Dépendances supply chain : votre angle mort cyber

Une attaque informatique n’a pas besoin de « casser » vos systèmes pour vous mettre à l’arrêt. Elle peut simplement casser ce dont vous dépendez. Et c’est précisément ce qui rend les dépendances de supply chain si dangereuses : elles sont souvent invisibles sur les schémas d’architecture, absentes des tableaux de risques, et… découvertes le jour où tout s’arrête.

J’ai entendu des directions dire : « On a un bon PRA, on est couverts. » La réalité ? La plupart des PRA sont centrés sur vos serveurs, vos sauvegardes, vos accès. Pas sur le prestataire qui gère un flux critique, l’éditeur SaaS qui porte votre facturation, le sous-traitant qui opère une brique industrielle, ou le fournisseur de données qui alimente votre scoring. Votre résilience ne vaut que celle de votre chaîne de dépendances.

Dans cette série « Intelligence artificielle dans la cybersécurité », je défends une idée simple : l’IA est particulièrement utile quand la complexité dépasse la capacité humaine à tout voir. Les dépendances supply chain en sont l’exemple parfait.

La résilience ne se joue pas sur vos firewalls

Point clé : l’impact opérationnel se produit là où se trouvent vos dépendances. Les cyberattaques créent souvent des dégâts temporaires côté technique, mais des dégâts durables côté business : ruptures de service, pénalités contractuelles, pertes de chiffre, atteinte à la confiance.

Un enseignement ressort des retours d’expérience sur des crises récentes (y compris dans des contextes d’infrastructures critiques) : quand les opérations physiques prennent le relais—production, logistique, soins, distribution—le numérique n’est plus un sujet « IT », c’est un sujet de continuité d’activité.

Un exemple parlant : vous pouvez durcir votre SI, mais si un prestataire essentiel tombe (ransomware, sabotage, erreur de configuration, indisponibilité cloud), vous vous retrouvez à court de ressources, de matières, de données ou de capacités. Résultat : vous êtes “cyber-résilient” sur le papier, mais stoppé dans la vraie vie.

Le mythe du « nous, on n’est pas une cible »

Le mythe n°1 en 2025 : « On ne risque rien, on n’est pas dans la défense ou la santé. » Faux. Les attaquants visent ce qui paie vite.

• Un acteur peu mature, mais ultra-connecté à 200 clients, est une cible rentable.
• Un fournisseur unique, avec un produit “petit” mais indispensable, est une cible rentable.
• Une dépendance “banale” (support, maintenance, transport, data) peut devenir votre point d’arrêt.

La supply chain, c’est l’attaque par le côté. Et ça marche.

Cartographier les dépendances : la partie que personne n’aime (mais qui sauve)

Point clé : si vous ne pouvez pas nommer vos dépendances critiques, vous ne pouvez pas les sécuriser. La cartographie utile n’est pas un inventaire de fournisseurs. C’est une carte opérationnelle : « Qu’est-ce qui doit fonctionner pour livrer notre promesse client ? »

Ce qu’il faut cartographier (vraiment)

Au-delà du tier 1 (vos prestataires directs), cherchez les dépendances « cachées » :

1. Dépendances techniques : cloud, DNS, IAM/SSO, CDN, outils de supervision, API tierces.
2. Dépendances data : sources de données externes, enrichissement, scoring, EDI.
3. Dépendances métiers : logistique, centre d’appels, facturation, gestion des soins, maintenance.
4. Dépendances humaines : sous-traitants à privilèges, infogérance, équipes d’astreinte.
5. Concentration : fournisseur unique, même prestataire pour plusieurs fonctions, même région géographique.

Phrase à garder en tête : « Une dépendance devient critique quand son indisponibilité dépasse votre tolérance d’arrêt. »

Un test simple : le “stress test à 24 heures”

Prenez vos 5 processus les plus critiques (livraison, production, paiement, prise en charge, support…). Pour chacun :

• Si ce fournisseur tombe 24 h, que se passe-t-il ?
• À 72 h, quelles obligations légales/contractuelles explosent ?
• À 7 jours, quel est le coût (CA, pénalités, churn, image) ?
• Quel contournement réaliste existe (mode dégradé, fournisseur alternatif, manuel) ?

Vous obtenez une liste de dépendances « où ça casse ». C’est votre vrai point de départ.

Le scénario qui change la donne : l’extorsion “en cascade”

Point clé : l’attaque d’un tiers peut devenir un levier de pression sur tous ses clients. Aujourd’hui, la plupart des extorsions ciblent d’abord l’organisation attaquée. Mais le modèle économique “logique” pour un cybercriminel, c’est de monétiser l’impact chez les dépendants : si 50 entreprises perdent chacune 500 k€ par jour à cause d’un fournisseur indisponible, le pouvoir de négociation se déplace.

Concrètement, on voit émerger des dynamiques où :

• un fournisseur se fait chiffrer,
• les délais de reprise s’allongent,
• les clients sont exposés (arrêt de production, soins retardés, facturation bloquée),
• la question devient : qui paie pour remettre la chaîne en marche ?

Ce scénario n’est pas une fiction de thriller. C’est une conséquence directe de la mutualisation (SaaS, cloud, infogérance) et des dépendances « mono-fournisseur ».

Pourquoi c’est un sujet de COMEX, pas seulement de RSSI

Quand la dépendance est critique, la décision à prendre n’est plus uniquement technique. Elle touche :

• la continuité de service,
• la sécurité des personnes (santé, transport, industrie),
• la conformité (données, délais de notification, obligations sectorielles),
• la réputation.

Le RSSI apporte la méthode. Le COMEX arbitre le risque et finance la résilience.

Là où l’IA aide vraiment : détecter l’invisible, prioriser l’urgent

Point clé : l’IA en cybersécurité est surtout utile pour corréler des signaux dispersés et accélérer la décision. Sur la supply chain, l’enjeu n’est pas d’avoir « plus d’alertes », mais de meilleures alertes, au bon endroit.

1) Observer la dépendance, pas seulement votre SI

Une approche moderne consiste à mettre en place une supervision “supply chain aware” :

• disponibilité et latence d’API tierces,
• anomalies de volumes (EDI, commandes, flux data),
• dérives de comportements (comptes à privilèges chez un prestataire),
• signaux faibles sur l’écosystème (pannes récurrentes, changements de certificats, incidents publics).

L’IA (et plus précisément l’analyse comportementale et la détection d’anomalies) permet de repérer des ruptures avant qu’elles ne deviennent des arrêts complets : baisse progressive d’un service, erreurs intermittentes, temps de réponse qui grimpe, pics d’échecs d’authentification.

2) Prioriser les risques supply chain avec une logique d’impact

Beaucoup d’entreprises évaluent les fournisseurs avec des questionnaires. Utile, mais insuffisant. L’IA peut aider à relier un incident à son impact métier :

• Quel fournisseur affecte quel processus ?
• Quels clients finaux sont touchés ?
• Quel coût estimé par heure d’arrêt ?

Ce type de priorisation devient crucial quand vous gérez des dizaines (ou centaines) de tiers. Sans scoring dynamique, tout ressemble à une urgence.

3) Accélérer la réponse : playbooks et décision assistée

Quand un prestataire tombe, on perd souvent 2 à 6 heures sur : « Qui est propriétaire ? Qui appelle qui ? Quel plan B ? »

Avec des outils de réponse assistée (SOAR) enrichis par IA :

• les playbooks se déclenchent selon le type de dépendance,
• les communications internes/externes se standardisent (client, juridique, ops),
• les actions de contournement se suggèrent (mode dégradé, bascule, limitation de service).

Ce n’est pas “magique”. Mais ça réduit la confusion, et la confusion coûte cher.

Construire une résilience supply chain qui tient la route

Point clé : la résilience se conçoit comme un produit : exigences, tests, mesures, amélioration continue. Voici ce que je recommande quand on veut passer du discours à l’opérationnel.

Le kit “pragmatique” en 30 jours

1. Lister les services vitaux (pas les applis) et leur tolérance d’arrêt (RTO/RPO).
2. Identifier les dépendances tierces derrière ces services (y compris tier 2 si possible).
3. Classer critique / important / non critique selon impact et substituabilité.
4. Définir un mode dégradé pour chaque dépendance critique (fonctionnalités minimales).
5. Mettre un plan de communication prêt à l’emploi (clients, partenaires, autorités si besoin).

Les contrôles qui font la différence (au-delà des questionnaires)

• Clauses de notification d’incident avec délais réalistes (et canaux 24/7).
• Exigences de journalisation et conservation des logs (utile en investigation).
• Tests de reprise : pas une fois par an « pour cocher la case », mais sur des scénarios concrets.
• Segmentation des accès tiers : moindre privilège, accès temporaires, traçabilité.
• Plan B contractuel : fournisseur alternatif, capacité de bascule, stocks, procédures manuelles.

Où placer l’IA dans ce plan

Si vous ne faites qu’une chose, faites celle-ci : connecter votre cartographie de dépendances à votre supervision et à votre gestion d’incidents.

• La cartographie donne le contexte.
• La supervision donne les signaux.
• L’IA aide à corréler, à prioriser et à guider la réponse.

Sans cartographie, l’IA tourne à vide. Sans IA, la cartographie reste un PDF oublié.

Questions fréquentes (et réponses directes)

« Faut-il exiger zéro risque chez les fournisseurs ? »

Non. Exigez un risque compatible avec votre activité. Un prestataire peut être imparfait, tant que vous avez des modes dégradés et des alternatives.

« Comment gérer les fournisseurs SaaS incontournables ? »

Traitez-les comme des infrastructures critiques : supervision dédiée, procédures de contournement, export régulier des données essentielles, et scénario de bascule (même partiel).

« L’IA suffit-elle pour protéger la supply chain ? »

Non. L’IA améliore la vitesse et la qualité des décisions, mais elle ne remplace ni la gouvernance fournisseurs, ni les architectures résilientes, ni les exercices de crise.

Ce que je veux que vous reteniez (et fassiez lundi matin)

Les dépendances supply chain sont le point d’entrée le plus sous-estimé des crises cyber. Et c’est logique : elles sont hors de votre périmètre, mais au cœur de votre promesse client. La vraie question n’est pas “sommes-nous protégés ?”, mais “pouvons-nous continuer à opérer si un tiers tombe ?”

Si vous pilotez un SI, une DSI, un RSSI ou un métier, je vous conseille un geste concret avant la fin de l’année : choisissez une dépendance critique et faites un exercice de crise de 60 minutes (indisponibilité totale, puis reprise partielle). Vous verrez immédiatement les trous : contacts, décisions, modes dégradés, messages clients.

Dans la série « Intelligence artificielle dans la cybersécurité », on revient souvent à la même idée : l’IA ne remplace pas la stratégie, elle la rend exécutable à l’échelle. Appliquée à la supply chain, elle devient un avantage très pragmatique : voir plus tôt, trier mieux, réagir plus vite.

Et vous, quelle dépendance “évidente” serait en réalité votre plus gros point d’arrêt si elle disparaissait pendant 72 heures ?