Points clés
- Les prestataires, fournisseurs et partenaires technologiques sont devenus le vecteur d'attaque le plus utilisé par les groupes cybercriminels avancés.
- 62 % des violations de données impliquent désormais un tiers selon le rapport Verizon DBIR 2023.
- L'attaque SolarWinds (2020) a compromis 18 000 organisations via la mise à jour d'un logiciel de supervision réseau — sans que les cibles aient été directement attaquées.
- La surface d'attaque via les tiers est structurellement plus difficile à contrôler que la surface interne : l'organisation n'a pas de visibilité directe sur les pratiques de sécurité de ses prestataires.
- DORA et NIS2 imposent aux organisations de gérer formellement le risque associé à leurs prestataires ICT critiques.
Les cyberattaques les plus sophistiquées de la dernière décennie — SolarWinds, Kaseya, 3CX, MOVEit — partagent une caractéristique commune : elles n'ont pas directement ciblé leur victime finale. Elles ont ciblé un prestataire de confiance, et ont progressé depuis ce prestataire vers les milliers d'organisations qui lui faisaient confiance. Cette approche est devenue la stratégie dominante des groupes APT avancés parce qu'elle exploite une faiblesse structurelle : les organisations font confiance à leurs prestataires, et cette confiance n'est pas toujours méritée.
Pour la direction, reconnaître que les prestataires constituent un périmètre de risque à part entière est la première étape d'une gestion des risques tiers efficace. Cette reconnaissance doit se traduire en processus formels, en exigences contractuelles et en capacités d'audit — non en une confiance implicite liée à l'existence d'un contrat.
L'évolution du paysage des attaques via les tiers
Les attaques via la chaîne d'approvisionnement (supply chain attacks) ont connu une augmentation de 742 % entre 2019 et 2022 selon le rapport ENISA Threat Landscape 2022. Cette augmentation reflète à la fois la généralisation de la sous-traitance IT et l'amélioration des défenses internes des grandes organisations, qui redirigent les attaquants vers des cibles plus accessibles dans la chaîne de valeur.
La sophistication de ces attaques s'est également accrue. Les attaquants ne se contentent plus de compromettre un prestataire pour accéder directement à ses clients. Ils compromettent des prestataires de rang 2 ou 3 — des fournisseurs de fournisseurs — pour atteindre des cibles de haute valeur via des chaînes de confiance indirectes. Cette profondeur des chaînes d'approvisionnement rend la gestion du risque tiers particulièrement complexe.
Les vecteurs d'intrusion les plus exploités
Plusieurs vecteurs d'intrusion via les tiers se distinguent par leur fréquence. Les mises à jour logicielles compromises sont le vecteur le plus impactant : lorsqu'un éditeur logiciel distribue une mise à jour contenant un code malveillant, tous ses clients qui appliquent automatiquement les mises à jour sont simultanément compromis. Les accès distants de maintenance sont le vecteur le plus fréquent : les systèmes de prise en main à distance des prestataires constituent des points d'entrée permanents dont la sécurité est rarement vérifiée. Les API et intégrations entre systèmes constituent un troisième vecteur de plus en plus exploité à mesure que les architectures deviennent plus interconnectées.
La responsabilité de la direction dans la gestion du risque tiers
DORA, NIS2 et les réglementations sectorielles convergent sur un point : la responsabilité de la gestion du risque tiers appartient à l'organisation cliente, pas au prestataire. L'organisation qui sous-traite une fonction critique à un prestataire ne sous-traite pas le risque associé — elle le conserve. Cette responsabilité non délégable impose une gouvernance active de la relation avec les prestataires critiques.
Le groupe APT29 (Cozy Bear, attribué au SVR russe) a compromis le pipeline de build de SolarWinds et inséré un backdoor dans les mises à jour d'Orion, un logiciel de supervision réseau utilisé par 33 000 organisations dont le Trésor américain, le Département d'État, Microsoft et FireEye. 18 000 organisations ont téléchargé la mise à jour compromise. Le backdoor SUNBURST est resté actif neuf mois avant d'être détecté. Cette attaque est considérée comme le cyberattaque de supply chain le plus sophistiqué jamais documenté.
3CX, éditeur d'un logiciel de communication d'entreprise (VoIP) utilisé par 600 000 organisations dans le monde, a distribué une version compromise de son application desktop contenant un maliciel. L'attaque, attribuée à Lazarus Group (Corée du Nord), est notable à deux titres : 3CX avait elle-même été compromise via un logiciel de trading financier (Trading Technologies) lui-même compromis — une double supply chain attack. Des dizaines de milliers d'organisations ont été exposées avant que l'alerte ne soit émise par CrowdStrike.
L'opération ShadowHammer a compromis le mécanisme de mise à jour automatique des ordinateurs ASUS (ASUS Live Update Utility), distribuant un maliciel à environ un million d'utilisateurs d'ASUS dans le monde. Les attaquants ciblaient spécifiquement un sous-ensemble d'appareils identifiés par leur adresse MAC — des cibles de haute valeur dans des organisations spécifiques en Asie-Pacifique. Cette attaque a illustré la capacité des groupes APT à utiliser des éditeurs matériels grand public comme vecteurs d'intrusion ciblée.