La chaîne d’approvisionnement est devenue l’un des maillons les plus vulnérables de la cybersécurité des entreprises, mais le problème ne se limite plus à l’aspect technique. Il devient également humain. Les entreprises dépendent de dizaines de fournisseurs de logiciels, de plateformes cloud, d’intégrateurs, de cabinets de conseil et de contractants ayant accès à leurs systèmes internes. Pourtant, nombreuses sont celles qui manquent de professionnels qualifiés pour vérifier, surveiller et gouverner cet écosystème de relations numériques.
Le dernier rapport mondial de Kaspersky, Supply chain reaction: ensuring the security of the global digital ecosystem in an era of interdependence met en lumière une tension que beaucoup d’équipes de sécurité connaissent bien. 42 % des organisations considèrent le manque de personnel qualifié comme l’un des principaux obstacles à la protection contre les attaques ciblant la chaîne d’approvisionnement et les relations de confiance. La même proportion indique que d’autres priorités en matière de sécurité absorbent déjà leurs ressources disponibles.
Ce chiffre est important car les attaques dirigées contre la chaîne d’approvisionnement ne sont pas marginales. Selon l’étude, elles ont été le type de cyberattaque le plus répandu auprès des entreprises au cours des 12 derniers mois, affectant 31 % d’entre elles. Les attaques basées sur des relations de confiance ont touché 25 %. Pourtant, seules 9 % des sociétés classent la chaîne d’approvisionnement parmi les menaces les plus dangereuses, révélant une sous-estimation contribuant au risque persistant.
De multiples dépendances, peu d’équipes pour les contrôler
L’entreprise moderne ne fonctionne plus en autonomie. Elle utilise des logiciels externes, des plateformes SaaS, des clouds publics, des services gérés, des API, des outils collaboratifs, des fournisseurs de maintenance, des partenaires de développement et des contractants spécialisés. Chacune de ces composantes peut s’avérer essentielle pour l’exploitation, mais élargit également la surface d’attaque.
Selon Kaspersky, en moyenne, les entreprises interrogées collaborent avec plus de 60 fournisseurs de matériel et logiciels. De plus, les contractants ayant accès aux systèmes internes se situent généralement entre 25 et 99, avec une moyenne de 72. Une telle volumétrie exige un inventaire précis, la vérification des permissions, des contrôles d’accès, de la surveillance, des audits, des clauses contractuelles, des plans d’intervention et un suivi continu.
Le problème réside dans le fait que de nombreuses équipes de sécurité ne parviennent pas à suivre. La même équipe chargée de faire face aux ransomwares, phishing, vulnérabilités critiques, incidents cloud, conformité, sécurité des endpoints, gestion des identités et menaces liées à l’IA doit aussi effectuer l’évaluation des tiers. En pratique, la sécurité des fournisseurs reste souvent noyée entre les achats, le juridique, l’IT et le SOC, sans disposer d’une fonction suffisamment apte à la gestion intégrale.
| Indicateur du rapport | Donnée principale |
|---|---|
| Entreprises affectées par des attaques à la chaîne d’approvisionnement | 31 % |
| Entreprises touchées par des attaques sur des relations de confiance | 25 % |
| Organisations nécessitant un renforcement de leur protection | 85 % |
| Entreprises estimant que leurs mesures actuelles sont efficaces | 15 % |
| Fournisseurs de matériel et logiciels par entreprise | Plus de 60 en moyenne |
| Contractants avec accès aux systèmes internes | 72 en moyenne |
| Entreprises signalant un manque de personnel qualifié | 42 % |
Ce déficit de talents impacte aussi bien la mise en œuvre de contrôles fondamentaux. Seuls 38 % des organisations utilisent l’authentification à double facteur comme mesure contre les risques liés à la chaîne d’approvisionnement et aux relations de confiance. 37 % intègrent des clauses de sécurité dans leurs contrats avec les fournisseurs, et 35 % vérifient régulièrement le niveau de cybersécurité de leurs partenaires. Des pratiques connues, mais encore peu généralisées.
Et ce n’est pas tout : seulement 28 % évaluent la fiabilité de leurs fournisseurs avant de collaborer, et à peine 18 % vérifient spécifiquement leur maturité en cybersécurité. Beaucoup encore jugent leurs tiers selon le prix, la solvabilité ou la réputation, mais négligent la sécurité réelle des systèmes qu’ils connecteront à leur propre infrastructure.
La pénurie de professionnels transforme le risque en dette accumulée
Ce manque de spécialistes ne se limite pas à des tâches plus lentes. Il entraîne un véritable endettement en sécurité. Un fournisseur est intégré sans diagnostic approfondi, un accès à un compte de service reste trop permissif, une intégration est mal documentée, un accès distant reste actif après la fin du projet, une clause de notification d’incidents n’est pas incluse dans le contrat, ou un fournisseur critique n’est pas réévalué depuis des années.
Ces petits imprévus peuvent sembler gérables individuellement. Le problème survient lorsque leur multiplication concerne des dizaines de fournisseurs et des centaines d’accès. La chaîne d’approvisionnement cesse alors d’être une simple liste de tiers pour se transformer en un réseau de confiance difficile à auditer.
Selon le rapport, d’autres obstacles aggravent cette situation. 39 % des organisations mentionnent l’absence d’obligations légales en matière de cybersécurité dans leurs contrats avec les fournisseurs, une lacune également relevée en Espagne. 32 % indiquent que leur personnel non spécialisé en sécurité ne comprend pas bien ces risques. Ce double manque d’experts et de culture de sécurité dans les secteurs acheteurs et prestataires contribue à fragiliser l’ensemble.
Pour le secteur technologique, la conclusion est claire : le marché ne manque pas seulement d’outils, mais aussi de profils capables de les faire fonctionner, d’interpréter les risques, de négocier avec les fournisseurs et de traduire les contrôles techniques en décisions stratégiques. La sécurité de la chaîne d’approvisionnement exige des compétences en gestion d’identité, cloud, réseaux, architecture, conformité, analyse des risques, gestion contractuelle et réponse aux incidents.
L’automatisation oui, mais pas au détriment du jugement
Le déficit de talents pousse de nombreuses entreprises à privilégier des solutions plus automatisées : XDR, MXDR, NDR, threat intelligence, surveillance continue, scoring des tiers ou services gérés. Cela a du sens. Dans un environnement à effectif limité, externaliser une partie de la détection, de l’investigation et de la réponse peut réduire les délais et améliorer la couverture.
Mais l’automatisation ne règle pas le problème de fond. Un outil peut identifier un comportement anormal, relier des événements ou surveiller des identifiants compromis. Cependant, il ne peut toujours pas décider quels fournisseurs sont critiques, quels accès doivent être révoqués, quelles clauses manquent dans un contrat ou quelles dépendances doivent être acceptées pour des raisons commerciales. Enfin, l’intervention humaine reste indispensable.
Kaspersky recommande une approche en couches : évaluer les fournisseurs avant de signer, inclure des obligations de sécurité dans les contrats, appliquer le principe du moindre privilège et du zéro confiance, renforcer la gestion des identités, surveiller en continu, améliorer la visibilité réseau, utiliser l’intelligence sur l’empreinte digitale des tiers, et élaborer des plans d’action précis pour les incidents liés à la chaîne d’approvisionnement.
| Zone critique | Ce qu’elle nécessite |
|---|---|
| Achats technologiques | Évaluation de cybersécurité avant signature |
| Juridique et conformité | Clauses de sécurité, audits, gestion d’incidents |
| IT et architecture | Inventaire des connections et accès |
| SOC | Surveillance des activités des tiers |
| Identité | Principe du moindre privilège, MFA, révisions régulières |
| Direction | Priorisation budgétaire et gouvernance des risques |
L’essentiel n’est pas de tout déléguer à une check-list. Vérifier un certificat ISO, demander un test d’intrusion ou lire une politique de sécurité peut être utile, mais cela ne suffit pas en l’absence de monitoring, de revue des permissions ou de plans d’action. La sécurité des fournisseurs doit être une démarche continue, pas une image figée avant signature.
La cybersécurité comme levier concurrentiel
Une donnée intéressante du rapport : 69 % des organisations seraient prêtes à partager les coûts de cybersécurité avec leurs fournisseurs si cela permettait de renforcer leur protection, et 25 % le font déjà. Cela traduit une évolution de mentalité : en certains cas, exiger la sécurité d’un prestataire critique ne suffira pas ; il faudra aussi l’accompagner pour l’atteindre.
Ce principe peut être crucial pour les petits fournisseurs fournissant des services essentiels à de grands groupes. Une PME technologique peut posséder une expertise pointue mais manquer de ressources pour maintenir une équipe de sécurité mature. Si cette PME devient un maillon critique, le client a deux options : assumer le risque ou collaborer pour le réduire.
La cybersécurité de la chaîne d’approvisionnement évoluera d’un simple critère de conformité vers un avantage compétitif. Les entreprises capables de démontrer de bonnes pratiques, une transparence totale et une capacité à réagir rapidement auront un avantage sur leurs concurrents. Être un fournisseur sécurisé commencera à compter autant que d’être économique, rapide ou fonctionnel.
Le manque de professionnels ne constitue donc pas seulement un problème interne aux équipes de sécurité ; c’est une limite pour tout l’écosystème numérique. Sans talents suffisants, les entreprises ont du mal à évaluer leurs tiers, les fournisseurs peinent à satisfaire des exigences croissantes, et les incidents se propagent plus facilement.
Le rapport de Kaspersky envoie un message fort à l’industrie : la chaîne d’approvisionnement est désormais l’un des vecteurs principaux d’attaque, mais les organisations n’y consacrent pas encore le personnel, les processus ni la priorité qu’elle mérite. Dans un monde où tout dépend de tous, la pénurie de talents en cybersécurité ne concerne pas seulement ceux qui ne recrutent pas ; c’est une problématique systémiques qui impacte tout le réseau.
Questions fréquentes
Pourquoi manque-t-il de professionnels en cybersécurité pour la gestion des fournisseurs ?
Parce que la sécurité des tiers requiert des profils capables de combiner connaissances techniques, juridiques, gestion des risques, cloud, identité, surveillance et réponse aux incidents. Beaucoup d’entreprises ont déjà ces équipes saturées par d’autres priorités.
Quel est le risque de ne pas bien vérifier ses fournisseurs ?
Un fournisseur avec un compte compromis, une mauvaise configuration cloud, une vulnérabilité non patchée ou des permissions excessives peut devenir la porte d’entrée vers l’ensemble de l’organisation.
Quelles mesures fondamentales doivent être appliquées ?
Inventaire des fournisseurs et accès, MFA, principe du moindre privilège, clauses contractuelles de sécurité, évaluation préalable, surveillance continue et plans de réponse incluant la déconnexion rapide si nécessaire.
L’automatisation peut-elle compenser le manque de talents ?
Elle peut aider, notamment avec XDR, MXDR, NDR et threat intelligence, mais ne remplace pas le jugement humain pour hiérarchiser les risques, négocier les obligations et prendre des décisions stratégiques.
Source : Open Security