La cybersécurité dans la supply chain : enjeux juridiques et stratégies de conformité

Selon le dernier « Panorama de la cybermenace » publié par l’ANSSI¹, depuis la fin des années 2010 les entreprises font face à une intensification des attaques visant leur « Supply Chain » ou chaîne d’approvisionnement. Il est nécessaire d’encadrer et de prévenir ces nouveaux risques cyber, dans un contexte où la dépendance à des tiers et l’interconnexion croissante des systèmes rendent l’ensemble de la Supply Chain plus vulnérable aux cybermenaces.

Définition : la Supply Chain est un terme qui regroupe l’ensemble des outils (logiciels, équipements) et acteurs impliqués dans la production, la transformation et la distribution d’un produit ou service, reliant fournisseurs, fabricants, distributeurs (ci-après appelés « partenaires ») et clients à travers des flux physiques, informationnels et financiers interconnectés.

1. Quels sont les enjeux de cybersécurité au titre de la Supply Chain ?

Au-delà des conséquences usuelles telles que les interruptions d’activité, les fuites de données ou les atteintes à la réputation, assurer la cybersécurité de sa Supply Chain présente des défis spécifiques et complexes pour les entreprises. La multiplication des interdépendances technologiques et commerciales au sein des chaînes d’approvisionnement engendre des vulnérabilités spécifiques, exigeant une vigilance adaptée.

Une vulnérabilité systémique croissante des chaînes d’approvisionnement face aux cyberattaques

La Supply Chain est devenue l’une des cibles privilégiées pour les cyberattaquants, qui exploitent les liens techniques et commerciaux entre une entreprise et ses partenaires. Ce type de cyberattaque dispose d’un effet démultiplicateur sur la résilience opérationnelle des entreprises : en compromettant un seul maillon, l’attaque se propage de manière exponentielle, tout en demeurant relativement discrète aux yeux de la cible finale.

À titre d’illustration, l’affaire Kaseya² de l’été 2021 constitue un précédent significatif : le logiciel VSA, un outil largement utilisé par des prestataires d’infogérance pour gérer à distance les mises à jour et la maintenance des systèmes de leurs clients, a été compromis par le groupe cybercriminel REvil. Les attaquants ont modifié le code source du logiciel afin d’y introduire une fonctionnalité malveillante permettant le déploiement d’un rançongiciel. Le groupe criminel a ainsi réussi à infecter des milliers d’ordinateurs appartenant aux clients des prestataires utilisant la solution Kaseya VSA. 

Cette attaque en cascade illustre parfaitement la contagion numérique générée par une attaque de la Supply Chain : en compromettant un seul fournisseur de services informatiques, les cybercriminels ont pu atteindre des dizaines de prestataires d’infogérance, puis, par ricochet, plus d’un millier de clients finaux. Cet incident démontre à quel point la sécurité d’un seul prestataire peut impacter un vaste écosystème, voire plusieurs secteurs d’activité simultanément.

L’impact économique des cyberattaques sur la performance logistique peut être considérable : retards prolongés, ruptures opérationnelles et pertes financières majeures, obligeant les entreprises à redoubler de vigilance dans leur gestion des risques cyber.

Les principales cyberattaques visant la Supply Chain 

Les attaques ciblant la Supply Chain se manifestent principalement de deux manières :

Attaques par compromission des logiciels ou des équipements dans la chaîne logistique

Les solutions et logiciels de Supply Chain, destinés à contrôler les flux logistiques et opérationnels, doivent intégrer dès leur conception une démarche rigoureuse de sécurité informatique afin d’éviter les fuites de données ou compromissions à grande échelle.

Dans ces scénarios, l’assaillant compromet un logiciel ou un composant informatique pour affecter l’ensemble des utilisateurs finaux. Des incidents récents tels que la compromission de l’application 3CX Desktop App (2023)³ ou du logiciel financier X_TRADER⁴ démontrent qu’un éditeur peut servir de vecteur d’attaque à grande échelle.

L’insertion de code malveillant dans des projets open source (tel que l’attaque ciblant le projet XZ Utils⁵, utilisé dans de nombreux systèmes d’exploitation Linux) illustre également la complexité inhérente à la sécurisation de la chaîne logicielle, particulièrement lorsque l’assaillant parvient à intégrer l’équipe de maintenance du projet lui-même. Il est donc impératif de veiller à ce que les outils intégrés dans l’entreprise soient sécurisés, régulièrement mis à jour et conçus selon des principes de sécurité par conception. En cas de recours à des solutions open source, les développeurs devront procéder à une vérification diligente de la sécurité de ces logiciels.

Attaques cyber via les partenaires

Cette méthode consiste à compromettre un sous-traitant disposant d’accès privilégiés au système d’information de la cible finale. L’attaquant exploite alors le niveau de sécurité potentiellement moins robuste d’un partenaire pour se déplacer ensuite, de manière quasi indétectable, vers l’entreprise visée.

Par exemple : un prestataire informatique travaillant pour plusieurs grandes entreprises est victime d’une intrusion majeure dans ses systèmes. Les attaquants utilisent ensuite les accès privilégiés et légitimes dont le prestataire pour s’introduire dans les systèmes d’information de ses clients. Ces accès, étant autorisés et utilisés quotidiennement, ne déclenchent aucune alerte de sécurité sur le système du client. Les cybercriminels peuvent alors naviguer librement dans les réseaux des entreprises clientes, consulter des informations confidentielles et extraire des données sensibles sans être détectés pendant des semaines, voire des mois.

Il ne suffit donc pas de sécuriser uniquement son propre système d’information sans gérer les risques liés à ses partenaires: il est également nécessaire d’auditer celui de ses propres prestataires.

Le cadre normatif et les obligations légales à respecter 

Dans un contexte de multiplication des cyberattaques, plusieurs réglementations européennes et nationales imposent aux entreprises de renforcer leur cybersécurité, ce qui a des répercussions directes sur leur Supply Chain.

Le cadre réglementaire en matière de cybersécurité repose notamment sur les textes suivants :

• La directive NIS 2 (Directive (UE) 2022/2555), qui s’applique aux entités « essentielles » ou « importantes » (transport, énergie, banque, santé, infrastructures numériques, etc.) désignées par chaque État membre de l’UE ;
• Le règlement DORA (Digital Operational Resilience Act — Règlement (UE) 2022/2554), qui concerne les acteurs financiers (établissements de crédit, entreprises d’assurance, prestataires de services de paiement) et leurs sous-traitants critiques ;
• Le RGPD (Règlement (UE) 2016/679), applicable à toute organisation traitant des données à caractère personnel de résidents de l’UE ;
• La directive CER (Critical Entities Resilience – Directive (UE) 2022/2557), qui vise les entités critiques (énergie, transport, santé, eau, infrastructures numériques, etc.) désignées par chaque État membre ;
• Le règlement CRA (Cyber Resilience Act – Règlement (UE) 2024/2847), qui concerne les entités qui mettent sur le marché des produits comportant des éléments numériques ; 
• Le Cybersecurity Act (Règlement (UE) 2019/881), qui vise à établir des schémas sectoriels de certification en cybersécurité pour les fabricants et fournisseurs de produits, services et processus des technologies de l’information et de la communication ;
• La Loi de programmation militaire (Loi n° 2023-703 du 1er août 2023), qui concerne notamment les opérateurs d’importance vitale (OIV) et certains secteurs essentiels à la défense et à la sécurité nationale française.

Ces réglementations prévoient généralement des obligations de sécurité qui s’étendent par nature aux différents prestataires et sous-traitants intervenant au sein de la Supply Chain. Elles peuvent imposer la mise en place de processus structurés pour la détection et la gestion des violations de données ou incidents de sécurité, afin de notifier les autorités compétentes⁶, mais aussi d’évaluer régulièrement les risques cyber⁷, d’instaurer des mesures de protection adaptées⁸ et de contractualiser des exigences de cybersécurité avec les partenaires⁹.

Ce cadre réglementaire général est complété par des dispositifs sectoriels imposant des exigences de cybersécurité spécifiques à certains produits et services. Parmi ceux-ci figurent notamment le règlement sur l’intelligence artificielle (Règlement (UE) 2024/1689), qui établit des obligations pour les systèmes d’IA à haut risque en matière de cybersécurité¹⁰, ainsi que le règlement sur la gouvernance des données (« Data Governance Act » – Règlement (UE) 2022/868), lequel contraint les prestataires de services d’intermédiation de données à garantir un niveau de sécurité approprié¹¹. Le non-respect de ces obligations peut entraîner des sanctions particulièrement lourdes pour les entités concernées. Par exemple, dans le cadre de NIS 2, les autorités compétentes peuvent imposer des amendes administratives pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’entité (le montant le plus élevé étant retenu)¹².

Ces perspectives de sanctions renforcent la nécessité pour les entreprises comme pour leurs partenaires d’intégrer pleinement les exigences de cybersécurité dans leurs processus et leurs contrats.

La protection des données tout au long de la chaîne d’approvisionnement constitue une responsabilité juridique majeure et notamment au titre du RGPD qui impose des obligations étendues à tous les maillons de la Supply Chain. Pour évaluer précisément votre conformité et anticiper tout risque, réalisez dès maintenant un audit RGPD complet avec nos experts.

2. Comment assurer la sécurité informatique de la Supply Chain ?

Pour encadrer efficacement ces risques de cybersécurité dans la Supply Chain, il est nécessaire dans un premier temps de mettre en œuvre les obligations légales et réglementaires applicables, puis d’établir un niveau de sécurité adapté à la criticité des données manipulées et des actions opérées par les prestataires.

La nécessaire prise en compte du niveau de sécurité dès la sélection des partenaires

La maîtrise des risques cyber liés aux partenaires et à leurs solutions exige dans au préalable d’effectuer une sélection rigoureuse des partenaires selon leur conformité réglementaire, leur niveau de cybersécurité et fondée sur les garanties apportées par ces derniers en matière de sécurité informatique. Les garanties offertes par ces prestataires devront être analysées au regard de la criticité des services concernés, et notamment en fonction de la sensibilité des données traitées, du niveau d’’accès au système d’information et de dépendance stratégique.

Par ailleurs, il est impératif d’établir une cartographie complète des fournisseurs et sous-traitants afin d’identifier clairement les dépendances critiques et les éventuels points de vulnérabilité. Pour certaines activités jugées critiques, un niveau minimal de sécurité doit impérativement être défini et imposé à l’ensemble des prestataires.

Différentes approches peuvent être adoptées pour évaluer leur robustesse cyber :

• Recherche d’incidents antérieurs et de fuites de données associées au prestataire envisagé ;
• Faire remplir des questionnaires de sécurité dédiés ;
• Exploiter des outils de scoring externes (BitSight, SecurityScorecard, RiskRecon) permettant d’évaluer l’exposition aux risques du prestataire ;
• Exiger des certifications ou labels reconnus (ISO/IEC 27001, SecNumCloud, PCI-DSS selon le secteur d’activité, etc.) ;
• Analyser de manière approfondie des documents internes du partenaire (politiques de sécurité, journaux d’incidents, rapports de tests d’intrusion, etc.) ;
• Réaliser des opérations d’audits sur site ou à distance.

Cette démarche initiale d’évaluation de la sécurité informatique des partenaires doit être régulièrement actualisée pour intégrer les évolutions du contexte cyber ainsi que les changements significatifs chez ses prestataires (nouveaux sous-traitants, élargissement des périmètres contractuels, etc.), afin de prévenir tout risque émergent et de garantir une gestion proactive des vulnérabilités potentielles.

Pour une gestion de crise cyber efficace dans la chaîne logistique, il est utile d’établir des cartographies dynamiques des interdépendances techniques et organisationnelles ainsi que des scénarios de crise réguliers.

La sécurisation approfondie de votre Supply Chain peut aussi passer aussi par une meilleure prise en compte des risques liés à la cybersécurité des objets connectés, points faibles souvent exploités comme portes d’entrée par les cybercriminels.

L’encadrement contractuel des risques cyber dans la Supply Chain

L’étape de la formalisation contractuelle des exigences de cybersécurité est cruciale pour structurer la relation avec le prestataire, exiger de sa part un niveau de sécurité adapté aux risques et pouvoir engager sa responsabilité en cas de défaillance. Cela implique de prévoir notamment :

• Des exigences de sécurité :
  • Définir précisément les mesures de protection exigées (chiffrement, authentification forte, correctifs réguliers, etc.) ;
  • Prévoir un droit d’audit étendu, pouvant être exercé par l’entreprise ou un tiers de confiance, afin de vérifier régulièrement la bonne application des mesures convenues ;
  • Inclure des indicateurs de performance en cybersécurité, exigeant du partenaire des rapports périodiques sur son niveau de conformité, ses mises à jour de sécurité et ses plans d’amélioration.
    
• Une procédure de notification d’incident ou de vulnérabilité :
  • Exiger une alerte rapide (sous 24 ou 72 heures, selon le contexte) en cas d’incident de sécurité, avec un protocole de gestion de crise clair (responsable, canal de communication, reporting, plan de remédiation) ;
  • Maintenir un suivi actif des alertes de sécurité en s’appuyant sur des bases de données reconnues (CERT, éditeurs, SBOM – Software Bill of Materials) et appliquer une gestion rigoureuse des correctifs, en testant systématiquement leur compatibilité avant déploiement.
    
• Gestion de la sous-traitance en cascade :
  • Obliger le partenaire à imposer des exigences au moins équivalentes à celles contractuellement convenues auprès de ses propres sous-traitants ;
  • Exiger une transparence accrue (extraits des contrats, documentation sécurité) sur les sous-traitants du prestataire, afin d’éviter des vulnérabilités non-détectées au sein de la chaîne.

La gouvernance interne et le pilotage des risques cyber pour une résilience opérationnelle renforcée

La cyber-résilience de la Supply Chain ne se limite pas à prévoir des obligations contractuelles : elle suppose également une gouvernance interne cohérente de la cybersécurité et une gestion pro-active des risques, au sein de laquelle les directions juridique et achats travaillent en synergie. Selon la criticité des activités, il est pertinent de mettre en place :

• Un comité ad hoc (ou une cellule de coordination) chargé de piloter le risque soulevé par les externalisations, d’établir les priorités et de définir la stratégie de surveillance ;
• Des processus de supervision et de contrôle, avec des revues périodiques du niveau de sécurité, des audits réguliers, et des exercices de gestion de crise pour tester la réactivité de chaque partie prenante ;
• Une gestion proactive des vulnérabilités, grâce à un inventaire précis des composants techniques, un suivi des alertes (éditeurs, CERT, etc.) et une procédure de gestion des correctifs, incluant des tests d’intégration et un déploiement rapide des mises à jour de sécurité ;
• Une politique claire de gestion des incidents, afin de remonter à la direction les alertes et incidents liés aux prestataires : plus l’information circule rapidement, plus la réaction à l’incident sera susceptible d’être efficace ;
• La mise en place d’indicateurs (temps moyen de détection, délais de correction, nombre d’incidents) permettant de quantifier l’état de la sécurité informatique et d’améliorer progressivement la maturité cyber.

Lorsqu’un prestataire joue un rôle essentiel (accès privilégiés, données sensibles, dépendance critique), la mise en place d’une démarche collaborative avec ce dernier pourra s’avérer prolifique, par exemple via des comités de suivi périodiques, des revues conjointes de sécurité et le partage d’informations sur les menaces ou failles émergentes. Les partenaires critiques pourront être impliqués dans des exercices de simulation d’incidents cyber et de gestion de crise, afin de s’assurer de leur capacité à réagir efficacement en cas d’attaque ou de compromission.

Cette approche partenariale permet de bâtir une Supply Chain cyber-sécurisée et résiliente face aux menaces, où chaque acteur se sent à la fois responsable et redevable quant à la protection des biens et des données de l’ensemble de l’écosystème.

La résilience opérationnelle face aux cybermenaces devient un principe clé dans la conception des partenariats : audits conjoints, exercices communs de cybersécurité, mutualisation des ressources et collaboration proactive au sein de l’écosystème.

3. Comment assurer la maîtrise des risques cyber inhérents à la Supply Chain ?

La cybersécurité ne se limite plus à la simple protection du périmètre interne de l’entreprise. À l’ère de l’interconnexion numérique, il est crucial de maîtriser les risques qui émanent de l’extérieur, qu’il s’agisse d’éditeurs de logiciels, de sociétés d’infogérance ou de tout autre partenaire de la Supply Chain. Les principales obligations légales (NIS 2, DORA, RGPD, CER, LPM, etc.) viennent rappeler que la vigilance doit être constante, assortie d’un reporting rigoureux et d’une capacité d’adaptation permanente.

La mise en place de processus internes pour la sélection et le suivi des partenaires, la collaboration étroite entre les directions juridiques, informatiques et achats, et l’instauration de comités de suivi ou de mécanismes de retour d’expérience sont autant de leviers pour renforcer la résilience collective. 

Chez Aumans Avocats, notre accompagnement en cybersécurité couvre toutes les étapes critiques de cette démarche : 

• Élaboration et actualisation des documents internes essentiels (politiques de sécurité, analyses d’impact, charte informatique, etc.) ;
• Négociation de contrats informatiques ;  
• Mise en place et suivi des obligations cyber réglementaires dans les relations contractuelles avec vos fournisseurs et sous-traitants (conformité NIS 2, DORA, RGPD, CER, LPM, etc.) ; 
• Formations dédiées pour sensibiliser vos équipes aux bonnes pratiques de sécurité cyber et à la protection renforcée des données dans un contexte d’usage croissant de l’IA.

Vous souhaitez sécuriser juridiquement votre supply chain et garantir sa pleine conformité réglementaire ? Contactez notre cabinet pour un premier échange personnalisé avec nos avocats spécialisés.

Sources :

• Panorama de la menace informatique 2024 – Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), publié début 2025 ;
• Livre blanc – Risque cyber lié aux fournisseurs : prévenir et gérer les risques cyber de la supply chain – Board of Cyber, Novembre 2023 ;
• Good Practices for Supply Chain Cybersecurity – European Union Agency for Cybersecurity (ENISA), June 2023 ;
• Supply Chain Cybersecurity: Information Bulletin – Cybersecurity and Infrastructure Security Agency (CISA), 2024;
• Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations – National Institute of Standards and Technology (NIST), Special Publication 800-161 Revision 1, 2023 ;
• Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (Directive NIS 2) ;
• Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act – DORA) ;
• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données – RGPD) ;
• Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 relative à la résilience des entités critiques (Critical Entities Resilience – CER) ;
• Loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (LPM 2024-2030) ;
• Règlement (UE) 2022/868 du Parlement européen et du Conseil du 30 mai 2022 portant sur la gouvernance des données (Data Governance Act – DGA) ;​
• Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (Artificial Intelligence Act – AI Act) ;
• Règlement (UE) 2023/2584 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées sur l’accès équitable aux données et leur utilisation (Data Act) ;​
• Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA et à la certification en cybersécurité (Cybersecurity Act).

1. Panorama de la menace informatique 2024 – Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), édition 2025 ↩︎
2. https://www.latribune.fr/technos-medias/informatique/cyberattaque-kaseya-le-coup-de-poker-manque-du-fbi-contre-le-terrible-gang-revil-892876.html ↩︎
3. https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-003/ ↩︎
4. https://www.security.com/threat-intelligence/xtrader-3cx-supply-chain ↩︎
5. https://www.informatiquenews.fr/lecons-a-tirer-de-la-cyber-attaque-xz-utils-thomas-segura-gitguardian-99125 ↩︎
6. Par exemple, la directive NIS 2, article 23, prévoit une obligation de notification des incidents significatifs dans les 24 heures pour l’alerte précoce et 72 heures pour la notification formelle. ↩︎
7. Par exemple, le règlement DORA, article 8, impose aux entités financières de mettre en place des dispositifs de gestion des risques liés aux technologies de l’information et de la communication, incluant des évaluations régulières. ↩︎
8. Par exemple, la directive NIS 2, article 21, exige la mise en place de mesures techniques et organisationnelles appropriées pour gérer les risques identifiés. ↩︎
9. Par exemple, la directive NIS 2, article 24, prévoit que les entités doivent gérer les risques liés à la chaîne d’approvisionnement, y compris en imposant des exigences de sécurité aux fournisseurs.
   Également, le RGPD, article 28, prévoit que les responsables de traitement doivent faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour répondre aux exigences du règlement. ↩︎
10. AI Act, article 15 : «1. La conception et le développement des systèmes d’IA à haut risque sont tels qu’ils leur permettent d’atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, et de fonctionner de façon constante à cet égard tout au long de leur cycle de vie ». ↩︎
11. DGA, article 12 « le prestataire de services d’intermédiation de données prend les mesures nécessaires pour garantir un niveau de sécurité approprié pour le stockage, le traitement et la transmission de données à caractère non personnel, et le prestataire de services d’intermédiation de données garantit également le niveau de sécurité le plus élevé pour le stockage et la transmission d’informations sensibles sous l’angle de la concurrence ; ». ↩︎
12. NIS 2, art.34 4. ↩︎