Concept NIS2
Sécurité de la chaîne d'approvisionnement (cybersécurité)
La sécurité de la chaîne d'approvisionnement désigne l'ensemble des mesures techniques et organisationnelles visant à maîtriser les risques cyber liés aux fournisseurs, prestataires et sous-traitants d'une entité. Elle couvre la sélection, l'évaluation continue et la contractualisation des tiers qui participent à la production de services critiques ou fournissent des équipements, logiciels et services numériques. 62 % des organisations ont été impactées par une attaque de rançongiciel provenant d'un partenaire de leur chaîne logicielle en 2024, confirmant que ce vecteur est devenu un enjeu majeur de cyberdéfense.
Origine et périmètre
Selon l'ANSSI, les attaquants ciblent désormais les prestataires, fournisseurs, sous-traitants et l'écosystème plus large de leurs cibles. Le concept de « supply chain security » englobe deux chaînes distinctes : la chaîne de valeur (partenaires interconnectés au SI pour la production) et la chaîne de sous-traitance (fournisseurs de solutions numériques sans interconnexion directe mais introduisant du risque par le code, les équipements ou les données). Les attaques exploitent la confiance et la dépendance : compromission de mises à jour logicielles, backdoors dans des bibliothèques open source, ou accès détourné via les identifiants d'un prestataire tiers. Entre janvier 2020 et juillet 2021, 24 attaques de la chaîne d'approvisionnement ont été documentées par l'ENISA, avec une tendance exponentielle depuis.
Lien avec NIS2
L'Article 21 paragraphe 2 (d) de NIS2 impose de sécuriser la chaîne d'approvisionnement, y compris les aspects liés aux relations avec les fournisseurs et prestataires directs. Les entités essentielles et importantes doivent désormais évaluer les vulnérabilités propres à chaque fournisseur, la qualité de leurs pratiques cyber et leurs processus de développement sécurisé. Elles doivent tenir compte des résultats des évaluations coordonnées de risques de chaînes critiques menées au titre de l'Article 22. Concrètement : politique formalisée de sécurité fournisseurs, clauses contractuelles de sécurité minimale, due diligence régulière (Third-Party Risk Management – TPRM), inventaire logiciel (SBOM) et suivi continu. Voir la fiche [/mesures/securite-chaine-approvisionnement] pour les obligations opérationnelles.
Pour aller plus loin
- Panorama de la menace 2022 – ANSSI (PDF)
- NIS2 Directive Article 21 (EUR-Lex)