Définition

C'est quoi une supply chain attack ?

Q: Pourquoi les supply chain attacks sont si dangereuses ?

Trois raisons. (1) Démultiplication : compromettre un fournisseur permet d'atteindre des centaines à milliers de clients en une seule attaque (MOVEit a touché plus de 2 600 organisations). (2) Détection difficile : utilisation de canaux légitimes, signatures valides, comportements attendus. (3) Périmètre incontrôlable : la victime ne maîtrise pas la sécurité du fournisseur compromis.

Q: Comment se protéger contre une supply chain attack ?

Cinq leviers complémentaires. (1) Cartographie de la dépendance numérique : identifier ses fournisseurs critiques. (2) Audits de sécurité fournisseurs (clauses contractuelles, certifications ISO 27001, audits annuels). (3) Segmentation réseau : un fournisseur compromis ne doit pas accéder à tout le SI. (4) Veille active sur les CVE des produits utilisés et abonnement CERT-FR. (5) Plan de gestion de crise spécifique au scénario fournisseur compromis.

Q: Quels sont les cas célèbres de supply chain attack ?

Cas marquants : SolarWinds (2020) — compromission de l'outil de monitoring Orion, 18 000 organisations touchées dont des agences fédérales US. Kaseya (2021) — compromission d'un outil MSP, 1 500 entreprises chiffrées par REvil. MOVEit Transfer (2023) — exploitation d'un zero-day, plus de 2 600 organisations victimes via Cl0p. 3CX (2023) — compromission d'un client de communication unifié installé dans des dizaines de milliers d'entreprises.

Q: Quelles obligations réglementaires couvrent les fournisseurs ?

NIS2 (entrée en application 17 octobre 2024) impose aux entités essentielles et importantes d'évaluer et de gérer les risques liés à leurs fournisseurs critiques. Cela inclut : clauses de sécurité dans les contrats, audits réguliers, plan de notification d'incidents en cascade. DORA pour la finance impose un cadre encore plus strict avec un registre des prestataires TIC critiques et leur supervision directe.

Définition, mécanisme, cas célèbres (SolarWinds, MOVEit, 3CX, Kaseya), statistiques 2024 et 5 réflexes de protection. Tout sur l'attaque par compromission de la chaîne d'approvisionnement — la menace qui démultiplie l'impact d'une seule intrusion à des milliers d'organisations.

Lire la définition ← Retour Crise cyber

Benoît Labalette

SCOPIC · Twist

📅 Publié le 25 avril 2026 ⏱ ≈ 5 min

C'est quoi une supply chain attack ?

Une attaque supply chain (ou attaque par compromission de la chaîne d'approvisionnement) consiste à compromettre un fournisseur logiciel, un prestataire ou un sous-traitant pour atteindre ses clients via la relation de confiance. Particulièrement difficile à détecter — elle utilise des canaux légitimes (mises à jour signées, accès délégués, infogérance).

La supply chain attack démultiplie l'impact d'une seule intrusion à des milliers d'organisations. Compromettre un fournisseur unique permet d'atteindre potentiellement l'ensemble de sa base clients — d'où sa valeur stratégique pour les attaquants étatiques (cas SolarWinds 2020) ou les groupes de ransomware (cas Kaseya 2021, MOVEit 2023). NIS2 et DORA imposent désormais des obligations strictes de gestion du risque fournisseur. Pour la dimension organisationnelle complète, voir crise cyber.

Mécanisme

Comment fonctionne une attaque supply chain

3 vecteurs principaux

Compromission de l'éditeur logiciel. L'attaquant infiltre l'environnement de développement et insère du code malveillant dans une mise à jour officielle, signée légitimement (cas SolarWinds Orion).
Compromission d'un prestataire MSP / infogérant. L'attaquant compromet un fournisseur d'infogérance qui dispose d'accès à dizaines ou centaines de clients (cas Kaseya).
Exploitation d'un produit utilisé par de nombreuses organisations. Découverte d'une vulnérabilité zero-day dans un logiciel répandu, exploitation avant patch (cas MOVEit Transfer).

Pourquoi c'est dévastateur

Une seule intrusion peut toucher des centaines à des milliers d'organisations. MOVEit a compromis 2 600+ organisations, SolarWinds 18 000 clients dont des agences fédérales américaines. Aucune solution de défense côté client ne protège complètement contre un fournisseur compromis.

Statistiques

La supply chain attack en chiffres

+ 50 %

progression annuelle des supply chain attacks depuis 2020

CERT-FR · 2024

2 600+

organisations victimes de l'exploitation MOVEit (2023)

Cl0p ransomware

~40 %

des cyberattaques majeures impliquent un tiers compromis

ENISA · 2024

Cas célèbres

Les supply chain attacks marquantes

2020 · APT étatique

SolarWinds Orion

Compromission de l'outil de monitoring SolarWinds. 18 000 clients touchés dont Microsoft, Cisco, agences fédérales US. Attribué à APT29 (SVR russe).

2021 · Ransomware

Kaseya VSA

Compromission d'un outil MSP. 1 500 entreprises chiffrées simultanément par REvil. Rançon globale demandée : 70 M$.

2023 · Zero-day exploit

MOVEit Transfer

Exploitation d'un zero-day par Cl0p. Plus de 2 600 organisations victimes via leur fournisseur de transfert de fichiers, dont plusieurs administrations françaises.

2023 · Logiciel UC

3CX

Client de communication unifié installé dans des dizaines de milliers d'entreprises. Compromission via une attaque supply chain en cascade (X_Trader compromis avant 3CX).

2024 · Bibliothèque open source

XZ Utils backdoor

Tentative de backdoor dans une bibliothèque utilisée massivement sur Linux. Découverte fortuite par un développeur Microsoft. A failli compromettre l'écosystème Linux mondial.

2024 · Plateforme cloud

Snowflake

Vol de credentials de clients Snowflake (sans MFA). Plus de 165 organisations victimes dont Ticketmaster, AT&T, Santander.

Action ⚡

5 réflexes pour se protéger contre les supply chain attacks

Cartographie des dépendances

Identifier ses fournisseurs critiques et le périmètre d'accès de chacun. Mise à jour annuelle minimum.

Audits fournisseurs

Clauses de sécurité contractuelles, exigence de certifications (ISO 27001, SOC 2), audits annuels des fournisseurs critiques.

Segmentation réseau

Un fournisseur compromis ne doit pas pouvoir accéder à tout le SI. Principe du moindre privilège strictement appliqué.

Veille CVE active

Abonnement CERT-FR, monitoring des CVE des produits utilisés, patch management discipliné particulièrement sur les outils tiers.

Plan de crise « fournisseur compromis »

Scénario spécifique testé en exercice — quoi faire si un de vos prestataires critiques est compromis et a accès à votre SI.

Approche Twist

L'approche Twist face aux supply chain attacks

Twist intervient sur la dimension organisationnelle et contractuelle de la gestion du risque fournisseur cyber.

Cartographie des dépendances numériques : ateliers avec achats, DSI et métiers pour identifier les points de fragilité.
Clauses contractuelles type : modèle de clauses cyber-sécurité à intégrer aux contrats fournisseurs (notification d'incident, droit d'audit, conformité ISO 27001).
Exercice « fournisseur compromis » : simulation d'un cas où un prestataire critique annonce une compromission. Test de la chaîne notification → impact → décision.

Questions fréquentes

FAQ Supply chain attack

C'est quoi une supply chain attack ?

Une attaque supply chain compromet un fournisseur (éditeur logiciel, infogérant, prestataire) pour atteindre ses clients via la relation de confiance. L'attaquant utilise des canaux légitimes — mises à jour signées, accès délégués — ce qui rend la détection particulièrement difficile. Croissance forte depuis 2020 (cas SolarWinds, Kaseya, MOVEit, 3CX).

Pourquoi les supply chain attacks sont si dangereuses ?

Trois raisons. (1) Démultiplication : compromettre un fournisseur permet d'atteindre des centaines à milliers de clients en une seule attaque (MOVEit a touché plus de 2 600 organisations). (2) Détection difficile : utilisation de canaux légitimes, signatures valides. (3) Périmètre incontrôlable : la victime ne maîtrise pas la sécurité du fournisseur compromis.

Comment se protéger contre une supply chain attack ?

Cinq leviers : cartographie de la dépendance numérique, audits de sécurité fournisseurs (clauses contractuelles, certifications ISO 27001), segmentation réseau, veille CVE active, plan de gestion de crise spécifique au scénario fournisseur compromis.

Quels sont les cas célèbres de supply chain attack ?

SolarWinds (2020) — 18 000 organisations touchées. Kaseya (2021) — 1 500 entreprises chiffrées par REvil. MOVEit Transfer (2023) — 2 600+ organisations victimes via Cl0p. 3CX (2023). XZ Utils (2024) — backdoor déjouée in extremis. Snowflake (2024) — vol de credentials clients.

Quelles obligations réglementaires couvrent les fournisseurs ?

NIS2 (entrée en application 17 octobre 2024) impose aux entités essentielles et importantes d'évaluer et de gérer les risques liés à leurs fournisseurs critiques. DORA pour la finance impose un cadre encore plus strict avec un registre des prestataires TIC critiques et leur supervision directe.

↩ Cette page est une définition de la sectorielle Crise cyber — retour au guide pilier pour le panorama complet.

↑ Crise cyber (sectorielle)Le panorama complet des cyberattaques. → Zero-daySouvent vecteur d'exploitation supply chain (cas MOVEit). → RansomwareCharge utile fréquente d'une attaque supply chain.

Sécuriser votre chaîne fournisseurs cyber ?

30 minutes pour cadrer vos enjeux et dessiner une trajectoire réaliste. Gratuit, sans engagement.

Discuter avec un consultant

Attaque de la chaine d’approvisionnement

C'est quoi une supply chain attack ?

C'est quoi une supply chain attack ?

Comment fonctionne une attaque supply chain

3 vecteurs principaux

Pourquoi c'est dévastateur

La supply chain attack en chiffres

Les supply chain attacks marquantes

SolarWinds Orion

Kaseya VSA

MOVEit Transfer

3CX

XZ Utils backdoor

Snowflake

5 réflexes pour se protéger contre les supply chain attacks

Cartographie des dépendances

Audits fournisseurs

Segmentation réseau

Veille CVE active

Plan de crise « fournisseur compromis »

L'approche Twist face aux supply chain attacks

FAQ Supply chain attack

Sécuriser votre chaîne fournisseurs cyber ?

Votre message à bien été envoyé