Trustlinks free webinar: Turning regulation into resilience – Register now

Restez au courant des dernières tendances et des meilleures pratiquesLe blog Trustlinks

Pourquoi les attaques visant la chaîne d'approvisionnement sont à l'origine de nouvelles réglementations en matière de cybersécurité

De MOVEit à Land Rover : pourquoi les attaques visant la chaîne d'approvisionnement sont à l'origine de nouvelles réglementations en matière de cybersécurité.

Les attaques visant la chaîne d’approvisionnement sont devenues l’une des formes de cyberrisque les plus perturbatrices et les plus coûteuses. Un seul fournisseur compromis peut exposer des centaines, voire des milliers d’organisations, y compris celles dotées d’une sécurité interne solide. Cette évolution de la dynamique des menaces est l’une des principales raisons pour lesquelles des réglementations telles que la DORA et la NIS2 accordent une importance bien plus grande à la gestion des risques liés aux tiers, à la résilience opérationnelle et à la surveillance fondée sur des preuves. Les régulateurs réagissent à une réalité simple : la résilience d’une organisation dépend de celle de son maillon le plus faible au sein de sa chaîne d’approvisionnement.

Vous trouverez ci-dessous quatre attaques ciblant la chaîne d’approvisionnement, largement documentées, qui illustrent ensemble pourquoi une gestion structurée des risques n’est plus une option, quelle que soit la taille de l’entreprise :

  • MOVEit Transfer (2023) : plus de 2 600 organisations et 90 millions de personnes ont été touchées par une seule faille de type « zero-day » dans un outil de transfert de fichiers très répandu
  • Kaseya VSA (2021) : un ransomware s’est propagé à environ 1 500 entreprises via une plateforme de gestion à distance compromise, utilisée par des prestataires de services gérés
  • JBS (2021) : le plus grand fournisseur mondial de viande a été contraint de suspendre ses activités aux États-Unis, en Australie et au Canada à la suite d’une attaque par ransomware
  • Jaguar Land Rover (2025) : une cyberattaque directe contre le constructeur a interrompu la production pendant environ six semaines, entraînant une perte estimée à 485 millions de livres sterling en un seul trimestre

Attaque visant la chaîne d’approvisionnement de MOVEit Transfer (2023)

La faille de sécurité de MOVEit est l’un des incidents les plus préjudiciables survenus au sein de la chaîne d’approvisionnement ces dernières années. MOVEit, un outil de transfert de fichiers largement utilisé, a été compromis par une vulnérabilité « zero-day » jusque-là inconnue. Les pirates ont exploité cette faille pour accéder à des données sensibles détenues par les clients de MOVEit dans de nombreux secteurs, parmi lesquels figurent des victimes de premier plan telles que la BBC, British Airways, Shell et plusieurs agences fédérales américaines. Au total, plus de 2 600 organisations ont été touchées, ce qui a eu des répercussions sur plus de 90 millions de personnes. L’avis de la CISA concernant cet incident reste l’un des comptes rendus publics les plus complets sur le déroulement de l’attaque.

Ce qui a rendu la faille de sécurité de MOVEit particulièrement grave, c’est que de nombreuses organisations touchées disposaient de solides dispositifs de sécurité interne. Ceux-ci n’ont toutefois offert qu’une protection limitée lorsque le risque provenait d’un outil tiers. C’est précisément ce type de défaillance en cascade que les réglementations DORA et NIS2 visent à prévenir.

Attaque par ransomware visant Kaseya VSA (2021)

L’attaque contre Kaseya illustre clairement à quel point les incidents liés à la chaîne d’approvisionnement affectent de manière disproportionnée les petites entreprises. Kaseya, un fournisseur de logiciels de gestion à distance destinés aux prestataires de services gérés, a été piraté en raison de vulnérabilités présentes dans son produit VSA. Cette faille a permis à un rançongiciel de se propager rapidement à environ 1 500 entreprises en aval dans les secteurs du commerce de détail, de la logistique, de l’industrie et des services professionnels. La CISA a publié des recommandations spécifiques à l’intention des organisations touchées et de leurs prestataires de services dans les jours qui ont suivi.

L’incident de Kaseya met en évidence un point essentiel : les faiblesses des tiers deviennent rapidement vos propres faiblesses. Les petites entreprises sont souvent plus exposées, car elles dépendent fortement de prestataires externes et ne disposent pas des ressources nécessaires pour évaluer en permanence les risques liés à leurs fournisseurs. C’est précisément pour cette raison que les autorités de régulation exigent désormais des évaluations documentées des fournisseurs, une surveillance continue et une responsabilité clairement définie.

Attaque par ransomware contre JBS (2021)

L’attaque contre JBS, le plus grand fournisseur mondial de viande, a montré à quelle vitesse une cyberattaque peut passer d’un simple problème informatique à un enjeu de résilience nationale. Un rançongiciel a contraint l’entreprise à interrompre ses activités aux États-Unis, en Australie et au Canada, perturbant ainsi les chaînes d’approvisionnement alimentaires mondiales et entraînant des coûts de remise en état considérables. Comme l’avait rapporté Reuters à l’époque, la Maison Blanche a confirmé que l’attaque provenait d’une organisation criminelle probablement basée en Russie, ce qui a suscité des comparaisons avec l’incident de Colonial Pipeline survenu quelques semaines plus tôt.

L’approvisionnement alimentaire est considéré comme une infrastructure critique, ce qui explique pourquoi les autorités ont depuis renforcé les exigences en matière de résilience, de notification et de gestion des risques dans le cadre de réglementations telles que la directive NIS2.

Cyberattaque contre Jaguar Land Rover (2025)

En août 2025, Jaguar Land Rover a été victime d’une cyberattaque directe qui a contraint l’entreprise à interrompre la production dans l’ensemble de ses sites britanniques pendant environ six semaines. Comme l’a rapporté Computer Weekly, l’entreprise a enregistré une perte de 485 millions de livres sterling pour le trimestre au cours duquel l’attaque s’est produite, contre un bénéfice de 398 millions de livres sterling à la même période l’année précédente. Le coût économique global pour le Royaume-Uni a été estimé à 1,5 milliard de livres sterling. Des milliers de salariés ont été renvoyés chez eux, les fournisseurs ont eu du mal à percevoir leurs paiements, et les répercussions se sont propagées à l’ensemble de la chaîne d’approvisionnement automobile.

L’incident survenu chez JLR met en évidence la manière dont une cyberattaque visant une seule organisation peut se propager rapidement à l’ensemble d’un écosystème de fournisseurs, de partenaires et de prestataires logistiques — et explique pourquoi la compréhension de ces interdépendances est désormais une exigence réglementaire, et non plus seulement une bonne pratique.

Pourquoi ces incidents sont-ils importants pour la conformité aux normes NIS2 et DORA ?

Ces cinq incidents mènent tous à la même conclusion : la cyber-résilience ne se limite plus à vos propres systèmes. Elle dépend de chaque fournisseur et prestataire de services sur lequel vous comptez. En vertu des règlements DORA et NIS2, les organisations sont tenues d’identifier et d’évaluer leurs fournisseurs tiers, de documenter et de surveiller les risques liés à la chaîne d’approvisionnement, d’assurer la continuité même lorsqu’un fournisseur est compromis, et de mettre en place des processus clairs ainsi que des preuves de leur surveillance. Ce sont là des domaines dans lesquels de nombreuses organisations rencontrent des difficultés, en particulier celles qui ne disposent pas d’équipes dédiées à la conformité ou à la sécurité.

La gestion des risques liés à la chaîne d’approvisionnement est l’un des aspects les plus exigeants de la mise en conformité avec les directives DORA et NIS2. Trustlinks est conçu pour apporter structure et clarté face à ce défi, grâce à des workflows guidés pour l’évaluation des risques fournisseurs, une documentation centralisée, des rappels automatisés pour les révisions et les renouvellements, ainsi qu’une mise en correspondance directe entre les exigences réglementaires et les mesures que votre organisation doit prendre. Une seule plateforme, une visibilité totale, toujours prêt pour un audit.

Looking for a secure and user-friendly compliance solution?Share your details, and we’ll contact you to discuss how Trustlinks can help.

Parlez avec la Territory Manager
Camilla Corsini

Blog TrustlinksÀ lire ensuite...

Les établissements financiers s'inquiètent des attaques basées sur l'AI : voici ce que DORA attend de vous
Vous n'arrivez plus à corriger les problèmes assez rapidement. Voici pourquoi les contrôles compensatoires deviennent essentiels.
L'AI accélère les cybermenaces, mais la mise en conformité reste à la traîne

Réservez une démo

Envoyez-nous un message et notre équipe vous répondra dans les plus brefs délais.

Réservez une démo

Envoyez-nous un message et notre équipe vous répondra dans les plus brefs délais.
Logo Trustlinks blanc.

Contactez notre service commercial

Vous avez des questions sur les tarifs, les cadres ou la manière dont Trustlinks peut s’adapter à votre organisation ? Notre équipe est là pour vous aider à trouver la solution qui vous convient.

→ Ou consultez notre foire aux questions

Obtenir assistance produit

Vous avez besoin d’aide pour utiliser la plateforme ou vous rencontrez un problème ? Notre équipe d’assistance est prête à vous aider.

Contactez nous