Skip to content

Supply chain attack : cartographier les risques de vos fournisseurs avec l’EASM

SolarWinds, Kaseya, MOVEit : les supply chain attacks ont prouvé qu'un fournisseur compromis peut détruire des milliers d'organisations. L'EASM vous permet de surveiller la surface d'attaque de vos prestataires critiques.

Sarah Mansouri
Sarah Mansouri
4 mars 20256 min
Supply chain attack : cartographier les risques de vos fournisseurs avec l’EASM

Supply chain attacks : la menace qui vient de vos partenaires

Une supply chain attack consiste à compromettre un fournisseur de confiance pour accéder à ses clients. En 2025, c'est l'un des vecteurs d'attaque les plus redoutés car il contourne les défenses périmétriques classiques.

Les cas marquants qui ont tout changé

  • SolarWinds (2020) : 18 000 clients touchés via une mise à jour de logiciel compromise
  • Kaseya (2021) : 1 500 entreprises touchées via un MSP compromis
  • MOVEit (2023) : 2 500+ organisations touchées via une vulnérabilité dans un outil de transfert de fichiers
  • XZ Utils (2024) : backdoor injéctée dans une librairie open source utilisée par des millions de systèmes Linux

Pourquoi votre surface d'attaque inclut celle de vos fournisseurs

Chaque fournisseur ayant accès à votre SI est une extension de votre surface d'attaque. Les points d'entrée via les tiers incluent :

  • Accès VPN ou RDP accordés aux prestataires
  • Connecteurs API entre vos systèmes et les leurs
  • Partage de données via des plateformes tierces
  • Logiciels installés sur vos équipements (agents, outils de monitoring)

Comment l'EASM cartographie les risques tiers

1. Identification des fournisseurs critiques

Pour chaque fournisseur ayant accès à votre SI ou traité vos données, Breach Atlas peut analyser :

  • Les domaines et IPs associés au fournisseur
  • Leur surface d'attaque externe visible
  • Les CVE critiques non patchées sur leur infrastructure

2. Scoring de risque tiers

NiveauCritèresAction recommandée
🔴 CritiqueCVE CVSS>9, RDP exposé, credentials fuitésNotification immédiate + audit
🟠 ÉlevéCVE CVSS 7-9, services exposésDemande de remédiation sous 30j
🟡 MoyenConfigs sub-optimalesÉvaluation périodique
🟢 FaibleBonne postureSurveillance trimestrielle

3. Alertes en temps réel

Breach Atlas envoie des alertes automatiques quand la surface d'attaque d'un fournisseur surveillé se dégrade : nouvelle CVE critique, nouveau service exposé, fuite de credentials.

Ce que NIS2 et DORA exigent sur les tiers

NIS2 (Article 21c) : Évaluation des risques liés à la chaîne d'approvisionnement, clauses contractuelles de sécurité.

DORA (Pilier 4) : Registre des prestataires ICT tiers, évaluation des risques, procédures de sortie.

La check-list du risque tiers avec l'EASM

  • Inventaire des fournisseurs critiques avec accès SI
  • Scan EASM sur les domaines de chaque fournisseur critique
  • Définition des seuils d'alerte (CVSS > 7 = notification)
  • Clauses contractuelles de notification d'incident
  • Procédures de réponse en cas de compromission tiers

Conclusion

Vous ne pouvez pas contrôler la sécurité de vos fournisseurs, mais vous pouvez surveiller leur exposition externe. L'EASM vous donne la visibilité nécessaire pour détecter une dégradation avant qu'elle ne se transforme en incident chez vous.

Mots-clés : supply chain attack EASM, risque fournisseurs cybersécurité, surveillance tiers EASM, NIS2 DORA risques tiers, SolarWinds MOVEit supply chain

← Retour au blog