Avec l’ouverture des Assises de la Cybersécurité cette semaine, le CESIN -l’association professionnelle des responsables de la cybersécurité des entreprises- alerte sur les cyberattaques via les fournisseurs ; un risque en pleine expansion qui tend à se banaliser, et qui est désormais à l’origine d’un nombre croissant d’incidents majeurs.
Le CESIN appelle à un sursaut collectif, afin d’intégrer pleinement la gestion des risques tiers dans la gouvernance des entreprises et des services publics.
Cyberattaques via les fournisseurs – un risque systémique
qui tend à se banaliser
La multiplication des attaques liées aux fournisseurs n’épargne aucun secteur. En ciblant les points de fragilité des chaines de sous-traitance, les cybercriminels destabilisent des secteurs entiers, entraînant un effet domino à l’échelle de l’économie et des sociétés. Tant que la sécurité des fournisseurs restera un angle mort de la transformation numérique, la résilience de nos entreprises et de nos services publics restera fragile.
Voici quelques jours une cyberattaque a paralysé une partie des vols de l’aéroport de Bruxelles, rendant indisponibles les systèmes d’enregistrement et d’embarquement gérés par un prestataire commun à plusieurs aéroports européens. L’impact de ces attaques dépasse largement le périmètre local ou national, et démontre la dépendance critique des organisations à leurs fournisseurs de services numériques.
Ces incidents ne sont pas isolés, et l’histoire récente regorge d’exemples qui illustrent la vulnérabilité des chaînes de sous-traitance. Sujet de préoccupation majeur pour le CESIN et ses membres, on se souvient de l’attaque SolarWinds en 2020, qui avait permis d’infiltrer près de 18000 organisations dans le monde, dont des administrations et entreprises stratégiques, via une simple mise à jour logicielle compromise. Ou encore, de l’ampleur de l’attaque MOVEit en 2023, qui exploitait une vulnérabilité dans une solution de transfert de fichiers massivement utilisée, cette dernière avait affecté plus de 2500 organisations internationales, parmi lesquelles de nombreuses entreprises françaises. En France, plusieurs hôpitaux avaient dû interrompre ou ralentir leurs services en 2024 après des attaques ayant visé leurs prestataires techniques. Dans le secteur industriel, des groupes de premier plan subissent des arrêts de production ou des fuites de données, à la suite d’attaques indirectes passant par leurs fournisseurs.
Les données issues du baromètre CESIN-OpinionWay confirment cette tendance, plus d’une entreprise française sur deux a déjà subi une cyberattaque impliquant un fournisseur. Or, le coût économique, opérationnel et réputationnel de ces incidents est considérable, et leur fréquence croît d’année en année. Il ne s’agit plus d’alertes ponctuelles, mais d’un risque désormais systémique, qui menace l’ensemble de l’économie et des services publics.
Le CESIN rappelle que la cybersécurité ne peut pas se limiter à protéger le seul périmètre interne de l’entreprise. La surface d’attaque est étendue aux prestataires, aux partenaires, aux éditeurs de logiciels et à tous les tiers connectés. Or, la gouvernance et la responsabilité sur ces risques restent encore trop fragmentées. Trop souvent, les RSSI se retrouvent en première ligne, sommés de gérer les crises dans l’urgence, sans disposer de leviers suffisants pour imposer des standards à leurs partenaires.
« Lorsque un fournisseur est compromis, nous pouvons encore échanger et réagir, mais la cybersécurité ne s’arrête pas au premier cercle contractuel. Quand le sous-traitant d’un fournisseur est touché, nous n’avons plus de prise directe sur la situation, et l’absence de lien contractuel complique la remontée d’information, retarde l’évaluation des impacts et la crise devient opaque. » précise Fabrice Bru, Président du CESIN.
Le CESIN appelle à un sursaut collectif, qui doit se traduire par une campagne d’actions à plusieurs niveaux. Les entreprises doivent intégrer pleinement la gestion des risques fournisseurs dans leur gouvernance et dans leurs comités de direction. Les décideurs doivent assumer leur responsabilité et exiger des standards de sécurité plus stricts dans les relations contractuelles. Les pouvoirs publics doivent mettre en place des cadres réglementaires adaptés, qui favorisent la transparence, la vérification et l’audit partagé des prestataires critiques. Enfin, des mécanismes de résilience doivent être pensés afin de limiter ces effets domino qui résultent d’une dépendance excessive à quelques fournisseurs stratégiques.
Le RSSI n’est pas seulement un pompier chargé d’éteindre les incendies. Il doit être reconnu comme un acteur stratégique, capable de porter des propositions de gouvernance et de contribuer à définir une politique claire de maîtrise des risques liés aux tiers. Les directions générales doivent le soutenir dans ce rôle et inscrire la cybersécurité au cœur de leur stratégie d’entreprise.
La prochaine crise majeure ne viendra peut-être pas d’une attaque frontale, mais d’un fournisseur négligé. C’est aussi là que se joue la prochaine bataille pour améliorer la cybersécurité.