Les chaînes d'approvisionnement sont complexes, opaques et peu sûres : les régulateurs exigent mieux

Par Phil Muncaster • 13 Août 2025

Quel est le point commun entre Marks & Spencer et Jaguar Land Rover (JLR) ? Ces deux entreprises ont toutes deux subi d'importantes violations de données par rançongiciel cette année, après que des acteurs malveillants ont ciblé des fournisseurs. Dans le cas de Marks & Spencer, il s'agirait probablement de l'ordinateur portable d'un sous-traitant de Tata. JLR, c'était un voleur d'informations qui ciblait un employé de LG Electronics ayant accès au réseau du constructeur automobile.

Ces deux études soulignent la menace croissante que représentent pour les organisations des dépendances souvent opaques et fragiles à l'égard des chaînes d'approvisionnement. Ce défi ne fera sans doute que s'intensifier à mesure qu'une nouvelle guerre commerciale mondiale forcera les entreprises à restructurer rapidement leurs chaînes d'approvisionnement, avec peu de temps pour sélectionner de nouveaux partenaires. Comme le révèlent de nouvelles études, il reste encore beaucoup à faire.

Un problème en deux parties

Selon le Forum économique mondial (FEM), plus de la moitié (54 %) des organisations mondiales identifient les défis de la chaîne d'approvisionnement comme leur principal obstacle à la cyber-résilience. « La complexité croissante des chaînes d'approvisionnement, associée au manque de visibilité et de surveillance des niveaux de sécurité des fournisseurs, est devenue le principal risque de cybersécurité pour les organisations », indique le rapport. notes de rapport.

Le défi de la sécurité de la chaîne d’approvisionnement se présente en deux parties :

Logiciels introduisant des logiciels malveillants ou des vulnérabilités dans des environnements sécurisés. Les composants open source sont particulièrement coupables, car ils sont souvent mal documentés, ce qui compromet la sécurité. des incidents comme Log4Shell. Mais ils ne constituent pas le seul risque. Les logiciels propriétaires comme DÉPLACER et GoAnywhere a également été la cible d'exploits zero-day dans le passé, pour des campagnes de vol de données et d'extorsion à grande échelle, impactant des millions de clients en aval.
Un partenaire de la chaîne d'approvisionnement compromis – tel qu'un MSP, un fournisseur SaaS ou une société de services professionnels – pourrait engendrer des risques de sécurité importants. Les pirates pourraient accéder directement aux données d'une organisation, si elles sont stockées par le partenaire, ou obtenir des identifiants de connexion au réseau/aux comptes cloud de l'organisation via le fournisseur. Ils pourraient également cibler les fournisseurs avec des rançongiciels, ce qui pourrait avoir un impact dévastateur sur l'ensemble de la chaîne d'approvisionnement, selon le rapport. Attaque du NHS Synnovis.

Malheureusement, deux rapports récemment publiés mettent en évidence les défis persistants liés à l’atténuation des risques liés à la chaîne d’approvisionnement. Étude LevelBlue Une étude révèle que parmi les organisations déclarant avoir une « très faible visibilité » sur leur chaîne d'approvisionnement logicielle, 80 % ont subi une faille de sécurité au cours des 12 derniers mois. Ce chiffre est à comparer à seulement 6 % de celles qui affirment bénéficier d'une « très grande visibilité ».

Séparément, Rapports du registre des risques Près de la moitié (46 %) des organisations britanniques ont connu au moins deux incidents de cybersécurité dans leur chaîne d'approvisionnement au cours de l'année écoulée. Le rapport révèle également que 90 % des répondants considèrent les cyberincidents dans leur chaîne d'approvisionnement comme une préoccupation majeure pour 2025, et que seulement deux cinquièmes (37 %) qualifient leur gestion des risques liés aux tiers de « très efficace ».

Les régulateurs veulent des mesures

Selon LevelBlue, les PDG sont généralement plus préoccupés par les risques liés à la chaîne d'approvisionnement que leurs homologues de la haute direction. 40 % d'entre eux les citent comme le principal risque de sécurité de l'organisation, contre un nombre bien inférieur de DSI (29 %) et de DTO (27 %). Cela entraînera vraisemblablement une pression accrue de la part des supérieurs hiérarchiques sur les RSSI et leurs équipes. Or, en réalité, ils sont déjà soumis à une pression extrême pour se conformer à une nouvelle série de réglementations ciblant les risques liés aux fournisseurs. Parmi celles-ci :

DORA : La DORA impose notamment aux entités financières de gérer les risques liés aux fournisseurs informatiques tiers dans le cadre de leur gestion globale des risques informatiques, supervisée par le conseil d'administration. Elles doivent également tenir un registre détaillé et à jour des informations relatives à tous les contrats conclus avec ces fournisseurs et effectuer une vérification diligente approfondie des nouveaux fournisseurs.

NIS 2 : Exige que toutes les organisations concernées mettent en place des politiques de gestion des risques liés à la chaîne d'approvisionnement et évaluent les vulnérabilités propres à chaque fournisseur direct et prestataire de services. Les cadres supérieurs et les dirigeants sont directement responsables de cette supervision.

Projet de loi sur la cybersécurité et la résilience : La mise à jour du NIS au Royaume-Uni exigera que les organisations réglementées évaluent et renforcent les relations avec les fournisseurs, mettent en œuvre une gestion solide des risques liés aux tiers et écrivent des attentes en matière de sécurité dans les contrats, entre autres.

Agir

Theresa Lanowitz, évangéliste en chef de LevelBlue, soutient que, lorsqu'il s'agit de la chaîne d'approvisionnement logicielle, la visibilité doit être prioritaire - « en particulier à mesure que les chaînes d'approvisionnement augmentent en taille et en complexité et que les organisations adoptent davantage de solutions basées sur l'IA ».

Elle explique à ISMS.online : « Les RSSI doivent se concentrer sur quatre actions clés : mobiliser la direction pour sécuriser les ressources, s'aligner en interne pour identifier les principales vulnérabilités, investir dans des mesures de sécurité proactives et évaluer régulièrement les pratiques de cybersécurité des fournisseurs. Cette approche équilibrée et proactive renforcera la visibilité, la préparation et la responsabilisation tout au long de la chaîne d'approvisionnement. »

Justin Kuruvilla, stratège en chef de la cybersécurité chez Risk Ledger, explique à ISMS.online que les organisations doivent adopter une mentalité de « présomption de violation » et concevoir leur infrastructure de sécurité de manière à contenir et limiter toute activité malveillante.

Il est donc essentiel d'obtenir une visibilité sur les relations avec les tiers, les quatrièmes et même les nièmes parties. Cette vision plus large permet aux responsables de la sécurité de mieux comprendre leur exposition et de prioriser les mesures d'atténuation là où elles sont les plus importantes.

Kuruvilla soutient que les chaînes d’approvisionnement en logiciels nécessitent un examen particulier, étant donné l’impact potentiel des vulnérabilités dans le code largement utilisé.

« Les organisations doivent s'attendre à ce que leurs fournisseurs adoptent des pratiques de développement sécurisées conformes aux référentiels reconnus par le secteur », ajoute-t-il. « Le degré de diligence raisonnable peut varier en fonction de la criticité du fournisseur et de l'appétence au risque de l'organisation. Cependant, il doit inclure des éléments de développement logiciel sécurisé, tels que les pratiques CI/CD, la gestion des vulnérabilités et la fourniture d'une nomenclature logicielle (SBoM). »

Comment ISO 27001 peut vous aider

Lanowitz de LevelBlue soutient que les normes de bonnes pratiques comme ISO 27001 peuvent fournir une base utile sur laquelle construire une meilleure sécurité de la chaîne d'approvisionnement.

« Alors que les organisations sont confrontées à une visibilité fragmentée des risques et à des pratiques incohérentes, la norme ISO 27001 peut contribuer à unifier et à simplifier les efforts de conformité entre les régions et les secteurs. Grâce à cette norme, les RSSI peuvent adopter une approche structurée de la gestion des risques et de l'amélioration continue », ajoute-t-elle.

« Étant donné que de nombreuses réglementations partagent les mêmes bonnes pratiques fondamentales – notamment l’évaluation des risques, le contrôle d’accès, la vérification des fournisseurs et la planification des interventions en cas d’incident – la mise en œuvre de la norme ISO 27001 peut également réduire la redondance de conformité. »

Kuruvilla de Risk Ledger est d'accord, même s'il met en garde contre la conformité par « cases à cocher ».

Au lieu de cela, les organisations qui privilégient une approche robuste et basée sur les risques pour gérer les cyber-risques parviennent généralement à se conformer comme un résultat naturel, conclut-il.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster