Supply chain attack : cartographier les risques de vos fournisseurs avec l'EASM
SolarWinds. Log4Shell. MOVEit. Ces attaques ont un point commun : elles ont compromis des milliers d'organisations non pas en attaquant directement leurs systèmes, mais en passant par leurs fournisseurs. Le risque tiers est devenu le vecteur d'attaque dominant.
Selon le rapport IBM Security 2024, 66% des incidents cyber impliquent la chaîne d'approvisionnement. NIS2, DORA et ISO 27001:2022 exigent désormais une évaluation formalisée de ce risque.
Pourquoi le risque tiers est difficile à gérer ?
Le problème de la visibilité
Vous pouvez contrôler votre propre infrastructure, mais vous ne pouvez pas imposer les mêmes standards de sécurité à vos 50, 100, 500 fournisseurs. Vous dépendez de leur posture de sécurité, sans la voir.
Les questionnaires ne suffisent pas
Les évaluations traditionnelles (questionnaires, certifications) sont insuffisantes : elles capturent un état à un instant T, elles sont basées sur la déclaration du fournisseur, et elles ne détectent pas les vulnérabilités techniques réelles.
Comment l'EASM évalue la surface d'attaque de vos fournisseurs ?
L'EASM analyse la surface d'attaque externe de vos fournisseurs, exactement comme il le fait pour votre propre organisation. À partir de leur domaine principal, il découvre :
- Tous les sous-domaines et actifs exposés
- Les ports et services ouverts
- Les technologies utilisées et leurs vulnérabilités
- Les certificats SSL expirés
- Les configurations à risque
Résultat : un score de posture externe pour chaque fournisseur, mis à jour en continu.
Les vecteurs d'attaque supply chain les plus courants
| Vecteur | Exemple | Indicateur EASM |
|---|---|---|
| Logiciel compromis | SolarWinds (2020) | Version vulnérable du logiciel exposée |
| Plateforme de transfert de fichiers | MOVEit (2023) | CVE critique sur service exposé |
| Bibliothèque open source | Log4Shell (2021) | Version Log4j détectée sur services |
| Accès VPN fournisseur | Target (2014) | Mauvaise configuration VPN |
| API partenaire | Nombreux cas | API sans auth, port ouvert |
Créer un programme de surveillance des tiers avec l'EASM
Étape 1 : Identifier vos fournisseurs critiques
Classez vos fournisseurs par niveau de criticité :
- Niveau 1 (Critique) : Accès à vos systèmes ou données sensibles
- Niveau 2 (Important) : Fournisseurs de services clés
- Niveau 3 (Standard) : Fournisseurs sans accès système
Étape 2 : Scanner leur surface d'attaque
Ajoutez les domaines principaux de vos fournisseurs Niveau 1 et 2 dans votre EASM. Configurez un scan hebdomadaire minimum.
Étape 3 : Établir des SLA de sécurité
Définissez des seuils acceptables de posture de sécurité. En dessous d'un score défini, déclenchement d'une discussion avec le fournisseur.
Étape 4 : Intégrer dans les contrats
Ajoutez des clauses contractuelles de surveillance et de notification en cas de dégradation significative de la posture.
Ce que NIS2 et DORA exigent pour les tiers
NIS2 (Art. 21.2.h) : Les entités concernées doivent mettre en place des mesures pour gérer les risques de sécurité liés à la chaîne d'approvisionnement.
DORA (Art. 28-30) : Les entités financières doivent maintenir un registre de leurs fournisseurs ICT critiques et évaluer leur niveau de risque.