4 attaques supply chain 2025 : analyse des crises et anticipation des nouveaux vecteurs d’attaque pour 2026
En 2025, plusieurs cyberattaques majeures ont marqué durablement les entreprises et les institutions publiques, tant par leur ampleur que par leurs conséquences économiques, opérationnelles et parfois géopolitiques. Interruptions massives de services, paralysies de chaînes de production, fuites de données à grande échelle, pressions réglementaires accrues et pertes financières significatives, y compris à l’échelle sectorielle, ont confirmé que la cybersécurité est désormais un facteur direct de stabilité économique et de résilience des organisations.
Un point commun se dégage nettement de l’analyse de ces incidents : dans une part croissante des cas, le point d’entrée ne se situe plus dans l’organisation directement impactée, mais chez un partenaire, un prestataire ou un fournisseur technologique. Éditeurs logiciels, prestataires SaaS, intégrateurs IT ou fournisseurs industriels sont devenus des vecteurs privilégiés, permettant aux attaquants de maximiser leur portée tout en contournant des dispositifs de sécurité internes souvent plus matures.
Dans ce contexte, cet article propose une analyse des principales attaques supply chain effectivement survenues en 2025 au niveau mondial, afin d’en décrypter les mécanismes d’exploitation, les vecteurs techniques et surtout les impacts concrets sur l’activité, la gouvernance et la résilience des organisations. Cette lecture met en lumière pourquoi la gestion des risques tiers (TPRM), alignée sur les référentiels ISO 27001, constitue aujourd’hui un levier stratégique incontournable, comme détaillé dans l’article TPRM : comment aborder un projet de Third-Party Risk Management.
Pourquoi la supply chain reste la cible privilégiée des cyberattaques
La chaîne d’approvisionnement numérique repose sur une interconnexion croissante entre éditeurs, intégrateurs, prestataires SaaS, MSP et sous-traitants de rang multiples. Chaque relation contractuelle crée un point d’accès potentiel, souvent plus permissif que les accès internes, car historiquement fondé sur la confiance et la continuité opérationnelle.
Les attaquants exploitent en priorité les dépendances logicielles, les API exposées, les intégrations cloud et les identités techniques insuffisamment gouvernées. À cela s’ajoute la difficulté, pour de nombreuses organisations, de maintenir une vision exhaustive et actualisée de leurs tiers, rendant toute priorisation du risque illusoire sans un cadre structuré de gouvernance et pilotage TPCRM.
Dans la majorité des cas observés en 2025, l’attaque débute par l’exploitation d’une faiblesse chez un fournisseur : vulnérabilité non corrigée, mauvaise configuration ou compromission d’identifiants. La maîtrise des CVE comme levier de renforcement de la cybersécurité est alors déterminante. Une fois l’accès initial obtenu, l’attaquant exploite les interconnexions (SSO, API, CI/CD, outils industriels ou IT) pour se déplacer latéralement jusqu’à l’organisation cliente finale.
Retour sur 4 attaques supply chain en 2025 : vecteurs, impacts et enseignements
Jaguar Land Rover — une attaque fournisseur devenue choc macro-économique
Jaguar Land Rover opère au cœur d’une industrie automobile britannique déjà fragilisée par des chaînes d’approvisionnement tendues et une forte dépendance aux systèmes numériques. Le groupe produit environ 1 000 véhicules par jour au Royaume-Uni et s’appuie sur un écosystème de plusieurs milliers de fournisseurs, ce qui fait de ses systèmes de planification industrielle un actif critique à l’échelle nationale.
L’attaque trouve son origine chez un prestataire IT disposant d’accès aux environnements SAP. La compromission repose sur l’abus de comptes légitimes plutôt que sur des exploits avancés. Compte tenu du rôle central de SAP dans la planification et la logistique, Jaguar Land Rover a pris la décision de déconnecter l’ensemble de son système d’information pour contenir le risque.
L’incident débute le 31 août 2025. Dès début septembre, les principales usines britanniques sont à l’arrêt. La reprise est progressive à partir d’octobre, après cinq à six semaines d’indisponibilité totale ou partielle des capacités industrielles.
Les impacts économiques ont été majeurs et sont encore en train d’être comptabilisés. Le Cyber Monitoring Centre estimait à fin 2025 le coût global pour l’économie britannique à environ £1,9 milliard. L’attaque ayant touché Jaguar Land Rover, déclenchée par la compromission d’un prestataire IT avec accès aux environnements SAP, a entraîné l’arrêt ou le ralentissement de plusieurs sites de production pendant près de six semaines. L’impact s’est propagé à l’ensemble de l’écosystème industriel, affectant plus de 5 000 fournisseurs au Royaume-Uni et mettant en péril jusqu’à 200 000 emplois directs et indirects via des interruptions d’activité et des arrêts de lignes chez de nombreuses PME. Cet incident illustre qu’une attaque supply chain peut devenir un choc économique systémique, faisant de la gouvernance TPRM des fournisseurs critiques un enjeu de continuité nationale. L’enseignement TPRM est clair : lorsqu’un fournisseur accède aux systèmes de pilotage industriel, sa compromission devient un risque systémique, qui doit être gouverné et surveillé en continu comme un actif stratégique.
Marks & Spencer — une cyberattaque multiforme aux pertes massives
Marks & Spencer, grand distributeur britannique, a subi au printemps 2025 un incident cyber complexe attribué à un ransomware exploité via un prestataire tiers, qui a forcé la suspension des commandes en ligne et perturbé les opérations au moment clé des ventes de printemps.
L’attaque, détectée fin avril, a bloqué la plateforme de commandes pendant plus de six semaines, jusqu’à la réactivation complète des services en juin-juillet. Techniquement, des comptes compromis ont permis d’injecter un logiciel malveillant qui a interrompu les services essentiels.
Financièrement, l’entreprise a annoncé une perte estimée à £300 millions de profits opérationnels — soit environ 355 millions d’euros — et une chute de la valeur boursière de plus de £1 milliard, malgré une partie des pertes compensée par leur assurance. Au niveau des résultats, le bénéfice avant impôts a été réduit de façon drastique, certaines estimations évoquant une baisse de plus de 55 % en période de reporting, avec près de £40 millions de pertes de ventes par semaine pendant la phase d’indisponibilité des canaux digitaux.
L’incident a aussi conduit à l’exposition limitée de données clients et à une interruption des flux logistiques alimentant les magasins. Pour les équipes TPRM, cela souligne que les compromissions SaaS via un tiers peuvent avoir un impact économique direct comparable à une attaque sur les systèmes cœur, et qu’une surveillance continue des fournisseurs et des accès SSO/API est indispensable.
Ascension — quand une attaque tierce affecte la continuité des soins
Au printemps 2025, Ascension a confirmé les conséquences opérationnelles d’une cyberattaque initiée via un fournisseur IT tiers, détectée initialement fin mars. L’incident a entraîné l’indisponibilité partielle de systèmes cliniques et administratifs dans plusieurs dizaines d’hôpitaux et de centres de soins du groupe à travers les États-Unis, Ascension exploitant plus de 140 établissements au total.
L’attaque a perturbé l’accès aux dossiers médicaux électroniques, aux outils de prescription et à certains systèmes de planification, obligeant les équipes à fonctionner en mode dégradé pendant plusieurs semaines. Selon les communications du groupe, les opérations critiques ont été maintenues, mais avec des retards significatifs, des reports d’actes non urgents et une charge accrue pour les équipes médicales et administratives.
Cet incident illustre de manière concrète qu’une compromission via un fournisseur tiers, même sans chiffrement massif des systèmes, peut affecter durablement la continuité des soins. Pour le TPRM, le cas Ascension rappelle que dans les secteurs de santé, la criticité d’un tiers doit être évaluée à l’aune de son impact clinique potentiel, et que la gouvernance des accès fournisseurs conditionne directement la résilience des services essentiels.
Boeing — la persistance du risque supply chain industriel
Au cours de l’année 2025, Boeing a confirmé avoir été confronté à plusieurs incidents cyber impliquant des fournisseurs et prestataires industriels, dans un contexte de renforcement global de la surveillance de sa chaîne d’approvisionnement numérique. Ces incidents relèvent principalement des compromissions par vol d’identifiants, d’accès non autorisés à des portails fournisseurs et de tentatives d’exfiltration de données, sans atteinte directe aux systèmes cœur du groupe.
Les attaques ont ciblé des tiers intervenants sur des périmètres documentaires, logistiques et d’ingénierie, notamment des plateformes de partage de données techniques, des outils de gestion de la maintenance et des environnements collaboratifs utilisés pour l’échange de plans, de nomenclatures et de documents de conformité entre Boeing et ses partenaires industriels. Boeing a indiqué que certaines de ces plateformes tierces avaient été temporairement suspendues ou restreintes par mesure de précaution.
Si les incidents n’ont pas entraîné d’arrêt de production immédiat, ils ont généré des perturbations opérationnelles, des retards dans certains échanges industriels et un renforcement des contrôles contractuels et techniques imposés aux fournisseurs concernés. Ce cas illustre que, dans l’aéronautique, la surface d’attaque supply chain ne se limite pas aux systèmes de production, mais inclut l’ensemble des outils collaboratifs et documentaires, dont la compromission peut affecter la continuité industrielle, la propriété intellectuelle et la conformité réglementaire.
Enseignements stratégiques et opérationnels
Les attaques de 2025 confirment que la vulnérabilité principale se situe dans le maillon fournisseur le moins mature et souvent invisible. Les impacts business convergent : ruptures de service, pertes financières, obligations de notification, contentieux et atteinte durable à la réputation.
Pour y répondre, les organisations doivent dépasser les audits ponctuels et structurer une gouvernance transverse, combinant cartographie des tiers, priorisation par criticité, évaluation continue et surveillance externe. L’association d’une gouvernance TPCRM, d’une notation cyber et de l’EASM constitue aujourd’hui un socle opérationnel cohérent.
Nouveaux vecteurs d’attaque : volumes, tendances et typologies dominantes
Les dernières données issues des principaux rapports internationaux de cybersécurité montrent un changement d’échelle dans la menace : les attaques sont à la fois plus fréquentes, plus industrialisées et plus structurées, avec une orientation marquée vers des points d’entrée indirects. La compromission de tiers, longtemps considérée comme un risque secondaire, s’impose désormais comme l’un des leviers les plus efficaces pour maximiser l’impact économique et opérationnel d’un incident.
Les violations impliquant un fournisseur ou un partenaire technologique représentent aujourd’hui près d’un tiers des incidents de sécurité recensés, contre une part nettement inférieure quelques années auparavant. Cette progression rapide confirme que les attaques supply chain ne constituent plus des scénarios exceptionnels, mais un mode opératoire central, utilisé aussi bien par des groupes cybercriminels que par des acteurs plus structurés.
En volume, les attaques fondées sur le vol de credentials restent le principal vecteur d’accès initial. Phishing ciblé, compromission de comptes SaaS, contournement de mécanismes MFA ou réutilisation d’identifiants exposés alimentent une part significative des intrusions. Peu coûteuses à mener et difficiles à distinguer d’un usage légitime, ces attaques servent fréquemment de point d’entrée à des opérations plus complexes, en particulier dans des environnements interconnectés avec des tiers.
Le ransomware, notamment sous sa forme Ransomware-as-a-Service, demeure l’un des vecteurs les plus destructeurs. Les incidents récents montrent une évolution nette des stratégies d’extorsion : le chiffrement des systèmes n’est plus systématique, tandis que l’exfiltration et la menace de divulgation de données deviennent des leviers économiques prioritaires. Cette approche est particulièrement efficace lorsque les données concernent plusieurs organisations à la fois, comme dans les attaques impliquant des prestataires mutualisés.
Les attaques supply chain à proprement parler se distinguent par leur capacité à produire des effets en cascade. Un point de compromission unique peut affecter simultanément des dizaines, voire des centaines d’organisations clientes. Les analyses disponibles indiquent que ces incidents sont en moyenne plus longs à détecter et plus coûteux à remédier que les attaques directes, en raison de la complexité des relations contractuelles, techniques et organisationnelles entre les acteurs concernés.
Parallèlement, l’exploitation des API, des intégrations cloud et des certificats s’affirme comme un vecteur de propagation privilégié. Dans des environnements fortement automatisés, la compromission d’un fournisseur SaaS ou d’un outil partagé permet un déplacement latéral rapide vers les systèmes clients, souvent sans recourir à des exploits sophistiqués. Cette dynamique est particulièrement marquée dans les secteurs où les flux inter-organisations sont critiques, comme la finance, le retail, l’industrie ou la santé.
Enfin, les attaques ciblant des dépendances open source transitives continuent de progresser. En s’attaquant à des composants indirects, profondément intégrés dans les chaînes CI/CD, les attaquants exploitent une zone de faible visibilité pour les organisations. Ces compromissions, souvent discrètes, renforcent la dimension invisible du risque supply chain et compliquent l’identification rapide de la source de l’incident.
Sur le plan économique, ces évolutions se traduisent par une hausse notable du coût global des incidents. Les attaques impliquant des tiers génèrent non seulement des dépenses techniques de remédiation, mais aussi des impacts juridiques, contractuels et réputationnels étalés dans le temps. À l’échelle macro, plusieurs incidents récents ont démontré que ce type d’attaque pouvait perturber durablement des chaînes de valeur entières, affecter la confiance des marchés et fragiliser la continuité de services essentiels.
Ces constats expliquent pourquoi les exigences de résilience opérationnelle portées par les régulateurs et les autorités publiques ne se limitent plus à la protection du système d’information interne. La capacité à surveiller en continu la surface d’attaque étendue, piloter les dépendances fournisseurs et anticiper les effets en cascade devient un critère clé de robustesse économique et stratégique.
Conclusion – La nouvelle réalité du risque tiers
Les attaques supply chain de 2025 démontrent que la cyber-résilience se mesure désormais à la capacité d’une organisation à piloter sa surface d’attaque étendue. Une stratégie combinant TPRM structuré, notation cyber, EASM et gouvernance continue s’impose pour anticiper les menaces émergentes et préparer les nouveaux vecteurs d’attaque attendus en 2026.
FAQ
Quelles tendances majeures distinguent 2025 ?
Professionnalisation du RaaS, exploitation accrue des dépendances open source, focalisation sur les prestataires IT à effet de levier (ESN/MSP) et hausse des attaques credential-based.
Quels enseignements opérationnels tirer des incidents récents ?
Cartographier les tiers, contractualiser des exigences sécurité, monitorer en continu (EASM), appliquer Zero Trust aux accès tiers et tester les plans de continuité/réponse.
Comment mesurer la maturité de sa posture supply chain ?
Indicateurs clés : taux de fournisseurs certifiés (ISO 27001/SOC2), exposition EASM, fréquence/gravité des CVE, résultats d’audits externes, nombre d’exercices de crise et MTTR.
