## Sécurité de la chaîne d'approvisionnement : les recommandations de l'ANSSI pour maîtriser le risque fournisseur

Les attaques par la chaîne d'approvisionnement (supply chain) se sont multipliées ces dernières années, devenant l'un des vecteurs de compromission les plus redoutés. L'ANSSI place ce sujet au cœur de ses priorités et publie des recommandations pour aider les organisations à sécuriser leur écosystème de fournisseurs.

### Pourquoi la supply chain est-elle une cible privilégiée ?

Les attaquants ciblent les maillons les plus faibles de la chaîne pour atteindre leurs véritables objectifs. Un fournisseur moins bien protégé peut servir de porte d'entrée vers les systèmes d'information de ses clients. Les incidents récents (SolarWinds, Kaseya, Log4Shell) illustrent l'ampleur des dégâts qu'une compromission de la supply chain peut causer.

L'ANSSI identifie plusieurs scénarios de menace :

- Compromission d'un éditeur logiciel : injection de code malveillant dans une mise à jour légitime. - Attaque via un prestataire de services : exploitation des accès distants d'un sous-traitant. - Fourniture de composants vulnérables : intégration de matériel ou logiciel contenant des failles non détectées.

### Les recommandations de l'ANSSI

L'ANSSI préconise une approche structurée pour maîtriser le risque supply chain :

1. Cartographier l'écosystème fournisseurs Identifier l'ensemble des fournisseurs, prestataires et sous-traitants ayant accès à vos systèmes ou données. Évaluer leur criticité en fonction de leur niveau d'accès et de la sensibilité des données partagées.

2. Évaluer la maturité cyber des fournisseurs Intégrer des critères de cybersécurité dans les processus d'achat et de sélection. L'ANSSI recommande de vérifier les certifications (ISO 27001), qualifications (PASSI, PDIS, SecNumCloud) et la conformité aux référentiels reconnus.

3. Contractualiser les exigences de sécurité Les clauses contractuelles doivent couvrir les obligations de sécurité, la notification des incidents, le droit d'audit et les conditions de réversibilité. L'ANSSI insiste sur l'importance de clauses spécifiques pour les prestataires de services numériques.

4. Superviser les accès fournisseurs Appliquer le principe du moindre privilège aux accès des fournisseurs. Surveiller les connexions distantes, limiter les droits d'accès au strict nécessaire et maintenir un inventaire à jour des comptes prestataires.

5. Intégrer la supply chain dans les exercices de crise Simuler des scénarios de compromission d'un fournisseur critique lors des exercices de gestion de crise. Tester les procédures de bascule et les plans de continuité en cas de défaillance d'un prestataire.

### Le cadre NIS 2 renforce les obligations

La directive NIS 2, transposée en droit français, impose explicitement aux entités régulées de prendre en compte la sécurité de leur chaîne d'approvisionnement. Les organisations doivent désormais démontrer qu'elles maîtrisent les risques liés à leurs fournisseurs directs et à leurs sous-traitants.

### Construire une chaîne de confiance

L'ANSSI encourage la construction d'une véritable chaîne de confiance en privilégiant les prestataires qualifiés et en développant des relations de partenariat fondées sur la transparence en matière de cybersécurité.

---

Alcybe vous accompagne dans l'évaluation et la sécurisation de votre chaîne d'approvisionnement. Nos experts réalisent des audits fournisseurs, élaborent les clauses contractuelles de sécurité et vous aident à bâtir un écosystème de confiance conforme aux recommandations de l'ANSSI.