Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?

Les attaques contre la chaîne d'approvisionnement sont conçues pour exploiter les relations de confiance entre une organisation et des parties externes. Ces relations peuvent inclure des partenariats, des relations avec des fournisseurs ou l'utilisation de logiciels tiers. Les acteurs de la cybermenace compromettront une organisation, puis remonteront la chaîne d'approvisionnement en profitant de ces relations de confiance pour accéder aux environnements d'autres organisations.

Éviter une attaque ? RAPPORT SUR LA CYBERSÉCURITÉ

Qu'est-ce qu'une attaque de la chaîne d'approvisionnement ?

Les attaques contre la chaîne d'approvisionnement se multiplient

Given the outsized impact they can have, it is unsurprising that supply chain attacks have dramatically increased in recent years. Data shows that from 2021 to 2023, supply chain attacks grew by 431%.

  • More recent data from Check Point’s State of Cyber Security 2025 report found hardware and software supply chains experienced the highest surge of attacks in 2024.
  • The report found that the average number of attacks targeting software, hardware, and semiconductor companies increased by 179%.

Experts state this is due to the increased global demand for hardware and the focus on AI technologies. As a vital component of modern infrastructure and innovations, the technological supply chain is becoming a significant target for cyber criminals.

Exploiting supply chain vulnerabilities in these sectors provides many opportunities for:

  • Financial gain
  • Espionage
  • Disruption

High-Profile Supply Chain Incidents

Avec les nouveaux vecteurs d'attaque créés par le travail à distance et les équipes de sécurité débordées, les cybercriminels ont eu de nombreuses occasions de mener des attaques contre la chaîne d'approvisionnement. Parmi les plus importants de ces dernières années, on peut citer

  • SolarWinds: En 2020, un groupe de pirates informatiques a accédé à l'environnement de production de SolarWinds et a intégré une porte dérobée dans les mises à jour de son produit de surveillance de réseau Orion. Les clients de SolarWinds qui utilisent la mise à jour malveillante ont subi des violations de données et d'autres incidents de sécurité.
  • Kaseya: Le gang REvil logiciel rançonneur a exploité Kaseya, un éditeur de logiciels destinés aux fournisseurs de services gérés (MSP), pour infecter plus de 1 000 clients avec le logiciel rançonneur.  Le groupe a demandé une rançon de 70 millions de dollars pour fournir des clés de décryptage à tous les clients concernés. 
  • Codecov : Codecov est un organisme de test de logiciels dont le script Bash uploader (utilisé pour envoyer des rapports de couverture de code à l'entreprise) a été modifié par un pirate. Cet exploit de la chaîne d'approvisionnement a permis aux attaquants de rediriger des informations sensibles, telles que le code source, des secrets et autres, des clients de CodeCov vers leurs propres serveurs.
  • NotPetya : NotPetya était un faux logiciel rançonneur malveillant qui chiffrait les ordinateurs mais ne sauvegardait pas la clé secrète pour le déchiffrement. C'est ce qu'on appelle le transformer en "essuie-glace".
    • L'attaque NotPetya a commencé par une attaque de la chaîne d'approvisionnement lorsqu'un cabinet comptable ukrainien a été victime d'une intrusion et que le logiciel malveillant a été inclus dans une mise à jour malveillante.
  • Atlassian: En novembre 2020, Recherche aux Check Point (CPR) a découvert une série de vulnérabilités qui, une fois combinées, peuvent être exploitées pour prendre le contrôle d'un compte et de diverses applications Atlassian connectées via SSO.
    • Ce qui fait de cette vulnérabilité une attaque potentielle de la chaîne d'approvisionnement, c'est qu'une fois que l'attaquant exploite ces failles et prend le contrôle d'un compte, il peut installer des portes dérobées qu'il pourra utiliser à l'avenir.
    • Il peut en résulter de graves dommages qui ne seront détectés et contrôlés qu'après coup.
    • Recherche aux Check Point a divulgué de manière responsable cette information aux équipes d'Atlassian qui et une solution a été déployée pour que ses utilisateurs puissent continuer à partager des informations sur les différentes plateformes en toute sécurité.
  • British Airways : En 2018, British Airways a subi une attaque Magecart qui a compromis plus de 380 000 transactions sur le site web de la compagnie aérienne. L'attaque a été rendue possible par une attaque de la chaîne d'approvisionnement qui a compromis l'un des fournisseurs de la compagnie aérienne et s'est propagée à British Airways, Ticketmaster et d'autres entreprises.

  • Linux XZ

    Discovered in 2024, the Linux XZ supply chain attack was a multi-year operation to insert a backdoor into the open-source project. XZ utilities are regularly used for compression in Linux.

    The backdoor enabled remote code execution to attackers with a specific key.

    The compromised version of XZ utilities was not widely deployed when the vulnerability was discovered. But, it was present in development versions. Experts stated that if undetected, the Linux XZ backdoor could have given the attackers access to hundreds of millions of systems around the world.

Comment fonctionne une attaque de la chaîne d'approvisionnement

Une attaque contre la chaîne d'approvisionnement tire parti des relations de confiance entre les différentes organisations. Toutes les organisations ont un niveau de confiance implicite dans les autres entreprises puisqu'elles installent et utilisent le logiciel de l'entreprise au sein de leur réseau ou travaillent avec elle en tant que fournisseur.

Une attaque contre la chaîne d'approvisionnement vise le maillon le plus faible d'une chaîne de confiance. Si une organisation dispose d'une cybersécurité solide mais d'un fournisseur de confiance non sécurisé, les attaquants cibleront ce fournisseur. En prenant pied dans le réseau du fournisseur, les attaquants pourraient alors pivoter vers le réseau plus sûr en utilisant cette relation de confiance.

Les fournisseurs de services gérés (MSP) sont un type courant d'attaques contre la chaîne d'approvisionnement. Les MSP disposent d'un accès approfondi au réseau de leurs clients, ce qui est inestimable pour un pirate. Après avoir exploité le MSP (Fournisseurs de services gérés), l'attaquant peut facilement s'étendre au réseau de ses clients. En exploitant la vulnérabilité de la chaîne d'approvisionnement, ces attaquants ont un impact plus important et peuvent avoir accès à un réseau qu'il serait beaucoup plus difficile d'attaquer directement. C'est ainsi que les attaquants de Kaseya ont réussi à infecter tant d'organisations avec le logiciel rançonneur.

 

D'autres attaques contre la chaîne d'approvisionnement utilisent des logiciels pour livrer des logiciels malveillants aux clients d'une organisation.  Par exemple, les attaquants de SolarWinds ont accédé aux serveurs de construction de l'entreprise et ont injecté une porte dérobée dans les mises à jour du produit de surveillance de réseau SolarWinds Orion.  Lorsque ce code de mise à jour a été transmis aux clients, les attaquants ont également eu accès à leur réseau.

L'impact des attaques sur la chaîne d'approvisionnement

Les attaques contre la chaîne d'approvisionnement offrent simplement à un attaquant une autre méthode pour percer les défenses d'une organisation. Ils peuvent être utilisés pour effectuer n'importe quel type d'attaque cybernétique, comme par exemple :

  • Violation de données : Les attaques de la chaîne d'approvisionnement sont couramment utilisées pour réaliser des violations de données. Par exemple, le piratage de SolarWinds a exposé les données sensibles de plusieurs organisations des secteurs public et privé.
  • logiciel malveillant Infections : Les cybercriminels exploitent souvent la vulnérabilité de la chaîne d'approvisionnement pour transmettre des logiciels malveillants à une organisation cible. SolarWinds comprenait la livraison d'une porte dérobée malveillante, et l'attaque de Kaseya a donné lieu à un logiciel rançonneur conçu pour les exploiter.

What Makes Supply Chain Attacks Dangerous

Supply chain attacks are a significant concern because they don’t target your systems directly, but rather exploit your trust in others. Whenever you install and use a vendor’s software or add a third-party dependency to your own code, you’re implicitly placing your trust in that vendor’s security.

This exposes you to any mistakes that might be made by external organizations and developers.

For instance, you assume they didn’t accidentally introduce vulnerabilities to their software and regularly update their code to patch out new exploits as they are discovered.

This is a particular concern for open-source dependencies…

Open-Source Software

Relying on unpaid developers to continually update their open-source projects and respond to new threats can be a major supply chain weakness.

Supply chain attacks aren’t trying to exploit the strongest link in the chain, they target the weakest. Therefore, you can be left exposed even if you develop extensive internal security controls to protect your systems without proper third-party risk management strategies.

Supply Chain Breach & Backdoor

Plus, once hackers have a supply chain breach and add a backdoor to a piece of software that is widely used, they can launch far-reaching attacks with many victims. Cybercriminals can get a much larger return on investment by compromising third-party code.

Rather than attacking an organization head-on and getting one victim, they can go after the software supply chain and get many more victims from a single vulnerability.

This attracts some of the most sophisticated hackers and groups to find supply chain attack vectors.

How to Prevent Supply Chain Attacks

While these attacks are hard to detect and remediate, there are best practices for supply chain cybersecurity that you can implement to limit their impact. These processes can be broken down into third-party risk management approaches that improve your supply chain resilience, and internal practices that limit the impact of compromised systems.

Third-Party Risk Management

Assessing vendor security standards and managing the risk of using external software and dependencies is a critical aspect of supply chain cybersecurity. You need to rigorously assess your vendors and determine the security of their development practices.

Performing third-party risk assessments allows you to identify specific security policies you want vendors to implement to work with you.

Plus, you can group vendors based on the risk they pose (their internal security practices and how much access they have to your sensitive business data). Then, prioritize monitoring each vendor based on their vulnerability level. This includes:

  • Identifying all open source dependencies
  • Ensuring they remain active projects that still push updates based on the latest threats.

Beyond open source projects, patch management is a vital aspect across supply chain cybersecurity.

You have to maintain the latest software versions to ensure the window of risk posed by new vulnerabilities is as small as possible.

Meilleures pratiques pour l'identification et l'atténuation des attaques contre la chaîne d'approvisionnement

Les attaques contre la chaîne d'approvisionnement tirent parti des relations de confiance non sécurisées entre une entreprise et d'autres organisations. Voici quelques moyens d'atténuer les risques de ces attaques :

  • Mettez en œuvre le principe du moindre privilège : De nombreuses organisations attribuent des accès et des autorisations excessifs à leurs employés, partenaires et logiciels. Ces autorisations excessives facilitent les attaques contre la chaîne d'approvisionnement. Mettez en œuvre le principe du moindre privilège et n'accordez à toutes les personnes et à tous les logiciels que les autorisations dont ils ont besoin pour faire leur travail.
  • Segmentation du réseau : Les logiciels tiers et les organisations partenaires n'ont pas besoin d'un accès illimité à tous les coins du réseau. Utilisez la segmentation du réseau pour diviser le réseau en zones basées sur les fonctions de l'entreprise. Ainsi, si une attaque de la chaîne d'approvisionnement compromet une partie du réseau, le reste du réseau reste protégé.
  • Suivez les pratiques DevSecOps : En intégrant la sécurité dans le cycle de développement, il est possible de détecter si un logiciel, comme les mises à jour d'Orion, a été modifié de manière malveillante.
  • Prévention automatisée des menaces et chasse aux menaces : Les analystes des centres d'opérations de sécurité (SOC) doivent se protéger contre les attaques dans tous les environnements de l'organisation, y compris le poste, le réseau, le nuage et le mobile.

Minimizing the Impact of a Supply Chain Breach

To minimize third-party supply chain risks, you need to reduce the access these systems have within your network. This includes introducing zero trust practices based on least privilege access. This makes applications and users continually verify their identity while only providing access to the systems they need, nothing more.

Another Zero Trust Network Access (ZTNA) technique is network segmentation, which divides your systems into siloed sections with strong security controls when moving between them.

ZTNA reduces the impact of supply chain breaches by preventing lateral movement.

The attacker only has access to the initial compromised system and struggles to extend their access further. Other techniques to help prevent supply chain attacks include:

  • Following DevSecOps best practices to test for vulnerabilities in any dependencies you use. You can improve software development visibility through a Software Bill of Materials (SBOM) that tracks details (source, version, etc.) of every dependency.
  • Regularly scanning your system with malware prevention tools to prevent attacks from executing.
  • Develop incident response plans that include considerations for supply chain attacks. This could implement sandboxing new code before executing it to mitigate any backdoors.
  • Track all of the applications and services employees use and uncover any shadow IT (unsanctioned applications) to ensure your supply chain attack surface is not larger than you realise.

Protéger la chaîne d'approvisionnement contre les attaques avec Check Point

Supply chain attackers take advantage of a lack of monitoring within an organization’s environment. Check Point Check Point Endpoint Security helps an organization to protect against these threats by monitoring applications for suspicious behavior that might point to compromise.

 

To learn more about the types of attacks that Check Point Endpoint Security protects against, check out Check Point’s 2021 Cyber Security Report. Then, take a security checkup to learn about the security issues within your environment. You can also learn how to close these security gaps with a free demo.