Attaque par la chaîne d'approvisionnement
Intrusion qui compromet un fournisseur amont de confiance — logiciel, SaaS, MSP — pour atteindre toutes les organisations clientes en aval.
Une attaque par la chaîne d’approvisionnement est une intrusion dans laquelle l’attaquant compromet un fournisseur amont de confiance — éditeur logiciel, application SaaS, infogéreur, dépendance open source, fournisseur matériel — pour atteindre toutes les organisations en aval qui font confiance à ce fournisseur. Les défenses de la victime finale sont largement contournées : l’attaque arrive via une mise à jour, un binaire signé, une intégration API autorisée — autant d’éléments déjà jugés dignes de confiance.
La compromission de SolarWinds Orion en 2020 reste l’exemple canonique : les attaquants ont injecté une porte dérobée dans une mise à jour produit déployée chez environ 18 000 clients, dont des agences fédérales américaines. L’incident Kaseya VSA en 2021 a propagé le rançongiciel REvil via une plateforme MSP. La compromission 3CX en 2023 enchaînait deux fournisseurs. Le Threat Landscape de l’ENISA et MITRE ATT&CK classent la compromission de chaîne d’approvisionnement parmi les vecteurs d’accès initial de premier rang.
Propriétés caractéristiques :
- Portée asymétrique. Un fournisseur compromis = des milliers de victimes. Les attaquants visent les cibles à plus fort effet de levier.
- La confiance est la charge utile. Le code est signé, l’octroi OAuK est autorisé, la mise à jour est routinière. Les défenses endpoint tendent à laisser passer.
- Plusieurs déclinaisons. Mises à jour logicielles (SolarWinds), plateformes MSP (Kaseya), paquets open source (npm, PyPI), octrois OAuth côté SaaS, implants matériels.
- Temps de présence long. La découverte prend souvent des mois. SolarWinds était actif depuis au moins neuf mois au moment de la divulgation.
- La variante SaaS est désormais dominante. Un SaaS marketing compromis avec une portée de lecture sur vos boîtes mail est une compromission de chaîne d’approvisionnement — sans qu’aucun binaire ne soit touché.
Les contre-mesures couvrent les couches techniques et humaines. NIS2 et DORA inscrivent la gestion du risque fournisseur dans le socle réglementaire pour les entités concernées ; les guides ANSSI sur le risque tiers et le NIST SP 800-161 fournissent les modes opératoires. Côté humain, le réflexe de revue des octrois OAuth, la vérification d’onboarding fournisseur et un processus pour traiter les collaborateurs externes dormants ferment la partie SaaS de la surface — celle que les questionnaires de risque fournisseur classiques manquent presque toujours.
Termes liés
- Octroi OAuthJeton d'accès qu'un utilisateur délivre à une application tierce via OAuth, donnant à cette application un droit permanent de lire ou écrire dans un SaaS — souvent au-delà du MFA, souvent à vie.
- Shadow ITLogiciels, SaaS ou services cloud utilisés dans l'organisation sans approbation IT ou sécurité — invisibles à l'inventaire, non gouvernés, rarement désactivés à la sortie.
- Rançongiciel (ransomware)Logiciel malveillant qui chiffre et/ou exfiltre des données, puis exige un paiement pour le déchiffrement ou la non-publication — l'entrée est presque toujours humaine.
- Ingénierie socialeManipuler une personne — plutôt qu'exploiter une faille logicielle — pour obtenir identifiants, argent ou accès ; la catégorie chapeau dont relèvent phishing, vishing et fraude au président.