Tendances du phishing : vos fournisseurs représentent-ils un risque de sécurité inattendu ?
Pour les cybercriminels, les fournisseurs constituent une porte d’entrée attrayante dans votre organisation. Et malheureusement, ce scénario est loin d’être rare. Un partenaire en apparence fiable peut, sans le vouloir, ouvrir la voie à des attaques de phishing, des violations de données ou des compromissions dans la chaîne d’approvisionnement. Depuis l’entrée en vigueur de la directive NIS2, le sujet est plus critique que jamais : les organisations doivent désormais démontrer non seulement leur propre niveau de sécurité, mais aussi celui de leurs partenaires de la chaîne.
Des fournisseurs devenus maillon faible
Avec l’essor de l’intelligence artificielle, les campagnes de phishing gagnent en sophistication et deviennent plus difficiles à détecter. Si les employés ont longtemps été la cible principale (et le restent encore aujourd’hui), les cybercriminels s’attaquent de plus en plus aux fournisseurs. Un compte compromis peut permettre un accès direct à des données sensibles, à des systèmes IT critiques, voire à l’ensemble de la chaîne d’approvisionnement. Parmi les scénarios d’attaque les plus fréquents :
- Business Email Compromise (BEC) : prise de contrôle du compte d’un fournisseur pour envoyer de fausses factures ou demandes de paiement convaincantes.
- Phishing via un tiers : usurpation de l’identité d’un partenaire pour obtenir des identifiants ou des informations contractuelles.
- Attaques sur la chaîne d’approvisionnement : une seule faille peut provoquer des incidents à grande échelle dans plusieurs organisations.
Le rôle de la directive NIS2
La directive européenne NIS2 impose clairement aux organisations de contrôler la sécurité de leur chaîne d’approvisionnement. Il ne s’agit pas seulement de conformité, mais bien de réduire efficacement les risques réels sur l’ensemble de l’écosystème. En pratique, cela signifie :
- Visibilité : savoir précisément quels fournisseurs ont accès à vos systèmes et données. L’article 21(2d) précise que les relations avec les fournisseurs et prestataires doivent être intégrées à la gestion des risques en matière de cybersécurité.
- Diligence raisonnable (due diligence) : être en mesure de démontrer que les mesures de sécurité mises en place chez vos fournisseurs sont évaluées et suivies. Selon l’article 21(3), ces mesures doivent tenir compte des vulnérabilités propres à votre chaîne d’approvisionnement et à vos prestataires directs.
- Déclaration d’incidents : même les incidents provoqués par un tiers peuvent être soumis à une obligation de notification. L’article 23 prévoit un premier signalement dans les 24 heures (« alerte précoce »), un rapport initial dans les 72 heures, puis un rapport final dans un délai d’un mois.
Autrement dit : l’ignorance n’est plus une excuse recevable.
Passer de la confiance à la vérification
La réaction naturelle consiste à faire confiance à des partenaires de longue date. Mais en cybersécurité, la confiance seule ne suffit plus. Pour mettre en place une stratégie de sécurité mature et durable, il est essentiel d’adopter une approche Zero Trust : faites confiance, mais vérifiez – y compris avec des partenaires historiques.
Conclusion : la sécurité est une responsabilité partagée
Les fournisseurs jouent un rôle clé dans la continuité de vos opérations, mais ils peuvent aussi représenter un vecteur de risque sous-estimé. En suivant de près les tendances en matière de phishing et en intégrant activement vos partenaires à votre stratégie de sécurité, vous limitez les risques d’incidents et vous alignez votre organisation sur les exigences accrues de la directive NIS2.
Source: eur-lex.europa.eu
