contrat.

Droit d'audit

Réservez-vous le droit d'auditer la sécurité du fournisseur, directement ou via un tiers indépendant, au moins une fois par an et en cas d'incident. Le fournisseur doit s'engager à fournir les preuves de conformité demandées dans un délai raisonnable (15 à 30 jours). Ce droit d'audit est devenu une exigence standard dans les référentiels de gestion des risques tiers.

Notification d'incident

Le fournisseur doit notifier tout incident de sécurité affectant vos données ou vos systèmes dans un délai maximal de 24 à 48 heures. La notification doit inclure la nature de l'incident, les données potentiellement impactées, les mesures de remédiation en cours et un plan d'action. Ce délai est cohérent avec les exigences du RGPD (72 heures) et de NIS2 (24 heures pour l'alerte initiale).

Exigences de chiffrement

Imposez le chiffrement des données en transit (TLS 1.2 minimum, TLS 1.3 recommandé) et au repos (AES-256). Précisez les exigences de gestion des clés de chiffrement. Le fournisseur ne doit pas pouvoir accéder aux données en clair sans justification opérationnelle documentée.

Clause de réversibilité et de destruction

En fin de contrat, le fournisseur doit restituer l'intégralité des données dans un format exploitable et détruire de manière sécurisée toutes les copies. Exigez un certificat de destruction. Cette clause est cruciale pour éviter que des données sensibles persistent chez un ancien prestataire.

Gestion de la sous-traitance

Le fournisseur doit vous informer de tout recours à la sous-traitance pour les prestations vous concernant et imposer à ses propres sous-traitants des obligations de sécurité au moins équivalentes. Vous devez pouvoir vous opposer à un sous-traitant qui ne présente pas de garanties suffisantes.

Surveillance continue des fournisseurs

L'évaluation initiale ne suffit pas. La posture de sécurité d'un fournisseur évolue dans le temps, et les menaces aussi. Mettez en place un suivi continu adapté au niveau de risque de chaque fournisseur.

Pour les fournisseurs critiques :

• Revue annuelle complète : renvoi du questionnaire de sécurité, vérification des certifications, analyse des rapports d'audit (SOC 2, ISO 27001).
• Monitoring externe : des services comme SecurityScorecard, BitSight ou CybelAngel permettent de surveiller en continu la posture de sécurité externe de vos fournisseurs (fuites de données, vulnérabilités exposées, certificats expirés, réputation des IP).
• Veille sur les incidents : configurez des alertes sur les noms de vos fournisseurs critiques pour être informé rapidement en cas de violation de données ou d'attaque les concernant.
• Revue des accès : vérifiez trimestriellement que les accès accordés aux fournisseurs sont toujours justifiés et conformes au principe du moindre privilège. Révoquez immédiatement les accès des prestataires dont la mission est terminée.

Pour les fournisseurs à risque modéré, une revue bisannuelle du questionnaire et un monitoring externe passif sont généralement suffisants.

NIS2 et la chaîne d'approvisionnement

La directive NIS2, dont la transposition en droit français est en cours, renforce considérablement les obligations en matière de sécurité de la chaîne d'approvisionnement. L'article 21 impose aux entités essentielles et importantes de prendre en compte les risques liés à leurs fournisseurs et prestataires directs.

Concrètement, NIS2 exige :

• Une évaluation des risques supply chain : les organisations doivent identifier et évaluer les risques de cybersécurité liés à leurs relations avec les fournisseurs directs et les prestataires de services.
• Des mesures de sécurité contractuelles : les contrats avec les fournisseurs doivent inclure des clauses relatives à la cybersécurité, incluant les exigences de notification d'incident.
• Une prise en compte de la qualité globale : l'évaluation doit tenir compte des pratiques de cybersécurité des fournisseurs, y compris leurs procédures de développement sécurisé.
• Une responsabilité de la direction : les organes de direction sont personnellement responsables de la supervision des mesures de gestion des risques, y compris ceux liés à la supply chain.

Pour les PME et ETI qui sont fournisseurs d'entités soumises à NIS2, la pression sera d'autant plus forte : leurs clients grands comptes leur imposeront des exigences de sécurité renforcées comme condition de poursuite de la relation commerciale. Se préparer dès maintenant est un avantage concurrentiel.

Plan d'action concret pour les PME et ETI

La gestion des risques fournisseurs peut sembler complexe, mais elle peut être mise en place progressivement. Voici un plan d'action en six étapes, réaliste pour une PME :

1. Inventorier vos fournisseurs (semaine 1-2) : dressez la liste complète de vos fournisseurs et prestataires ayant un accès à vos systèmes, à vos données ou fournissant un service critique. N'oubliez pas les services SaaS souscrits par les différents départements.
2. Classifier par niveau de risque (semaine 3) : attribuez un niveau de risque à chaque fournisseur selon les critères décrits plus haut. Concentrez vos efforts sur les fournisseurs critiques et à risque élevé (généralement 10 à 20 % du total).
3. Envoyer les questionnaires de sécurité (semaine 4-6) : envoyez un questionnaire adapté au niveau de risque. Pour les fournisseurs critiques, un questionnaire détaillé. Pour les autres, un questionnaire simplifié.
4. Revoir les contrats (mois 2-3) : intégrez les clauses de sécurité dans les contrats en cours de renouvellement. Pour les contrats existants, négociez un avenant. Priorisez les fournisseurs critiques.
5. Mettre en place la surveillance (mois 3-4) : configurez des alertes sur vos fournisseurs critiques. Évaluez si un service de notation de sécurité externe est pertinent pour votre contexte.
6. Formaliser le processus (mois 4-6) : documentez votre politique de gestion des risques fournisseurs. Intégrez l'évaluation de sécurité dans le processus d'achat pour que tout nouveau fournisseur soit évalué avant la signature du contrat.

La sécurité de votre entreprise ne s'arrête pas à vos murs. Dans un écosystème interconnecté, chaque fournisseur est une extension de votre périmètre de sécurité. Les attaques supply chain continueront de croître en fréquence et en sophistication. Les PME et ETI qui structurent dès aujourd'hui leur gestion des risques fournisseurs se protègent non seulement contre ces menaces, mais répondent aussi aux attentes croissantes de leurs propres clients et aux exigences réglementaires à venir. C'est un investissement qui, au-delà de la sécurité, renforce la confiance commerciale et la compétitivité.