Skip to content
Glossaire

Attaque supply chain

Une attaque supply chain cible une organisation à travers ses fournisseurs, partenaires ou prestataires de services. L'attaquant compromet un tiers de confiance pour accéder à sa cible finale. Ce type d'attaque est redoutable car il exploite la confiance que les entreprises accordent aux emails et logiciels de leurs partenaires.

9 min de lecture Thomas Ferreira

Comment fonctionne une attaque supply chain

Une attaque supply chain ne vise pas directement votre entreprise. Elle vise quelqu’un en qui vous avez confiance — un éditeur de logiciel, un fournisseur, un prestataire IT — et l’utilise comme porte d’entrée vers vous. C’est cette confiance qui rend l’attaque si efficace : vous ne vous méfiez pas d’une mise à jour logicielle signée par votre éditeur, ni d’un email envoyé depuis l’adresse réelle de votre comptable externe.

Les attaquants exploitent trois vecteurs principaux.

Software supply chain : le logiciel piégé

L’attaquant compromet le processus de développement ou de distribution d’un logiciel légitime. Il insère du code malveillant dans une mise à jour, un module ou une dépendance. Quand les clients installent la mise à jour, ils déploient eux-mêmes le malware sur leurs propres systèmes.

Ce vecteur est particulièrement dangereux parce que :

  • La mise à jour est signée numériquement par l’éditeur légitime
  • Les équipes IT la déploient en confiance, parfois automatiquement
  • Le malware s’exécute avec les privilèges du logiciel hôte, souvent élevés
  • Des milliers d’organisations sont touchées simultanément

Vendor email compromise : l’email du fournisseur piégé

L’attaquant prend le contrôle de la boîte email d’un fournisseur ou d’un partenaire et envoie des messages depuis cette adresse réelle. Il s’agit d’une variante de la fraude au président (BEC) qui passe par un tiers de confiance au lieu d’usurper l’identité d’un dirigeant interne.

L’email est authentique : l’adresse est la bonne, l’historique de conversation existe, le ton correspond. Le destinataire n’a aucune raison de se méfier. Les demandes typiques : changement de RIB pour le paiement d’une facture, envoi d’un document “mis à jour” contenant un malware, ou partage d’un lien vers un faux portail de connexion.

Compromission de MSP : le prestataire IT comme rampe de lancement

Les prestataires de services managés (MSP — Managed Service Providers) gèrent l’informatique de dizaines de PME. Ils disposent d’accès administrateur aux systèmes de leurs clients : Active Directory, Microsoft 365, outils de supervision, solutions de sauvegarde. Un seul MSP compromis donne accès à tous ses clients.

L’attaquant compromet le MSP (souvent par phishing ciblé ou credential stuffing) puis utilise les outils de gestion à distance pour déployer un ransomware chez tous les clients simultanément. Le MSP devient un multiplicateur d’attaque.

Exemples d’attaques supply chain

SolarWinds (2020)

L’attaque la plus documentée de la décennie. Des acteurs liés aux services de renseignement russes (groupe Nobelium/APT29) ont compromis le système de build du logiciel Orion de SolarWinds, un outil de supervision réseau utilisé par plus de 30 000 organisations.

Le code malveillant (baptisé SUNBURST) a été inséré dans une mise à jour légitime déployée entre mars et juin 2020. Environ 18 000 organisations ont installé la mise à jour compromise. Les attaquants ont ensuite sélectionné des cibles de grande valeur — agences gouvernementales américaines, Microsoft, FireEye — pour y déployer des outils d’espionnage supplémentaires.

Ce qui rend SolarWinds marquant : l’attaque est restée invisible pendant 9 mois avant que FireEye ne la découvre. La mise à jour était signée avec le certificat officiel de SolarWinds.

Kaseya (juillet 2021)

Le groupe REvil a exploité une vulnérabilité zero-day dans Kaseya VSA, une plateforme de gestion IT utilisée par des MSP. En compromettant le logiciel, les attaquants ont pu déployer un ransomware chez les clients des MSP qui utilisaient Kaseya.

Résultat : entre 800 et 1 500 entreprises touchées dans le monde, dont la chaîne de supermarchés suédoise Coop qui a dû fermer 800 magasins pendant plusieurs jours. L’attaque illustre l’effet de levier des MSP : un seul point d’entrée, des centaines de victimes.

Vendor email compromise : exemples français

En France, les attaques par vendor email compromise touchent régulièrement les PME, même si elles font moins de bruit médiatique que SolarWinds.

Le scénario classique : un cabinet comptable ou un fournisseur récurrent se fait compromettre sa boîte email. L’attaquant surveille les échanges, repère une facture en attente, et envoie un email depuis l’adresse réelle du fournisseur avec un RIB modifié. L’entreprise paie la facture — sur le compte de l’attaquant.

L’ANSSI a relevé dans son Panorama de la cybermenace 2023 que les attaques par la chaîne d’approvisionnement constituaient une menace persistante pour les organisations françaises, avec une augmentation des compromissions de prestataires informatiques servant de porte d’entrée vers les réseaux de leurs clients.

Supply chain et phishing

Le phishing est le fil rouge des attaques supply chain. Que ce soit pour compromettre le fournisseur initial ou pour exploiter l’accès obtenu, le phishing intervient à chaque étape.

Comment fonctionne le vendor email compromise, étape par étape

Étape 1 : compromission du compte fournisseur. L’attaquant envoie un email de spear phishing à un employé du fournisseur. L’email imite une notification Microsoft 365, un partage SharePoint, ou un bon de commande. L’employé entre ses identifiants sur une fausse page de connexion. L’attaquant contrôle maintenant le compte.

Étape 2 : reconnaissance. L’attaquant lit les emails du fournisseur pendant des jours, parfois des semaines. Il identifie les clients, les montants habituels, le style de communication, les factures en cours. Il crée souvent une règle de transfert pour recevoir une copie de tous les emails sans que le propriétaire du compte s’en aperçoive.

Étape 3 : l’attaque. L’attaquant envoie un email au client cible depuis le vrai compte du fournisseur. Le message s’inscrit dans une conversation existante et concerne un sujet légitime — une facture, un contrat, un document à signer. La seule différence : le RIB a changé, le lien mène vers une page piégée, ou la pièce jointe contient un malware.

Étape 4 : la confiance trahie. Côté client, l’email passe tous les filtres. SPF, DKIM, DMARC — tout est valide car l’email provient bien du domaine du fournisseur. L’adresse d’expéditeur est authentique. L’objet de l’email est attendu. Le destinataire n’a aucune raison de se méfier.

Pourquoi DMARC ne protège pas contre le vendor email compromise

Les protocoles d’authentification email vérifient que le message provient bien du domaine affiché. Dans le cas du vendor email compromise, c’est bien le cas. L’email est envoyé depuis le serveur légitime du fournisseur, avec sa signature DKIM valide. DMARC ne peut pas détecter qu’un compte légitime a été détourné — il confirme simplement que le domaine est le bon.

C’est la différence avec le spoofing classique, où l’attaquant forge l’adresse d’expéditeur. Le spoofing est bloqué par DMARC. Le vendor email compromise ne l’est pas.

Protéger votre PME

Évaluation des fournisseurs

Chaque fournisseur qui a accès à vos données, vos systèmes ou votre trésorerie est un vecteur d’attaque potentiel. L’évaluation de leur posture de sécurité n’est plus optionnelle.

Questions à poser dans un questionnaire fournisseur :

  • Le MFA est-il activé sur tous les comptes email et accès distants ?
  • Quel est le délai de détection et notification en cas d’incident de sécurité ?
  • Les accès à vos systèmes sont-ils limités aux seuls employés qui en ont besoin ?
  • Disposez-vous d’une certification ISO 27001, SOC 2, ou d’une qualification SecNumCloud ?
  • Quelles sont vos procédures de vérification pour les changements de coordonnées bancaires ?

Clauses contractuelles

Intégrez des exigences de sécurité dans vos contrats fournisseurs :

  • Obligation de notification : le fournisseur doit vous prévenir sous 48h en cas de compromission pouvant vous affecter
  • Droit d’audit : possibilité de vérifier les mesures de sécurité du fournisseur
  • MFA obligatoire : exiger l’authentification multifacteur pour tout accès à vos systèmes ou données
  • Principe du moindre privilège : les accès sont limités au strict nécessaire et révoqués en fin de mission

Architecture Zero Trust

Le Zero Trust part du principe que tout accès est potentiellement compromis, y compris celui de vos fournisseurs. Les mesures concrètes :

  • Segmentation réseau : les accès fournisseurs sont isolés dans un segment séparé, sans accès aux ressources internes non nécessaires
  • Accès conditionnel : les connexions des prestataires sont vérifiées (appareil, localisation, horaire) à chaque session
  • Moindre privilège : un prestataire de maintenance informatique n’a pas accès aux données financières
  • Journalisation : tous les accès fournisseurs sont tracés et audités régulièrement

MFA et vérification hors canal

Le MFA sur tous les comptes empêche la compromission initiale — celle qui donne à l’attaquant le contrôle d’un compte fournisseur.

Pour les transactions sensibles (changement de RIB, virement supérieur à un seuil défini), établissez une procédure de vérification hors canal : appeler le fournisseur sur un numéro connu (pas celui figurant dans l’email) pour confirmer la demande. Cette procédure simple bloque la majorité des fraudes par vendor email compromise.

Sensibilisation aux scénarios supply chain

Les formations classiques au phishing entraînent les employés à repérer des emails d’expéditeurs inconnus. C’est nécessaire mais insuffisant. Vos équipes doivent aussi savoir identifier une menace quand elle vient d’un contact de confiance.

Scénarios à inclure dans vos exercices :

  • Un fournisseur habituel envoie une facture avec un RIB modifié
  • Un prestataire IT demande des identifiants d’accès par email
  • Un partenaire partage un document via un lien inhabituel (Google Drive au lieu du portail habituel)
  • Un fournisseur signale un “changement de procédure” et demande de cliquer sur un lien

NIS2 et sécurité de la supply chain

La directive NIS2, applicable depuis octobre 2024, impose aux entités essentielles et importantes de prendre en compte la sécurité de leur chaîne d’approvisionnement. L’article 21 liste explicitement “la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services” parmi les mesures de gestion des risques obligatoires.

Ce que NIS2 exige concrètement

Évaluation des fournisseurs : les entités concernées doivent évaluer le niveau de cybersécurité de leurs fournisseurs et prestataires directs. Cela inclut la qualité des produits et des pratiques de cybersécurité des fournisseurs, y compris leurs procédures de développement sécurisé.

Gestion contractuelle : les exigences de sécurité doivent être formalisées dans les contrats avec les fournisseurs. La directive pousse à contractualiser les obligations de notification d’incidents, les exigences de MFA, et les droits d’audit.

Surveillance continue : l’évaluation n’est pas un exercice ponctuel. Les entités doivent maintenir une surveillance de la posture de sécurité de leurs fournisseurs et adapter leurs mesures en fonction de l’évolution des risques.

Étapes pratiques pour les PME

Même si votre entreprise n’est pas directement dans le périmètre NIS2, vous pouvez être fournisseur d’une entité qui l’est. Dans ce cas, vos clients vous imposeront des exigences de sécurité conformes à NIS2.

  1. Inventoriez vos fournisseurs et prestataires ayant accès à vos systèmes ou données
  2. Classez-les par niveau de risque (accès aux données sensibles, volumes financiers, accès réseau)
  3. Envoyez un questionnaire de sécurité aux fournisseurs à risque élevé
  4. Intégrez des clauses de sécurité dans vos contrats (notification, MFA, audit)
  5. Documentez vos évaluations et les actions correctives

L’ANSSI publie des recommandations régulièrement mises à jour pour accompagner les organisations dans leur mise en conformité NIS2, y compris sur le volet supply chain.

Testez la vigilance de vos équipes face aux emails usurpant vos fournisseurs avec notre simulation de phishing. Les scénarios incluent des emails imitant vos prestataires habituels.

Questions fréquentes

Qu'est-ce qu'une attaque supply chain ?

Une attaque supply chain consiste à compromettre un fournisseur, un prestataire ou un partenaire pour atteindre l'entreprise cible. Au lieu d'attaquer directement, le pirate passe par un intermédiaire de confiance. L'attaque peut prendre la forme d'un logiciel compromis (comme SolarWinds), d'un email envoyé depuis le compte réel d'un fournisseur, ou d'un accès via un prestataire IT.

Quel est un exemple concret d'attaque supply chain ?

L'attaque SolarWinds en 2020 est la plus connue : les pirates ont injecté un code malveillant dans une mise à jour du logiciel Orion, compromettant 18 000 organisations dont des agences gouvernementales américaines. En France, des PME ont été touchées par des emails frauduleux envoyés depuis des comptes fournisseurs piratés, un schéma appelé vendor email compromise.

Comment protéger mon entreprise contre les attaques supply chain ?

Quatre mesures prioritaires : vérifier la posture sécurité de vos fournisseurs (questionnaire, certifications), appliquer le principe du moindre privilège pour les accès tiers, activer le MFA sur tous les comptes, et former vos équipes à détecter les emails suspects même quand ils proviennent de contacts connus.

Quel est le lien entre supply chain et phishing ?

Le vendor email compromise est une forme d'attaque supply chain par phishing : l'attaquant compromet la boîte email d'un fournisseur et envoie des emails légitimes (factures, demandes de virement) depuis cette adresse réelle. Les filtres email ne détectent rien car l'expéditeur est authentique.

NIS2 impose-t-elle des obligations sur la sécurité de la supply chain ?

Oui. L'article 21 de la directive NIS2 impose aux entités essentielles et importantes de prendre en compte la sécurité de leur chaîne d'approvisionnement dans leur politique de gestion des risques. Cela inclut l'évaluation des fournisseurs et la contractualisation des exigences de sécurité.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire