En décembre 2020, le monde découvre l'une des cyberattaques les plus sophistiquées de l'histoire : SolarWinds. Les hackers russes du groupe APT29 avaient infiltré les serveurs de cette société texane spécialisée dans la supervision IT, injectant du code malveillant dans une mise à jour de routine d’un logiciel. Résultat : 18 000 organisations clientes, dont le Pentagone, le département du Trésor américain ou encore Microsoft, se retrouvent compromises. Une seule entreprise, représentant une infime partie de l'écosystème technologique mondial, est devenue le point d'entrée vers les systèmes les plus sensibles de la planète.
Cinq ans plus tard, l'affaire SolarWinds est devenue le symbole d'une réalité nouvelle : les cybercriminels ont compris que s'attaquer directement aux forteresses numériques était moins efficace que de cibler leurs fournisseurs. Avec des projections de dommages atteignant 150 milliards de dollars d'ici 2030, les attaques via la supply chain représentent désormais l'une des menaces les plus critiques pour l'économie mondiale.
Une menace bien réelle
« Pour un industriel qui évolue dans un secteur stratégique, la menace la plus importante reste de ne pas réussir à produire ce qu'il doit livrer à ses clients », pose d’emblée Philippe Armandon, Partner et responsable des opérations Supply Chain Management chez Sopra Steria Next. « Cependant, il y a une prise de conscience générale de nos dépendances à la cyber. Grâce à l'ANSSI et aux grands industriels qui imposent à leurs supply chains de faire des tests et d'adopter de meilleures pratiques de surveillance, la situation évolue positivement depuis quelques années. »
Cette hiérarchisation des risques varie considérablement selon les secteurs. Si l'industrie civile place encore la cyber derrière les enjeux de production et de financement, d'autres domaines voient leurs priorités basculer. « Pour l'industrie de défense, c'est différent », note ainsi l’expert. « Chez les industriels de la défense, notamment autour du nucléaire, tous les contributeurs de la supply chain sont extrêmement surveillés en termes de sécurité. Compte tenu de l'agressivité russe actuelle, la cyber devient probablement le risque numéro un dans ce secteur. »
L'échelle de la complexité, complexité de l’échelle
Comment évaluer le risque cyber à travers un écosystème qui peut compter des milliers de fournisseurs ? « La difficulté de la mesure à cette échelle, via des évaluations à trois niveaux : bon, moyen, faible. Mais être bien classé n’est pas suffisant pour résister à la prochaine attaque », expose Loïc Bournon, ancien Directeur des Systèmes d'Information Groupe Safran.
L'approche doit être pragmatique, surtout pour les plus faibles : « Avec quelques questions, on peut savoir si une entreprise est sur la bonne approche pour résister et être résiliente », détaille celui qui est aujourd’hui Senior Advisor chez Sopra Steria. « Si l’interlocuteur cumule plusieurs responsabilités SI de production, fonctions cyber, voir soutien aux métiers et à la direction, c'est un Red Flag immédiat. » Le défi est particulièrement aigu dans l'aéronautique et la défense, où l’on retrouve « souvent des PME avec peu de moyens et de personnel, qui externalisent leur cyber sur des acteurs locaux qui peuvent ne pas avoir la masse critique pour gérer une crise ».
L'élément humain complique encore l'équation. « On pense souvent aux attaques malveillantes via les systèmes d'information, mais il y a aussi le facteur humain », souligne Philippe Armandon. « Les attaquants ciblent des personnes fragiles, qui ont des griefs envers leur employeur ou des soucis financiers. Ils repèrent ces comportements sur les réseaux sociaux, et n’hésitent pas à approcher les individus ciblés », précise le responsable Opérations et Supply Chain Management.
L'impératif de gouvernance
Une cybersécurité efficace de la supply chain nécessite donc bien plus que des corrections technologiques: elle exige une gouvernance globale qui décloisonne les équipes. « Il faut une gouvernance transverse avec l'IT, les achats, la direction des risques, la sécurité et le juridique. Tous doivent parler le même langage afin de parvenir à se mettre d'accord », affirme Emeline Segarra-Chabot, Product Manager Governance & Crisis Management pour Sopra Steria.
« Les fournisseurs doivent être classés selon leur criticité : ont-ils des interconnexions ? Traitent-ils des données sensibles ? Quel impact sur la production s'ils sont compromis et dysfonctionnent ? » Cette approche permet, selon l’experte, d'appliquer des exigences de sécurité proportionnées : « Clauses spécifiques, audits réguliers, tests de pénétration, plans de continuité intégrés, plans d'assurance sécurité et qualité… »
Quand la crise frappe
L’adage en matière de cybersécurité le dit clairement : ce n’est pas “si” mais “quand” une attaque aura lieu. Et quand elle survient, l'expérience a montré l'importance cruciale de la préparation. « Celui qui n'a pas préparé sa gestion de crise va forcément échouer. Ceux qui n'ont pas fait d'exercices et rodé leurs processus auront énormément de mal à rétablir une situation acceptable pour les métiers. », observe Loïc Bournon.
Les priorités à mettre en oeuvre ? La qualification rapide de l'incident, l'évaluation de l'impact et les décisions techniques de réponses à apporter. La communication, qui reste souvent le parent pauvre, ne doit pourtant pas être négligée : « La stratégie de communication est extrêmement importante et doit être anticipée selon les scénarios de risques majeurs. C'est souvent un volet non anticipé car jugé non prioritaire par manque de temps, alors qu’une stratégie consolidée et préparée peut faire une grosse différence dans la perception, en interne comme à l’externe », note Emeline Segarra-Chabot.
Le facteur humain au coeur de la cybersécurité
Dès lors, par où commencer pour une entreprise prestataire d’un acteur sensible ? « Je commencerais par les personnes, c'est le maillon qu'il faut sensibiliser », recommande Philippe Armandon. « Dès l'accueil d'un nouveau salarié, il faut que ces sujets soient abordés rapidement : bonnes pratiques de comportement, badge, sécurisation du PC, réseaux sociaux, capacité des personnes à détecter des situations pour elles-mêmes et/ou pour les autres, et capacité à y répondre, ou à alerter qui de droit etc.»
Il s’agit aussi pour les acteurs du secteur de se mettre en conformité avec un cadre réglementaire qui tente d’accompagner les évolutions technologiques en cours. « La directive NIS 2 contient des exigences sur la supply chain : contrôler la chaîne d'approvisionnement sous peine d’importantes sanctions financières », explique Emeline Segarra-Chabot. Les pénalités prévues en cas de non-conformité sont en effet dissuasives : jusqu’à 10 millions d’euros d’amende ou 2% du chiffre d’affaires annuel mondial pour les entités essentielles.
Cinq ans après SolarWinds, des leçons ont été tirées : les organisations qui traitent la cybersécurité comme une partie intégrante de leur stratégie supply chain ne se protègent pas seulement des attaques, elles se donnent un avantage concurrentiel. Dans un monde où chaque fournisseur peut devenir une porte d'entrée, la résilience n'est plus une option, c'est une nécessité stratégique et réglementaire.