Secu
Chaînes d’approvisionnement IT : l’urgence d’une gouvernance cyber rigoureuse
Par La rédaction, publié le 01 mai 2025
Les cyberattaquants n’attaquent plus directement leurs cibles principales : ils remontent la chaîne pour frapper là où c’est le plus inattendu. L’intégrité des systèmes IT dépend désormais autant de la cybersécurité interne que du niveau de contrôle exercé sur les fournisseurs, sous-traitants et transitaires. Mais comment sécuriser efficacement la chaîne d’approvisionnement IT et contrer l’effet domino des vulnérabilités tierces ?
Par Vincent Lomba, Responsable de la cybersécurité des produits chez Alcatel-Lucent Enterprise
Les cyberattaques sont devenues un fléau mondial. De plus en plus sophistiquées et fréquentes, elles s’appuient sur tous les moyens possibles pour voler des données stratégiques ou perturber des systèmes informatiques. Qu’il s’agisse d’entreprises, d’entités sensibles (santé, énergie, etc.), d’administrations ou même d’économies toutes entières, les organisations ciblées par ces attaques peuvent se retrouver dans des situations désastreuses, avec des pertes financières et/ou un chaos opérationnel à la clé. Un rapport Statista’s Market Insights estime en ce sens que le coût de la cybercriminalité devrait exploser au cours des quatre prochaines années, passant de 9,22 billions de dollars en 2024 à 13,82 billions de dollars en 2028 à l’échelle mondiale.
La chaîne d’approvisionnement IT – c’est-à-dire l’ensemble des acteurs, processus et ressources qui interviennent dans la conception, la production, la distribution et la maintenance des équipements IT et logiciels – est devenue l’une des portes d’entrée les plus utilisées par les hackers. Ces derniers exploitent les vulnérabilités en matière de sécurité des organisations partenaires connectées sur celle-ci – vendeurs, fournisseurs, sous-traitants ou encore entreprises de logistique et de transport, etc. – afin d’infiltrer les systèmes informatiques de l’organisation ciblée ou d’accéder à des composants physiques destinés à être intégrés dans du matériel qu’elle utiliserait. Cela souligne à quel point il est devenu plus crucial que jamais de mieux sécuriser tous les maillons de ces chaînes d’approvisionnement, logiciels et équipements inclus.
Mais qu’entend-t-on exactement par menace et que peuvent faire les organisations pour minimiser les risques sur leur chaîne d’approvisionnement IT ?
Identifier son maillon faible
La cyberattaque de SolarWinds en 2020, qui a compromis les systèmes, les données et les réseaux de milliers d’organisations, dont de nombreuses agences gouvernementales, est l’exemple le plus célèbre d’une attaque à grande échelle sur une chaîne d’approvisionnement en logiciels. D’autres attaques de ce type ont suivi : Okta, Norton, 3CX, JetBrains, Airbus et Microsoft, ont, elles aussi, eu des conséquences catastrophiques pour ces grandes entreprises et leurs utilisateurs.
Depuis 2021, les cyberattaques visant les chaînes d’approvisionnement IT ont augmenté de 431%, selon un rapport publié l’année dernière par le groupe d’assurance Cowbell. En France, en 2024, 15% des violations de données ont impliqué un fournisseur tiers, soit une hausse de 68 % par rapport à 2023. Toujours cette même année, 69 % des cyberattaques en France visaient des entreprises, 20 % des collectivités territoriales et 11 % des établissements de santé. Les analystes du secteur ne voient guère de signes d’atténuation du problème : Gartner prévoit, au niveau mondial, que les coûts de ces attaques passeront de 46 milliards de dollars en 2023 à 138 milliards de dollars d’ici à 2031.
Pour les organisations et les entreprises, la menace d’une telle attaque par le biais de leur chaîne d’approvisionnement IT est une source d’inquiétude majeure. Contrairement à la visibilité et au contrôle complet qu’elles peuvent avoir sur leurs propres systèmes, elles n’ont jusqu’à présent que peu d’assurance que leurs fournisseurs et partenaires aient mis en œuvre les mêmes normes élevées de sécurité. Dans un récent livre blanc, Reuters et Cargowise souligne d’ailleurs que 94 % des responsables de chaîne d’approvisionnement IT s’inquiètent des vulnérabilités de leur infrastructure technologique, dont 24 % qui se disent très ou extrêmement préoccupés.
Comment les régulateurs cherchent à normaliser la sécurité de la chaîne d’approvisionnement IT
L’inquiétude suscitée par la menace que représente la chaîne d’approvisionnement IT est telle que les autorités, un peu partout dans le monde, commencent à mettre en place des réglementations visant à réduire le nombre d’incidents. Ainsi, en octobre 2024, l’Union Européenne a promulgué la directive Network and Information Security 2 (NIS2) pour établir un niveau uniforme et renforcé de cybersécurité dans les pays membres. Elle concerne près de 100 000 organisations européennes opérant dans des secteurs tels que les administrations publiques, les transports, l’énergie, la santé et les banques mais aussi toutes organisations fournissant des biens ou faisant partie de chaînes d’approvisionnement IT.
La directive NIS2 contribuera certainement à sensibiliser davantage à la nécessité de sécuriser les infrastructures de réseau et de garantir le respect des mesures de sécurité tout au long de la chaîne d’approvisionnement IT.
Des réglementations similaires spécifiques à des secteurs d’activité vont progressivement être mises en œuvre. Citons, entre autres, DORA – Digital Operational Resilient Act – pour le secteur de la finance qui s’applique depuis le 17 janvier dernier, ou encore CRA – Cyber Resilience Act – adoptée par le Conseil de l’UE pour compléter NIS2 et DORA en renforçant la cybersécurité des produits intégrant des éléments numériques.
Toutefois, au-delà de la conformité à ces nouvelles réglementations, la responsabilité incombe aux organisations et aux fournisseurs de solutions de veiller à ce que leurs données sensibles – et celles de leurs clients – bénéficient du niveau de protection le plus élevé contre toute intrusion. Alors comment s’y prendre ?
Vers une chaîne d’approvisionnement IT résiliente
Chaque entreprise ou organisation possède sa propre chaîne d’approvisionnement IT, composée de différentes solutions ou équipements nécessaires au développement de son activité. Il n’existe donc pas de méthode unique pour sécuriser la chaîne d’approvisionnement IT. Il existe cependant des mesures que toutes les organisations devraient prendre pour s’assurer que leurs chaînes d’approvisionnement IT – tant d’un point de vue logiciels que de composants physiques ou de matériels – soient aussi infaillibles que possible :
1 – Vigilance accrue sur la sélection des fournisseurs : Avant de choisir tel ou tel fournisseur, il convient de procéder à un contrôle strict et complet afin de vérifier ses pratiques en matière de sécurité et s’assurer qu’il est digne de confiance.
2 – Audits réguliers : La réalisation d’audits et de contrôles réguliers des partenaires de la chaîne d’approvisionnement IT permettra de s’assurer qu’ils maintiennent les mesures de sécurité attendues.
3 – SLAs (Service Level Agreements) : Des exigences contractuelles fortes en matière de sécurité avec les prestataires en charge de la logistique des composants ou équipements IT permettront de s’assurer qu’ils ont mis en place des mesures de sécurité appropriées, telles que des scellés inviolables sur les camions.
4 – Suivi de l’état des marchandises en transit : Les technologies telles que la RFID (Radio Frequency Identification) et l’IA peuvent aider à suivre l’emplacement et le statut des composants et équipements IT tout au long du flux logistique.
Le recours à la GenAI pour mieux surveiller les équipements IT en transit
L’intégration de l’intelligence artificielle générative dans les opérations logistiques des équipements et composants informations rend les chaînes d’approvisionnement IT plus efficaces, mais aussi réellement plus sûres. Grâce à sa capacité à extraire des informations, à les traiter et à structurer des données non structurées (exemple des emails), elle peut offrir un niveau de visibilité sans précédent sur les flux de ces marchandises tout au long du processus de transit.
Autrement dit, les équipes logistiques savent en permanence où se trouve le matériel, qui en est responsable et peuvent réagir dans les délais les plus brefs aux éventuelles menaces sur leur sécurité, avant même qu’un incident ne se produise.
Ce niveau de connaissance et de contrôle est inestimable pour les organisations qui souhaitent avoir la certitude que tous les actifs physiques de leur chaîne d’approvisionnement IT sont bien protégés à chaque étape, de leur production à leur acheminement jusqu’à leur destination finale, sans risque d’interception ou de falsification.
Avec une cybercriminalité qui ne cesse d’évoluer en sophistication et en portée, la menace posée par les vulnérabilités au sein de la chaîne d’approvisionnement IT ne doit plus être négligée. Les organisations doivent se rendre à l’évidence : leur sécurité ne sera jamais aussi forte que le maillon le plus faible de leur chaîne d’approvisionnement IT. Les nouvelles réglementations telles que NIS2 seront essentielles pour garantir une approche adaptée et normalisée de la sécurité tout au long de la chaîne d’approvisionnement IT. Toutefois, pour leur propre tranquillité d’esprit, pour garantir l’intégrité de leurs produits et pour protéger leurs données sensibles, les organisations devraient chercher à sélectionner avec diligence leurs partenaires de la chaîne d’approvisionnement, à créer une culture de la transparence et à utiliser des technologies avancées pour assurer un suivi et une surveillance précis des composants et des équipements.
Compte tenu des niveaux exponentiels de la cybercriminalité, investir dans la sécurité et la résilience de la chaîne d’approvisionnement sera toujours plus bénéfique que de devoir supporter les conséquences financières d’une attaque.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
