Le rapport d'Ivanti sur l'état de la cybersécurité en 2025 révèle que seulement 1/3 des entreprises sont protégées contre les menaces sur la chaîne logicielle. Les pirates ciblent de plus en plus les dépendances aux tiers, transformant progressivement la chaîne logicielle en maillon faible.

Le risque croissant d'attaques sur la chaîne logicielle

Les surfaces d'attaque ne cessent de s'étendre, à toute vitesse, et l'un des vecteurs clés de cette expansion est la chaîne logicielle. Les entreprises modernes dépendent d'un grand nombre d'applications, d'outils et de dépendances logicielles dans leur infrastructure technologique. D'après un rapport de BetterCloud, en 2024, une entreprise utilise en moyenne 112 applications SaaS. Et cet enchevêtrement ne cesse de se compliquer. En moyenne, chaque application comporte 150 dépendances (dont 90 % sont indirectes), qui correspondent à l'immense majorité des vulnérabilités.

Les acteurs de la menace qui visent les dépendances aux tiers se sont multipliés ces dernières années : en 2024, 75 % des chaînes logicielles ont subi une attaque. Ces menaces sur la chaîne logicielle sont aussi plus sophistiquées, car les assaillants traquent la moindre faiblesse dans le code d'un fournisseur. Pour autant, les équipes de sécurité peinent à valider comme il se doit tous leurs composants logiciels.

Les études d'Ivanti montrent que, même si 84 % des dirigeants d'entreprise affirment que la surveillance de la chaîne logicielle est « très importante », presque la moitié (48 %) n'ont toujours pas identifié les composants les plus vulnérables de leur propre chaîne. Ce manquement à leur devoir de vigilance expose les entreprises à de graves risques financiers et réputationnels.

Attaques courantes sur la chaîne logicielle

D'après Gartner, 45 % des entreprises subiront une attaque sur leur chaîne logicielle d'ici 2025, dont les plus courantes comprennent notamment :

  • Les attaques sur le serveur en amont, les plus communes, consistent à cibler un système placé en amont des utilisateurs, comme un référentiel de code, et à y injecter une charge malveillante ou un malware. Ce dernier se répand alors vers les utilisateurs en aval, par exemple par une simple mise à jour logicielle.
  • Les attaques en milieu de flux se rapportent aux incidents où les agresseurs compromettent des systèmes intermédiaires, comme des outils de développement logiciel, au lieu de la base de code d'origine.
  • Les attaques de substitution ou la confusion de dépendance tentent de tromper un développeur ou un système afin qu'il télécharge une dépendance logicielle infectée depuis une source externe. Classiquement, le nom de ce logiciel malveillant ressemble à celui d'une bibliothèque interne approuvée. La version malfaisante est souvent intégrée au build logiciel à la place de la dépendance légitime.
  • Les attaques par certificat de signature de code se produisent lorsqu'un pirate injecte un logiciel malveillant dans les certificats numériques de signature de code censés valider la sécurité et l'authenticité des logiciels. Ces attaques se déclenchent lorsque l'acteur de la menace compromet l'environnement de développement par ingénierie sociale ou toute autre tactique.
  • Les attaques sur l'infrastructure CI/CD visent les pipelines de développement automatisés en y introduisant des malwares, par exemple en clonant des référentiels GitHub authentiques à des fins malveillantes.

Exemples récents d'attaques sur la chaîne logicielle

Il n'y a pas à chercher bien loin dans l'actualité pour y trouver des exemples concrets arrivés au point critique. Certains cas d'attaques sur la chaîne logicielle ont retenu l'attention du monde entier ces dernières années.

  1. Attaque par ingénierie sociale sur Okta

    • En octobre 2023, Okta, fournisseur de services de gestion des identités et des accès, a subi une grave fuite de données liée à son système de service client. L'attaque a été rendue possible suite à des opérations d'ingénierie sociale réussies ciblant les centres de support IT de quatre de ses clients. Les cybercriminels ont utilisé ces informations d'authentification d'administration pour lancer plusieurs attaques en aval. Résultat : ils ont pu accéder frauduleusement aux données des milliers de clients Okta, notamment 1Password, BeyondTrust et Cloudflare.

  2. Attaque par ransomware sur Kaseya

    • En juillet 2021, des pirates ont exploité six vulnérabilités Zero Day de l'outil de gestion à distance Kaseya. Ils s'en sont servis pour distribuer une charge malveillante de ransomware au travers d'une mise à jour logicielle qui a infecté des centaines de MSP (fournisseurs de services gérés) et leurs clients. Cette attaque a entraîné le blocage de près de 2 000 entreprises dans le monde et a fait les gros titres lorsque les assaillants ont réclamé une rançon énorme de 70 millions de dollars (qui n'a jamais été payée).

  3. Attaque sur l'infrastructure CI/CD Codecov

    • En janvier 2021, des acteurs malveillants ont infiltré l'outil très répandu de test de code Codecov, utilisé alors par plus de 29 000 clients. Ils ont obtenu un accès non autorisé au script Bash de mise en ligne du code de Codecov et y ont introduit un code malveillant, que les clients de Codecov ont ensuite utilisé dans leurs pipelines CI/CD. Codecov n'a pas détecté ni signalé cette attaque avant avril 2021. Les malfaiteurs ont donc potentiellement eu accès aux données sensibles des systèmes de milliers de clients pendant des mois.
    • Chacune de ces attaques sur la chaîne logicielle a provoqué des dommages en cascade à grande échelle, à la fois chez le fournisseur visé, chez des milliers de ses clients et au-delà.  

Les graves préjudices des attaques sur la chaîne logicielle

Il ne faut pas sous-estimer l'ampleur des dommages d'une attaque sur la chaîne logicielle. Chacune des attaques citées a entraîné des dommages financiers et réputationnels importants et a conduit de nombreuses entreprises à repenser leur approche de la sécurité fournisseur.

Impact financier

Cybersecurity Ventures prévoit que le coût annuel mondial des attaques sur la chaîne logicielle des entreprises va atteindre l'énorme somme de 138 milliards de dollars d'ici 2031 (contre 60 milliards en 2025). Les pertes sont diverses : perte d'exploitation, coûts de remédiation et frais juridiques, et les amendes éventuelles pour non-conformité. Après sa fuite de données de 2023, Okta a vu le cours de ses actions chuter de 11 %. Après une autre fuite de données majeure en 2022, l'entreprise a ensuite été poursuivie en justice par ses actionnaires, à qui elle a dû payer 60 millions de dollars.

Impact opérationnel

Lors d'une attaque sur la chaîne logicielle, des milliers de clients peuvent subir des perturbations ou l'arrêt de leurs systèmes, ce qui stoppe les opérations critiques et provoque des retards qui affectent ensuite d'autres fournisseurs. Citons deux exemples parmi les établissements touchés par les conséquences de l'attaque Kaseya. En Suède, un grand distributeur alimentaire a été contraint de fermer 800 magasins pendant un week-end entier et les chemins de fer nationaux ont aussi subi des perturbations. À l'autre bout du monde, 11 écoles et plus de 100 crèches en Nouvelle-Zélande ont également dû cesser toute opération en ligne et revenir au papier et crayon jusqu'à ce que l'incident soit résolu.

Perte de réputation

Un préjudice réputationnel public peut nuire à la confiance des clients et des actionnaires envers l'entreprise. La fidélité des fournisseurs et des clients, fruit d'années de travail, peut s'écorner. En mars 2023, le logiciel leader des communications d'entreprise 3CX a été compromis lorsque des pirates ont injecté un code malveillant dans l'application. Les données sensibles de plus de 600 000 clients ont été potentiellement exposées et l'entreprise a subi des mois durant l'attention négative des médias et des critiques publiques.

Où s'arrête la responsabilité ? Dette technique et responsabilité partagée

Les menaces sur la chaîne logicielle devraient se multiplier et s'aggraver. Il est donc impératif pour les entreprises de définir clairement les responsabilités et d'appliquer strictement les meilleures pratiques de sécurité à leurs fournisseurs tiers et à la sécurité de leur chaîne logicielle.

Qui est responsable de la sécurité des logiciels ? 

Actuellement, de nombreuses entreprises n'ont aucun processus strict ni standardisé pour évaluer la sécurité des fournisseurs tiers. En outre, de nombreux clients et fournisseurs divergent sur l'entité responsable de la gestion de la sécurité des logiciels tiers.

Le rapport sur l'état de la cybersécurité en 2025 s'appuie sur des entreprises présentant différents niveaux de maturité en cybersécurité. Nous avons utilisé les résultats pour développer notre échelle de maturité de la cybersécurité. Cette échelle s'étend des entreprises les moins matures (niveaux 1 et 2) à celles disposant des capacités les plus avancées (niveau 4).

Cette étude fait ressortir que les entreprises les moins matures sont le plus souvent convaincues que le fournisseur de logiciel est seul responsable de la cybersécurité. Cependant, les entreprises les mieux préparées à la cybersécurité sont d'avis que les responsabilités sont partagées entre le fournisseur de logiciels et le client.

Comment se protéger des menaces sur la chaîne logicielle

La sécurité de la chaîne logicielle constitue un pilier essentiel d'une stratégie de cybersécurité exhaustive et proactive.

Pour renforcer la chaîne logicielle et la protéger des attaques, les entreprises doivent traiter tous les fournisseurs et composants tiers comme une extension de leur surface d'attaque globale. Nous vous proposons ici nos principales recommandations pour mieux prévenir les attaques sur la chaîne logicielle, et mieux détecter et traiter les menaces qui la visent. 

1. Gestion rigoureuse des fournisseurs et évaluation des risques

Exercez votre devoir de vigilance avant de choisir un fournisseur de logiciels. Privilégiez ceux qui respectent les normes industrielles et ont publié leur stratégie de divulgation des vulnérabilités. Pour limiter les risques, le client et le fournisseur doivent réaliser régulièrement des audits, faire des revues de code et des évaluations proactives.

Notre étude montre que plus une entreprise est avancée en matière de cybersécurité, plus elle est susceptible d'exercer son devoir de vigilance dans l'évaluation de la cybersécurité de ses fournisseurs tiers. Elle va notamment :

  • Incorporer des questionnaires d'évaluation de la sécurité (SAQ) dans son évaluation. 
  • Tenir compte des certifications de sécurité du fournisseur, comme ISO 27001 et SOC 2. 
  • Passer en revue les normes de conformité propres au secteur. 
  • S'assurer que le fournisseur dispose de plans et de processus de réponse aux incidents pour gérer les failles de sécurité. 
  • Demander une nomenclature logicielle (SBOM) pour mieux comprendre les composants Open Source et tiers utilisés dans ses logiciels.

2. Surveillance en continu et remédiation proactive sur toutes les dépendances

Le secret, c'est d'utiliser des outils et processus automatisés de détection des menaces pour surveiller et évaluer tous vos composants logiciels. On oublie souvent les dépendances – surtout dans les composants logiciels Open Source –, qui représentent un risque majeur de vulnérabilités si elles ne sont pas régulièrement surveillées et mises à jour.

Les outils IA et d'automatisation peuvent fournir des informations en temps réel sur les périphériques, les applications et les performances réseau afin de remonter les problèmes potentiels. Les solutions de remédiation automatisée et d'autoréparation constituent des méthodes efficaces pour résoudre ces remontées pratiquement sans aucune intervention humaine.

3. Échanges réguliers avec les fournisseurs tiers

Le partage des responsabilités en matière de sécurité de la chaîne logicielle repose sur des échanges fréquents et ouverts entre les clients et les fournisseurs tiers. Les équipes Sécurité et IT doivent rester informées des mises à jour logicielles, des correctifs apportés aux vulnérabilités connues et de toute menace de sécurité émergente.

En savoir plus sur la sécurité de la chaîne logicielle

Vous voulez en savoir plus ? Lisez notre Rapport sur l'état de la cybersécurité en 2025 pour obtenir des conseils éclairés sur les menaces de cybersécurité les plus pressantes aujourd'hui et sur les stratégies de gestion proactive des risques.