Saepiens : hébergeur de données de santé HDS
  • 01/04/2026

Attaque supply chain : quand votre fournisseur devient une porte dérobée

  • Par Maéva MARMIN
  • 10 min
  • SÉCURITÉ & CYBERSÉCURITÉ
Illustration d’une attaque supply chain en cybersécurité : un hacker infecte une mise à jour logicielle d’un fournisseur pour infiltrer des milliers d’entreprises.
Attaque par supply chain : comment ça marche et pourquoi c'est si dangereux

En 2020, des milliers d'organisations dans le monde ont installé une mise à jour logicielle parfaitement légitime en apparence. Elle venait de leur fournisseur habituel, elle était signée, elle passait tous les contrôles. Elle était pourtant infectée depuis des mois. C'est le principe même d'une attaque par supply chain : contourner vos défenses en passant par quelqu'un en qui vous avez déjà confiance.

📖 Lexique
Supply chain (chaîne logicielle) : l'ensemble des tiers qui participent à la création ou à la distribution d'un logiciel : éditeurs, bibliothèques open source, outils de déploiement, prestataires IT.

Attaque par supply chain : une attaque qui ne cible pas directement sa victime, mais l'un de ses fournisseurs de confiance, pour l'atteindre indirectement.

C'est quoi exactement ?

Imaginez que vous sécurisez soigneusement votre maison. Votre serrurier, lui, ne ferme pas son atelier. Un attaquant s'y infiltre, copie vos clés, puis entre chez vous sans jamais forcer la porte. Ainsi, même vos meilleures mesures de protection ne servent à rien.

C'est exactement le principe. Plutôt que d'attaquer une entreprise de face, ce qui devient de plus en plus difficile, les attaquants s'en prennent à quelqu'un en qui cette entreprise a déjà confiance : un éditeur de logiciels, un outil de mise à jour, une bibliothèque open source. Autrement dit, ils exploitent la relation de confiance elle-même.

L'attaquant n'exploite pas une faille technique.
Il exploite votre confiance.

Comment ça se passe, concrètement

Étape 1 — Repérage

L'attaquant identifie d'abord un fournisseur utilisé massivement par sa cible : un logiciel de supervision, une bibliothèque intégrée dans des milliers d'applications, un outil de build.

Étape 2 — Infiltration discrète

Il s'introduit ensuite dans les systèmes du fournisseur, souvent via un simple phishing ou une faille non corrigée. Il n'agit pas encore : il attend et observe.

Étape 3 — Injection du code malveillant

Un code malveillant est alors glissé dans une mise à jour légitime. Il est signé par le certificat officiel du fournisseur, si bien qu'aucun antivirus ne lève d'alerte.

Étape 4 — Distribution automatique

La mise à jour infectée part vers tous les clients du fournisseur. Ces clients l'installent sans méfiance, car c'est leur logiciel habituel, leur routine quotidienne.

Étape 5 — Activation (des mois plus tard)

Le code se réveille enfin. L'attaquant accède simultanément à des centaines ou des milliers d'organisations. Le délai moyen avant détection est de plusieurs mois.

Ce qui rend ces attaques si redoutables : même si vous avez les meilleures défenses du monde, un fournisseur compromis vous expose directement, sans que vous ayez commis la moindre erreur.

Des attaques qui ont marqué les esprits

2020 SolarWinds 🔍 Attribuée aux services de renseignement russes (SVR)

Une backdoor insérée dans le logiciel Orion a touché 18 000 organisations, dont plusieurs agences du gouvernement américain. L'intrusion est restée active pendant 9 mois sans être détectée.

2023 3CX

Le logiciel de téléphonie 3CX, utilisé par 600 000 entreprises dans le monde, a été compromis via une bibliothèque elle-même victime d'une supply chain attack. Il s'agissait ainsi d'une attaque en cascade, un phénomène alors inédit à cette échelle.

Mars 2026 Trivy ⚠️ Attaque en cours — TeamPCP

Le scanner de vulnérabilités Docker le plus utilisé au monde a été compromis le 19 mars 2026. Un stealer de credentials injecté dans ses tags GitHub a silencieusement exfiltré tokens AWS, clés SSH et secrets Kubernetes depuis des milliers de pipelines CI/CD — pendant que le scan semblait tourner normalement.

Ces exemples ne concernent pas uniquement les grands groupes. Des incidents similaires ont touché des outils très répandus comme LiteLLM (bibliothèque d'intégration IA) ou encore Notepad++, dont de faux installateurs ont circulé avec des charges malveillantes. Par conséquent, tout logiciel que vous utilisez, aussi anodin soit-il, peut devenir un vecteur d'attaque.

Comment se protéger

Il n'existe pas de solution miracle. Cependant, plusieurs réflexes concrets permettent de réduire considérablement votre exposition :

  • Ne pas appliquer les mises à jour automatiquement en production. Testez d'abord dans un environnement isolé avant tout déploiement, afin de détecter un comportement anormal avant qu'il ne se propage.
  • Vérifier l'intégrité des fichiers (hash/checksum), pas seulement la validité du certificat. En effet, un certificat légitime ne garantit pas qu'un fichier n'a pas été altéré.
  • Appliquer le principe du moindre privilège. Chaque logiciel tiers accède uniquement aux ressources strictement nécessaires, ce qui limite mécaniquement l'impact d'une compromission.
  • Mettre en place une segmentation réseau. En isolant les différents segments de votre infrastructure, vous ralentissez et limitez la propagation latérale d'une machine compromise vers le reste du système.
  • Surveiller les comportements anormaux, même sur des logiciels connus. Un EDR/XDR détecte ce qu'un antivirus classique laisse passer, notamment les activités suspectes émanant de processus légitimes.
  • Auditer vos fournisseurs critiques. Exigez des certifications (ISO 27001) et des clauses de sécurité dans vos contrats. Un fournisseur peu rigoureux représente un risque direct pour votre organisation.
  • Maintenir un SBOM (inventaire de vos dépendances logicielles), de façon à savoir en quelques minutes si vous êtes exposé lors d'une alerte, plutôt que de devoir chercher pendant des jours.

Ce que fait Sæpiens

Logo Sæpiens
Une infrastructure pensée pour limiter les risques tiers

Nous intégrons les enjeux de supply chain security dans chaque projet d'hébergement et d'infogérance : cloisonnement des environnements, gestion contrôlée des mises à jour, surveillance comportementale 24/7, avec une infrastructure souveraine hébergée à Lyon.

  • Mises à jour validées avant tout déploiement en production
  • Segmentation réseau stricte pour limiter la propagation latérale
  • Supervision comportementale sur les processus légitimes
  • Hébergement 100% français, sans dépendances cloud étrangères

Découvrir nos offres de cybersécurité managée

FAQ

Les PME sont-elles vraiment concernées ?

Oui, et c'est souvent sous-estimé. Les PME utilisent les mêmes logiciels que les grands groupes. Elles sont parfois même ciblées comme passerelle vers leurs clients plus importants. La bonne question n'est donc pas "suis-je une cible directe ?" mais plutôt "est-ce que j'utilise des composants qui pourraient être compromis ?"

Le Zero Trust protège-t-il contre ce type d'attaque ?

Partiellement, mais c'est néanmoins l'une des meilleures défenses disponibles. En appliquant le Zero Trust aux applications tierces (droits limités, surveillance continue, vérification systématique), vous réduisez considérablement les dommages en cas de compromission d'un fournisseur.

C'est quoi un SBOM ?

Un Software Bill of Materials : l'inventaire complet des composants d'un logiciel (bibliothèques, dépendances, versions). Grâce à ce document, en cas d'alerte sur une bibliothèque compromise, vous savez en quelques minutes si vous êtes exposé, au lieu de chercher pendant des jours.

Comment savoir si l'un de mes fournisseurs a été compromis ?

C'est précisément le problème : souvent vous ne le savez pas immédiatement. Parmi les signaux à surveiller : comportements réseau anormaux depuis des processus légitimes, connexions sortantes vers des adresses inconnues, alertes EDR sur des logiciels connus. En complément, la veille sur les CVE de vos éditeurs est indispensable.

En synthèse : une attaque par supply chain exploite votre confiance envers vos fournisseurs pour vous atteindre sans jamais passer par vos défenses. Se protéger demande de raisonner au-delà de son propre périmètre : contrôle des mises à jour, segmentation réseau, audit des tiers, surveillance comportementale. Sæpiens vous accompagne dans cette démarche avec une infrastructure souveraine et une équipe dédiée.

Votre chaîne logicielle
est-elle vraiment sécurisée ?

Audit des dépendances, contrôle des mises à jour, segmentation réseau, surveillance comportementale : se protéger d'une attaque supply chain ne s'improvise pas. Sæpiens vous aide à cartographier votre exposition, à identifier les maillons faibles de votre chaîne de confiance et à déployer les bons dispositifs — avant qu'il ne soit trop tard.

Vous souhaitez évaluer la sécurité de votre chaîne logicielle et de vos fournisseurs tiers ?

ÉVALUER MON EXPOSITION
Partager LinkedIn
Saepiens : hébergeur de données de santé HDS

Saepiens.
3 Chemin de l’Industrie,
69570 Dardilly
04 37 50 36 10

Politique de Confidentialité