Raphaël Marichez, CSO France et Europe du Sud chez Palo Alto Networks, alerte sur l’ampleur désormais structurelle des attaques via la supply chain. S’appuyant sur les analyses d’Unit 42, il rappelle que la majorité des organisations sous-estiment encore l’origine réelle des intrusions et que la maîtrise des fournisseurs devient un enjeu central de conformité, de résilience et de responsabilité pour les RSSI.
En matière d’attaque de la “supply chain” (“chaîne d’approvisionnement numérique”), le scénario est désormais bien connu : reconnaissance automatisée, compromission d’un prestataire, exploitation latérale via des accès légitimes, puis intrusion dans le système cible. L’objectif final reste identique : exfiltration de données, extorsion, sabotage ou pression réglementaire via la menace de divulgation.
Quand une organisation est victime d’un incident cyber, la priorité de la direction se concentre sur l’impact : “Quoi” et “Quand”? Rétablir ce qui est critique. Vite. Cette urgence légitime sous-estime l’importance de la recherche du point d’entrée initial de l’attaque. Or, et à mesure que les évolutions réglementaires européennes donnent de plus en plus d’attention à la maîtrise des fournisseurs numériques, pour les RSSI, ce point d’origine conditionne désormais la conformité, la résilience… et la responsabilité.
Selon les investigations menées par l’Unit 42 (l’unité de Palo Alto Networks dédiée au renseignement sur les menaces et réponse aux incidents) en Europe sur l’année écoulée, près d’un incident cyber sur trois trouve son origine non pas dans l’entreprise elle-même, mais dans sa chaîne d’approvisionnement numérique. Ce chiffre est très probablement sous-estimé faute de ressources et de temps, entraînant un déficit de visibilité et de cartographie des dépendances.
Le principe du maillon faible à l’ère de la conformité
Les écosystèmes numériques modernes reposent sur une constellation de fournisseurs, souvent plusieurs centaines par organisation. Chaque interconnexion, chaque accès distant élargit la surface d’attaque. Pour l’assaillant, il est plus rentable de compromettre un prestataire faiblement sécurisé et de passer à l’échelle, que d’attaquer frontalement des entreprises matures une à une. Pour les RSSI, une compromission chez un fournisseur peut désormais engager la responsabilité directe de l’entreprise, par manque de diligences préalables.
Une menace en forte accélération
La menace liée à la chaîne d’approvisionnement numérique (supply chain) augmente rapidement. Le rapport Verizon Business 2025 Data Breach Investigations révèle une augmentation de 100 % d’une année sur l’autre tandis que le rapport Global Incident Response 2025 de l’Unit 42 la classe comme la deuxième menace émergente. Trois facteurs convergent et renforcent ce risque.
Le premier facteur est l’asymétrie à l’avantage de l’attaquant. Attaquer coûte moins cher que de défendre, et le facteur temps profite à l’attaquant patient : une brèche suffit.
Le second facteur est l’adoption de l’IA par les attaquants : notamment pour scruter Internet, cartographier les connexions et identifier les failles dans les composants de la supply chain. L’affaissement de la barrière à l’entrée pour les attaquants renforce cet effet. Des groupes comme Muddled Libra (également connu sous le nom de Scattered Spider) excellent dans cette industrialisation : lors d’un incident étudié par Unit 42, une entreprise d’externalisation des processus métier a subi cinq attaques distinctes en une seule semaine, chacune tentant d’exploiter une faille différente au sein de son réseau de partenaires.
Enfin, la transformation numérique augmente la surface d’attaque : intégrations SaaS, partenariat avec partage de données, externalisation de processus digitalisé. La visibilité nécessaire pour couvrir les risques ne suit généralement pas.
Le cyber-altruisme comme nouvelle doctrine
Face à cette réalité, la sécurité ne peut plus s’arrêter aux frontières de l’entreprise. L’heure est au cyber-altruisme : aider à renforcer activement la sécurité de son écosystème tiers pour se protéger soi-même. C’est un maillon essentiel de la notion de résilience numérique, que promeuvent aujourd’hui les régulateurs (CRA, NIS2, DORA, Projet de loi résilience).
Pour un RSSI, cela implique de cartographier précisément les dépendances critiques et d’évaluer de manière continue les risques liés aux tiers. Il est préférable de s’appuyer sur des standards de sécurité contractuels alignés avec la réglementation, de connaître ses interlocuteurs sécurité, et de veiller à harmoniser les outils, procédures et bonnes pratiques.
Entre impératif réglementaire et responsabilité collective : vers une résilience systémique
Avec NIS2 et DORA, la non-maîtrise de la supply chain devient un risque juridique. Obligation de diligence, démonstration de contrôle, supervision continue. Un RSSI doit aborder la question sous le prisme de l’écosystème soutenant les activités critiques.
Le vieil adage sur le “maillon faible” fonctionne toujours, mais la cybersécurité moderne est véritablement devenue un sport d’équipe. Acquérir cet esprit d’équipe marque le premier pas vers la résilience opérationnelle. La première étape pour le RSSI est de bien connaître les membres de l’équipe, leurs forces comme leurs faiblesses.
