Points clés
- De nombreuses organisations ignorent l'étendue réelle de leur dépendance aux tiers, faute d'un inventaire complet de leurs prestataires et des fonctions qu'ils supportent.
- Cette ignorance n'est pas toujours due à un manque de diligence : la complexité croissante des chaînes d'approvisionnement IT rend difficile une vision complète sans outillage dédié.
- Les dépendances indirectes — les prestataires des prestataires — sont les moins visibles et les plus fréquemment exploitées par les attaquants sophistiqués.
- Une étude Resilinc 2023 indique que 71 % des disruptions de chaînes d'approvisionnement provenaient de fournisseurs de rang 2 ou 3, non de fournisseurs directs.
- DORA reconnaît explicitement les risques de sous-traitance en cascade et impose aux entités financières de cartographier leurs dépendances au-delà du premier niveau de prestataires.
L'ignorance de la dépendance aux tiers n'est pas uniquement un problème de gouvernance. Elle reflète la complexité réelle des architectures IT modernes, dans lesquelles des services interconnectés créent des chaînes de dépendances indirectes que même les équipes techniques ont du mal à visualiser dans leur intégralité. Une organisation peut utiliser un service cloud qui lui-même repose sur un hébergeur d'infrastructure, qui lui-même utilise un fournisseur de matériel réseau — une chaîne de trois niveaux dont seul le premier est visible pour l'organisation cliente.
Comprendre cette complexité est la première étape pour la gérer. Les organisations qui investissent dans la cartographie de leurs dépendances — directes et indirectes — sont systématiquement mieux positionnées pour anticiper et contenir les impacts des incidents prestataires.
Les biais organisationnels qui alimentent l'ignorance
Plusieurs biais organisationnels contribuent à l'ignorance de la dépendance aux tiers. Le biais de familiarité : les prestataires connus depuis longtemps sont perçus comme moins risqués parce qu'ils sont familiers, même si leurs pratiques de sécurité n'ont pas été évaluées récemment. Le biais de contractualisation : un contrat en bonne et due forme crée une impression de maîtrise du risque, même en l'absence de vérification des pratiques réelles. Le biais de délégation : la conviction que le prestataire gère les risques de sa propre chaîne d'approvisionnement, sans vérification que cette conviction est fondée.
La cartographie des dépendances de rang 2 et 3
La cartographie des dépendances au-delà du premier niveau de prestataires est un défi technique et organisationnel. Sur le plan technique, des solutions comme Interos, Prevalent, ou RiskRecon croisent des données publiques pour identifier les relations entre fournisseurs et reconstituer des chaînes de dépendance. Sur le plan organisationnel, les contrats avec les prestataires critiques doivent inclure des obligations de transparence sur leurs propres sous-traitants accédant aux données ou systèmes de l'organisation cliente.
DORA impose aux entités financières de gérer le risque de concentration lié aux prestataires de rang 2 et 3 — une exigence qui nécessite de cartographier ces dépendances indirectes.
L'intelligence sur les menaces pour détecter les dépendances cachées
Les renseignements sur les menaces (Threat Intelligence) peuvent révéler des dépendances insoupçonnées. Lorsqu'un incident majeur survient chez un fournisseur de logiciels (comme lors de SolarWinds), les plateformes de CTI (Cyber Threat Intelligence) permettent aux organisations de vérifier rapidement si elles utilisent le produit ou le service concerné — même indirectement. Cette capacité de réponse rapide repose sur l'existence d'un inventaire actualisé des logiciels et services utilisés dans l'organisation.
La vulnérabilité Log4Shell (CVE-2021-44228) dans Log4j, une bibliothèque Java largement utilisée, a révélé l'étendue des dépendances cachées dans les logiciels d'entreprise. Des milliers d'applications de grandes organisations utilisaient Log4j indirectement — via des dépendances de leurs logiciels, sans en avoir conscience. L'effort d'inventaire pour identifier toutes les applications vulnérables a pris plusieurs semaines dans la plupart des grandes organisations. CISA a publié une liste de 400 produits confirmés comme vulnérables à Log4Shell.
La découverte en mars 2024 d'une backdoor délibérément insérée dans XZ Utils, une bibliothèque de compression utilisée par de nombreuses distributions Linux, illustre la profondeur des dépendances cachées dans l'infrastructure open source. Des systèmes d'entreprise dans toute l'Europe utilisaient cette bibliothèque indirectement via leurs systèmes d'exploitation — sans en avoir connaissance. La détection précoce par un ingénieur Microsoft (Andres Freund) a limité l'impact, mais l'incident a relancé le débat sur la gestion des dépendances open source dans les environnements d'entreprise.
TSMC, le principal fondeur de semi-conducteurs mondial, a développé un programme de visibilité des dépendances de sa chaîne d'approvisionnement couvrant plus de 3 000 fournisseurs dans 20 pays. Ce programme, développé en réponse aux disruptions de la pandémie et aux tensions géopolitiques, inclut une cartographie des dépendances jusqu'au rang 3 pour les composants critiques. La visibilité obtenue a permis à TSMC d'identifier des concentrations de risque géographique non anticipées et de développer des sources alternatives.