how to use internet.

← Retour à Arnaques & hameçonnage

Défendez votre organisation contre les arnaques professionnelles

Progression 0 / 12
Chapitres (12)

Chaîne d’approvisionnement et risques tiers

Les attaques de la chaîne d’approvisionnement exploitent les relations de confiance avec les fournisseurs pour compromettre simultanément plusieurs cibles. L’augmentation de 78 % en 2024, mise en évidence par des incidents majeurs comme Change Healthcare et CrowdStrike, démontre comment les risques tiers peuvent causer des perturbations commerciales catastrophiques.

L’ampleur du problème

Incidents majeurs de 2024 :

  • Change Healthcare : Ransomware affectant des millions de patients
  • Mise à jour CrowdStrike : Panne mondiale affectant les infrastructures critiques
  • CDK Global : Compromission du logiciel des concessionnaires automobiles
  • Backdoor XZ Utils : Tentative de compromission de la chaîne d’approvisionnement de 2,5 ans
  • Augmentation de 78 % des attaques de la chaîne d’approvisionnement dans l’ensemble

Vecteurs d’attaque

Chaîne d’approvisionnement logicielle :

  • Mises à jour/correctifs compromis
  • Bibliothèques/dépendances avec portes dérobées
  • Packages open-source malveillants
  • Compromission de l’environnement de build

Abus d’accès fournisseur :

  • Identifiants fournisseur volés
  • Accès VPN compromis
  • Mouvement latéral depuis le fournisseur
  • Vol de données via l’accès fournisseur

Chaîne d’approvisionnement matérielle :

  • Malware pré-installé
  • Firmware compromis
  • Composants contrefaits
  • Attaques d’interdiction

Évaluation des risques tiers

Évaluation de la sécurité des fournisseurs :

  • Rapports SOC 2 Type II
  • Résultats des tests de pénétration
  • Capacités de réponse aux incidents
  • Programmes de formation à la sécurité
  • Couverture d’assurance

Gestion des accès :

  • Accès privilège minimum uniquement
  • Identifiants à durée limitée
  • MFA requis
  • Révisions d’accès régulières
  • Surveiller l’activité des fournisseurs

Exigences contractuelles :

  • Clauses de normes de sécurité
  • Exigences de notification d’incident
  • Droit d’audit
  • Exigences de traitement des données
  • Dispositions de responsabilité

Stratégies de protection

Gestion des fournisseurs :

  • Catégorisation des fournisseurs basée sur le risque
  • Évaluations de sécurité annuelles
  • Surveillance continue
  • Plans de fournisseurs alternatifs
  • Révisions contractuelles régulières

Contrôles techniques :

  • Segmenter l’accès réseau des fournisseurs
  • Surveiller les connexions des fournisseurs
  • Restreindre l’accès aux données
  • Journaliser toute l’activité des fournisseurs
  • Détection d’anomalies

Réponse aux incidents :

  • Procédures de notification de violation de fournisseurs
  • Exercices de réponse conjoints
  • Chemins d’escalade clairs
  • Exercices sur table réguliers

Points clés à retenir

  • Augmentation de 78 % des attaques de la chaîne d’approvisionnement
  • La sécurité des fournisseurs est votre sécurité
  • Évaluations basées sur le risque pour tous les fournisseurs
  • Limiter et surveiller l’accès des fournisseurs
  • Exigences contractuelles pour les normes de sécurité
  • Plans de réponse aux incidents incluent des scénarios de fournisseurs
Auteur:
How To Use Internet
Dernière mise à jour:
30/11/2025