La chaîne d’approvisionnement est devenue l’un des maillons les plus vulnérables de la cybersécurité des entreprises, mais le problème dépasse désormais le technique. Il est aussi humain. Les entreprises dépendent de dizaines de fournisseurs de logiciels, de plateformes cloud, d’intégrateurs, de cabinets de conseil et de contractants ayant accès à leurs systèmes internes. Pourtant, nombreuses sont celles qui manquent de professionnels qualifiés pour vérifier, surveiller et gouverner cet ensemble de relations numériques.
Le dernier rapport mondial de Kaspersky, Supply chain reaction met en lumière une tension que beaucoup d’équipes de sécurité connaissent bien. 42 % des organisations considèrent le manque de personnel qualifié comme l’un des principaux obstacles à la protection contre les attaques ciblant la chaîne d’approvisionnement. La même proportion indique que d’autres priorités sécurité absorbent déjà leurs ressources disponibles.
Ce chiffre est important car les attaques visant la chaîne d’approvisionnement ne sont pas marginales. Selon l’étude, elles ont été le type de cyberattaque le plus répandu au cours des 12 derniers mois, touchant 31 % des entreprises. Les attaques basées sur des relations de confiance ont affecté 25 %. Pourtant, seules 9 % des sociétés classent la chaîne d’approvisionnement parmi les menaces les plus dangereuses — une sous-estimation qui entretient le risque.
De multiples dépendances, peu d’équipes pour les contrôler
L’entreprise moderne ne fonctionne plus en autonomie. Elle utilise des logiciels externes, des plateformes SaaS, des clouds publics, des services gérés, des API, des outils collaboratifs, des fournisseurs de maintenance, des partenaires de développement et des contractants spécialisés. Chacune de ces composantes peut être essentielle à l’exploitation, mais élargit aussi la surface d’attaque.
Selon Kaspersky, les entreprises interrogées collaborent en moyenne avec plus de 60 fournisseurs de matériel et logiciels. Les contractants ayant accès aux systèmes internes se situent en général entre 25 et 99, avec une moyenne de 72. Cette volumétrie exige un inventaire précis, la vérification des permissions, des contrôles d’accès, de la surveillance, des audits, des clauses contractuelles et un suivi continu.
Le problème : beaucoup d’équipes de sécurité ne parviennent pas à suivre. La même équipe chargée des ransomwares, du phishing, des vulnérabilités critiques, des incidents cloud, de la conformité, de la sécurité des endpoints et des menaces liées à l’IA doit aussi évaluer les tiers. En pratique, la sécurité fournisseurs reste souvent noyée entre les achats, le juridique, l’IT et le SOC — sans disposer d’une fonction suffisamment structurée. Sur ce défi de gestion des risques SOC, voir aussi comment Niagara Networks cherche à améliorer la visibilité réseau des équipes SOC.
| Indicateur du rapport Kaspersky | Donnée clé |
|---|---|
| Entreprises affectées par des attaques supply chain | 31 % |
| Entreprises touchées par des attaques sur relations de confiance | 25 % |
| Organisations qui souhaitent renforcer leur protection | 85 % |
| Entreprises estiment leurs mesures actuelles efficaces | 15 % |
| Fournisseurs matériel/logiciels par entreprise (moyenne) | Plus de 60 |
| Contractants avec accès aux systèmes internes (moyenne) | 72 |
| Entreprises signalant un manque de personnel qualifié | 42 % |
Ce déficit de talents touche aussi la mise en œuvre des contrôles fondamentaux. Seuls 38 % des organisations utilisent l’authentification à double facteur comme mesure contre les risques supply chain. 37 % intègrent des clauses de sécurité dans leurs contrats fournisseurs, et 35 % vérifient régulièrement le niveau de cybersécurité de leurs partenaires. Des pratiques connues, mais peu généralisées. Seulement 28 % évaluent la fiabilité de leurs fournisseurs avant de collaborer, et à peine 18 % vérifient spécifiquement leur maturité en cybersécurité.
La pénurie de professionnels se transforme en dette sécurité
Ce manque de spécialistes ne se traduit pas seulement par des tâches ralentie s. Il crée une dette sécurité réelle et cumulative. Un fournisseur intégré sans diagnostic approfondi, un compte de service aux permissions trop larges, une intégration mal documentée, un accès distant actif après la fin d’un projet, une clause de notification d’incidents absente du contrat, un fournisseur critique non réévalué depuis des années.
Pris un par un, ces écarts semblent gérables. Multipliés sur des dizaines de fournisseurs et des centaines d’accès, ils forment un réseau de confiance difficile à auditer. La chaîne d’approvisionnement cesse alors d’être une liste de tiers pour devenir un périmètre opaque.
Selon le rapport, 39 % des organisations signalent l’absence d’obligations légales de cybersécurité dans leurs contrats fournisseurs. 32 % indiquent que leur personnel non spécialisé en sécurité ne comprend pas bien ces risques. Ce double déficit — experts et culture sécurité — fragilise l’ensemble du processus d’approvisionnement.
Automatisation utile, jugement humain indispensable
La pénurie pousse beaucoup d’entreprises vers plus d’automatisation : XDR, MXDR, NDR, threat intelligence, surveillance continue, scoring des tiers ou services gérés. C’est une réponse légitime. Dans un environnement à effectif limité, externaliser une partie de la détection, de l’investigation et de la réponse réduit les délais et améliore la couverture. Sur ce sujet, voir comment SentinelOne intègre son EDR avec IA à AWS Security Hub pour centraliser la détection.
Mais l’automatisation ne règle pas le problème de fond. Un outil peut identifier un comportement anormal, relier des événements ou surveiller des identifiants compromis. Il ne peut pas décider quels fournisseurs sont critiques, quels accès doivent être révoqués, quelles clauses manquent dans un contrat ou quelles dépendances doivent être acceptées pour des raisons commerciales. L’intervention humaine reste indispensable.
Kaspersky recommande une approche en couches : évaluer les fournisseurs avant signature, inclure des obligations de sécurité dans les contrats, appliquer le principe du moindre privilège et le zéro confiance, renforcer la gestion des identités, surveiller en continu, améliorer la visibilité réseau et élaborer des plans d’action précis pour les incidents liés à la chaîne d’approvisionnement.
| Zone critique | Ce qu’elle nécessite |
|---|---|
| Achats technologiques | Évaluation cybersécurité avant signature |
| Juridique et conformité | Clauses de sécurité, audits, gestion d’incidents |
| IT et architecture | Inventaire des connexions et accès |
| SOC | Surveillance des activités des tiers |
| Identité | Moindre privilège, MFA, révisions régulières |
| Direction | Priorisation budgétaire et gouvernance des risques |
La sécurité fournisseur, futur avantage concurrentiel
Une donnée intéressante du rapport : 69 % des organisations seraient prêtes à partager les coûts de cybersécurité avec leurs fournisseurs si cela renforçait leur protection, et 25 % le font déjà. Cela témoigne d’une évolution de mentalité : dans certains cas, exiger la sécurité d’un prestataire critique ne suffit pas — il faut aussi l’accompagner pour l’atteindre.
Ce principe concerne directement les petits fournisseurs offrant des services essentiels à de grands groupes. Une PME technologique peut avoir une expertise pointue mais manquer de ressources pour maintenir une équipe sécurité solide. Si cette PME devient un maillon critique, le client a deux options : assumer le risque ou collaborer pour le réduire.
La sécurité de la chaîne d’approvisionnement évolue d’un critère de conformité vers un avantage concurrentiel. Les entreprises capables de démontrer de bonnes pratiques, une transparence totale et une capacité à réagir rapidement auront un avantage sur leurs concurrents. Être un fournisseur sécurisé commencera à compter autant qu’être économique, rapide ou fonctionnel.
Le rapport de Kaspersky envoie un message clair à l’industrie : la chaîne d’approvisionnement est aujourd’hui l’un des vecteurs principaux d’attaque, mais les organisations n’y consacrent pas encore le personnel, les processus ni la priorité qu’elle mérite. La pénurie de talents en cybersécurité ne concerne pas seulement les entreprises qui ne recrutent pas — elle fragilise tout le réseau de dépendances numériques.
Questions fréquentes
Pourquoi manque-t-il de professionnels pour gérer la sécurité des fournisseurs ?
Parce que la sécurité des tiers exige des profils capables de combiner connaissances techniques, juridiques, gestion des risques, cloud, identité, surveillance et réponse aux incidents. La plupart des équipes sécurité sont déjà saturées par d’autres priorités.
Quel est le risque concret de ne pas bien vérifier ses fournisseurs ?
Un fournisseur avec un compte compromis, une mauvaise configuration cloud, une vulnérabilité non corrigée ou des permissions excessives peut devenir la porte d’entrée vers l’ensemble de l’organisation cliente.
Quelles mesures fondamentales recommande Kaspersky ?
Inventaire des fournisseurs et accès, MFA, principe du moindre privilège, clauses contractuelles de sécurité, évaluation préalable, surveillance continue et plans de réponse incluant la déconnexion rapide si nécessaire.
L’automatisation peut-elle compenser le manque de talents ?
Partiellement. XDR, MXDR, NDR et threat intelligence aident, mais ne remplacent pas le jugement humain pour hiérarchiser les risques, négocier les obligations contractuelles et prendre des décisions stratégiques sur les dépendances critiques.
Source : Open Security
