Supply chain : cinq ans après SolarWinds, la menace est devenue la règle

La cyberattaque subie par SolarWinds en décembre 2020 a marqué un tournant : elle a révélé que la faille la plus dangereuse ne se trouvait pas toujours là où on l’attend. Depuis, les attaques contre des groupes internationaux, des hôpitaux ou des collectivités françaises ont confirmé une évidence dérangeante : la chaîne d’approvisionnement numérique comme les MSP est devenue l’un des points d’entrée privilégiés des cybercriminels.

Par Damien Gbiorczyk, expert en cyber-résilience chez Illumio

En décembre 2020, la compromission de SolarWinds a confronté le monde de la cybersécurité à une réalité brutale. Pour atteindre le cœur des systèmes critiques, les attaquants n’ont plus besoin de cibler directement leur véritable objectif. Il leur suffit de passer par un des maillons de la supply chain numérique : partenaire, fournisseur de service managé ou prestataire de confiance . Une porte dérobée, légitime en apparence, mais redoutablement efficace.

Depuis cet électrochoc, la menace n’a cessé de gagner en ampleur et en sophistication. La découverte de la vulnérabilité Log4j, en 2021 – et toujours exploitée aujourd’hui – a rappelé que même les briques logicielles les plus banales pouvaient provoquer un séisme mondial. Les attaques visant Marks & Spencer ou Jaguar Land Rover ont confirmé une tendance de fond : plus les organisations se digitalisent, plus elles deviennent dépendantes d’un écosystème externe qu’il est pratiquement impossible de maîtriser dans son ensemble.

En France, les exemples récents sont tout aussi parlants. De l’attaque contre France Travail à la compromission d’un prestataire ayant affecté l’AP-HP, en passant par le rançongiciel qui a paralysé Montpellier Méditerranée Métropole, les faits sont là. La menace supply chain n’est plus un scénario catastrophe réservé aux experts. Elle s’est installée durablement dans le quotidien des organisations.

La vraie question n’est donc plus « Sommes-nous vulnérables ? », mais bien « Sommes-nous réellement mieux préparés qu’en 2020 ? ». Et la réponse, hélas, reste largement insatisfaisante.

Un risque devenu systémique

SolarWinds a servi de révélateur mondial. En compromettant un éditeur largement déployé dans des environnements sensibles, les attaquants ont pu s’introduire discrètement dans des réseaux gouvernementaux et de grandes entreprises. Mais ce cas, aussi spectaculaire soit-il, n’était que la partie émergée de l’iceberg.

L’affaire Log4j a mis en lumière une autre dimension du problème : la dépendance massive, diffuse et souvent inconsciente aux composants open source. Des milliers d’applications, y compris dans des secteurs critiques comme la santé, les transports ou l’énergie, utilisaient cette bibliothèque vulnérable sans même le savoir. Elle a montré que la supply chain logicielle ne se limite pas à quelques grands fournisseurs identifiés, mais repose sur une multitude de briques invisibles, essentielles au fonctionnement de l’économie numérique.

Attaques par rebond

Les attaques plus récentes contre Synnovis, prestataire du NHS britannique, ou contre Weda, logiciel utilisé par des milliers de médecins en France, illustrent cette évolution. Paralysie des systèmes, interruption de services vitaux, fuites de données : les conséquences sont immédiates et parfois dramatiques. Les cybercriminels ciblent désormais en priorité les prestataires de services managés, les opérateurs cloud ou SaaS, les éditeurs de logiciels, les hébergeurs de données et tous ces maillons discrets mais essentiels d’un écosystème interconnecté.

En France, les incidents se multiplient, notamment dans le secteur de la santé, mais aussi au sein des collectivités territoriales et des PME industrielles. Très souvent, l’attaque initiale trouve son origine dans un accès tiers compromis. Ces situations ne relèvent plus de l’exception : elles traduisent un risque structurel, profondément ancré dans le fonctionnement même des chaînes logicielles et opérationnelles.

Pourquoi sécuriser les tiers reste si complexe

La sécurité des tiers repose encore largement sur la confiance. Questionnaires de conformité annuels, audits programmés, engagements contractuels : ces pratiques restent majoritaires. Mais elles n’offrent qu’une vision partielle, figée dans le temps, et souvent trompeuse.

Dans les faits, aucune organisation ne dispose d’une visibilité complète sur les contrôles de sécurité de ses prestataires. Il est illusoire de vouloir vérifier leurs configurations internes ou leurs pratiques opérationnelles au quotidien. Et rien ne garantit qu’un test de sécurité réalisé il y a six mois soit toujours pertinent aujourd’hui.

La supply chain logicielle ajoute une couche de complexité supplémentaire. Les dépendances sont nombreuses, profondes et parfois totalement inconnues. Certains composants open source se cachent à des niveaux très éloignés du code visible. Une mise à jour compromise peut ainsi sembler parfaitement légitime… jusqu’à ce qu’elle révèle, une fois installée, une communication vers un serveur de commande et de contrôle. Aujourd’hui encore, une grande partie de la chaîne d’approvisionnement numérique reste tout simplement invisible pour les organisations.

Reprendre le contrôle de son périmètre

Aucune entreprise ne peut sécuriser parfaitement l’ensemble de ses fournisseurs. En revanche, il est indispensable de reprendre la maîtrise de son propre périmètre. Chaque point d’accès doit être surveillé, sans exception. Chaque interconnexion entre un système interne et celui d’un tiers constitue une porte potentielle pour un attaquant.

La segmentation des réseaux, l’analyse fine des flux et la surveillance en temps réel deviennent alors essentielles pour détecter rapidement les comportements anormaux. Le principe du moindre privilège doit également s’imposer sans compromis. Un prestataire n’a pas besoin d’un accès étendu et permanent pour accomplir sa mission. Les droits doivent être segmentés, temporaires et étroitement contrôlés. À défaut, un fournisseur parfaitement légitime peut se transformer, malgré lui, en cheval de Troie.

Cinq ans après SolarWinds, une certitude demeure

La leçon n’a pas changé : la supply chain finira par être compromise, tôt ou tard. La seule stratégie réaliste consiste à partir de ce postulat, à assumer un état de compromission potentielle permanent et à organiser la défense en conséquence. Surveillance continue des flux internes et externes, corrélation des événements, détection des comportements anormaux, limitation drastique des déplacements latéraux : la résilience passe par une approche active et continue.

La sécurité de la chaîne d’approvisionnement numérique n’est plus un exercice administratif ni une case à cocher dans un questionnaire fournisseur. C’est un combat quotidien, exigeant, profondément technique, et désormais essentiel à la résilience des entreprises françaises.

Cinq ans après SolarWinds, une conclusion s’impose : le risque supply chain n’a jamais été aussi critique. Mais jamais non plus les organisations n’ont disposé d’autant de leviers pour tenter de le reprendre en main.

L’auteur

 Damien Gbiorczyk est Responsable Régional Senior des Ventes pour l’Europe du Sud chez Illumio. Basé à Paris, il est chargé de développer les activités d’Illumio et de renforcer l’écosystème de partenaires dans cette région, en réponse à une demande croissante de solutions de confinement des brèches. 

Expert en cybersécurité, Damien possède plus de 14 ans d’expérience dans ce domaine, acquise au sein des sociétés telles que Rapid7, DenyAll et Stormshield. Avant de rejoindre Illumio, il occupait le poste de Directeur des Comptes Stratégiques chez Hackuity, où il aidait les organisations à agréger plusieurs sources de vulnérabilités afin d’analyser efficacement les risques et de faciliter la remédiation.

Abonnez-vous
à la newsletter de
ChannelScope !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !