un risque systémique qui tend à se banaliser
Le CESIN appelle à un sursaut collectif
La multiplication des attaques liées aux fournisseurs n’épargne aucun secteur. En ciblant les points de fragilité des chaines de sous-traitance, les cybercriminels déstabilisent des secteurs entiers, entraînant un effet domino à l’échelle de l’économie et des sociétés. Tant que la sécurité des fournisseurs restera un angle mort de la transformation numérique, la résilience de nos entreprises et de nos services publics restera fragile.
Voici quelques jours une cyberattaque a paralysé une partie des vols de l’aéroport de Bruxelles, rendant indisponibles les systèmes d’enregistrement et d’embarquement gérés par un prestataire commun à plusieurs aéroports européens. L’impact de ces attaques dépasse largement le périmètre local ou national, et démontre la dépendance critique des organisations à leurs fournisseurs de services numériques.
Ces incidents ne sont pas isolés, et l’histoire récente regorge d’exemples qui illustrent la vulnérabilité des chaînes de sous-traitance. Sujet de préoccupation majeur pour le CESIN et ses membres, on se souvient de l’attaque SolarWinds en 2020, qui avait permis d’infiltrer près de 18000 organisations dans le monde, dont des administrations et entreprises stratégiques, via une simple mise à jour logicielle compromise. Ou encore, de l’ampleur de l’attaque MOVEit en 2023, qui exploitait une vulnérabilité dans une solution de transfert de fichiers massivement utilisée, cette dernière avait affecté plus de 2500 organisations internationales, parmi lesquelles de nombreuses entreprises françaises. En France, plusieurs hôpitaux avaient dû interrompre ou ralentir leurs services en 2024 après des attaques ayant visé leurs prestataires techniques. Dans le secteur industriel, des groupes de premier plan subissent des arrêts de production ou des fuites de données, à la suite d’attaques indirectes passant par leurs fournisseurs.
Les données issues du baromètre CESIN-OpinionWay confirment cette tendance, plus d’une entreprise française sur deux a déjà subi une cyberattaque impliquant un fournisseur. Or, le coût économique, opérationnel et réputationnel de ces incidents est considérable, et leur fréquence croît d’année en année. Il ne s’agit plus d’alertes ponctuelles, mais d’un risque désormais systémique, qui menace l’ensemble de l’économie et des services publics.
Le CESIN rappelle que la cybersécurité ne peut pas se limiter à protéger le seul périmètre interne de l’entreprise. La surface d’attaque est étendue aux prestataires, aux partenaires, aux éditeurs de logiciels et à tous les tiers connectés. Or, la gouvernance et la responsabilité sur ces risques restent encore trop fragmentées. Trop souvent, les RSSI se retrouvent en première ligne, sommés de gérer les crises dans l’urgence, sans disposer de leviers suffisants pour imposer des standards à leurs partenaires.
« Lorsque un fournisseur est compromis, nous pouvons encore échanger et réagir, mais la cybersécurité ne s’arrête pas au premier cercle contractuel. Quand le sous-traitant d’un fournisseur est touché, nous n’avons plus de prise directe sur la situation, et l’absence de lien contractuel complique la remontée d’information, retarde l’évaluation des impacts et la crise devient opaque. » précise Fabrice Bru, Président du CESIN.
Le CESIN appelle à un sursaut collectif, qui doit se traduire par une campagne d’actions à plusieurs niveaux. Les entreprises doivent intégrer pleinement la gestion des risques fournisseurs dans leur gouvernance et dans leurs comités de direction. Les décideurs doivent assumer leur responsabilité et exiger des standards de sécurité plus stricts dans les relations contractuelles. Les pouvoirs publics doivent mettre en place des cadres réglementaires adaptés, qui favorisent la transparence, la vérification et l’audit partagé des prestataires critiques. Enfin, des mécanismes de résilience doivent être pensés afin de limiter ces effets domino qui résultent d’une dépendance excessive à quelques fournisseurs stratégiques.
Le RSSI n’est pas seulement un pompier chargé d’éteindre les incendies. Il doit être reconnu comme un acteur stratégique, capable de porter des propositions de gouvernance et de contribuer à définir une politique claire de maîtrise des risques liés aux tiers. Les directions générales doivent le soutenir dans ce rôle et inscrire la cybersécurité au cœur de leur stratégie d’entreprise.
La prochaine crise majeure ne viendra peut-être pas d’une attaque frontale, mais d’un fournisseur négligé. C’est aussi là que se joue la prochaine bataille pour améliorer la cybersécurité.
A propos du CESIN
Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) est une association loi 1901, créée en juillet 2012, avec des objectifs de professionnalisation et de promotion de la cybersécurité. Lieu d’échange, de partage de connaissances et d’expériences, le CESIN permet la coopération entre experts de la sécurité de l’information et du numérique, et entre ces experts et les pouvoirs publics. Il participe à des démarches nationales et est force de proposition sur des textes réglementaires, guides et autres référentiels. Le CESIN compte parmi ses membres plusieurs organismes et institutions, comme l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), Gendarmerie Nationale, Commandement Cyber, Gendarmerie, Commission Nationale de l’Informatique et des Libertés (CNIL), Gimelec, Préfecture de Police, Police Judiciaire, Cybermalveillance.gouv.fr, Ministère de la Justice, Ministère de l’Intérieur.
Le CESIN rassemble plus de 1 200 membres issus de tous secteurs d’activité, industries, Ministères et entreprises, dont CAC40 et SBF120.
Pour en savoir plus www.cesin.fr