Le risque cyber tout au long de la chaîne d’approvisionnement est la
2e menace la plus redoutée par les membres de conseils
d’administration français (rapport Proofpoint 2022). SolarWinds
et Log4j avaient déjà tiré la sonnette d’alarme, mais d’après
Loïc Guézo, Directeur de la Stratégie en Cybersécurité chez
Proofpoint, « nous sommes encore loin de disposer d’outils
adaptés pour nous protéger contre ce type de vulnérabilités, en
particulier sur une chaîne d’approvisionnement de plus en plus
numérisée. L’humain reste la première porte d’entrée pour les
cyberattaques, et la formation continue fait partie des outils les plus
puissants pour les contrer. »

D’après l’ANSSI, la menace touche particulièrement les TPE, PME et
ETI (40 % des rançongiciels traités ou rapportés à l’ANSSI en
2022), les collectivités territoriales (23 %) et les établissements
publics de santé (10 %). Dans ce secteur, une analyse [3] de la
protection des messageries de l’ensemble des CHU français (DMARC)
avait d’ailleurs démontré que la majorité de ces établissements
restaient extrêmement vulnérables aux tentatives de fraude par email
(BEC pour Business Email Compromise), vecteur principal d’attaques
d’hameçonnage dans le monde (phishing).

Aux vues des conclusions de l’ANSSI, et considérant l’effort de
règlementation qui attend les entreprises européennes quant à la
gestion de leurs risques cyber (avec l’adoption récente de la
directive NIS 2) Loïc Guézo s’attend à voir « de plus en
plus de tensions dans les relations avec la chaîne
d’approvisionnement dans son ensemble, car si les entreprises tentent
d’intensifier les processus de conformité de leurs fournisseurs pour
mieux comprendre les risques, les fournisseurs devront par conséquent
prendre des mesures fortes en termes de cybersécurité pour assurer la
continuité de leur activité. »