Publié le 2025-11-07 11:48:00. Les attaques ciblant la chaîne d’approvisionnement logicielle ont atteint un pic sans précédent en octobre 2025, dépassant de plus de 30 % le précédent record. Cette escalade spectaculaire souligne une évolution stratégique des cybercriminels, qui privilégient désormais les compromissions indirectes via des partenaires technologiques plutôt que les intrusions directes.
- En octobre 2025, les attaques sur la chaîne d’approvisionnement logicielle ont atteint un nouveau record, enregistrant 41 incidents revendiqués par des acteurs malveillants.
- Les groupes de rançongiciels Qilin et Akira sont identifiés comme principaux responsables de cette activité accrue en 2025.
- L’informatique et la finance sont les secteurs les plus touchés, mais les infrastructures critiques comme l’énergie, la santé et l’industrie manufacturière sont également des cibles majeures.
Les nouvelles données publiées par Cyble révèlent une augmentation alarmante des cyberattaques visant la chaîne d’approvisionnement logicielle. En octobre 2025, 41 incidents ont été recensés, marquant une hausse de plus de 30 % par rapport au pic précédent d’avril. Depuis avril, le rythme des attaques est resté élevé, avec une moyenne de plus de 28 attaques mensuelles, soit plus du double du niveau enregistré entre début 2024 et mars 2025.
Les secteurs de l’énergie et des services publics, de la santé et de l’industrie manufacturière sont particulièrement touchés, chacun ayant subi entre 20 et 30 attaques au cours de cette période. L’analyse de Cyble met en évidence l’implication prépondérante des groupes de rançongiciels Qilin et Akira dans cette vague d’attaques en 2025.
Au niveau sectoriel, l’informatique se révèle être la cible privilégiée, avec près de 120 attaques enregistrées, représentant une part significative du total. Le secteur financier suit de près avec plus de 80 attaques, environ 70 % du volume observé dans l’informatique. D’autres secteurs comme les transports, la technologie et le gouvernement connaissent des taux d’attaque modérés, oscillant entre 30 et 50 incidents. L’industrie agroalimentaire observe également une tendance similaire, avec un peu moins de 40 attaques recensées.
Les secteurs de la vente au détail, des biens de consommation et de l’automobile sont moins fréquemment ciblés, avec des incidents allant de 10 à 20 pour chacun. L’aérospatiale/défense, les médias/divertissement, l’hôtellerie et la construction affichent une fréquence d’attaques relativement faible, inférieure à 10 incidents. Enfin, les secteurs de l’éducation, de la chimie, de l’agriculture, de l’immobilier, de la pharmacie/biotechnologie et des métaux/mines sont ceux qui subissent le moins d’attaques sur la chaîne d’approvisionnement, avec moins de 5 incidents chacun.
Cette évolution reflète un changement stratégique majeur dans les modes opératoires des cyberattaquants. Désormais, l’accent est mis sur les compromissions indirectes par le biais de partenaires technologiques tiers, plutôt que sur les intrusions directes dans les réseaux. Cette dépendance croissante envers des fournisseurs de services cloud, des éditeurs de logiciels et des intégrateurs industriels rend indispensable une vigilance accrue concernant l’assurance logicielle, la transparence des fournisseurs et la collaboration en matière de réponse aux incidents.
Alors que les attaquants affinent leurs tactiques pour exploiter les relations de confiance, la frontière entre les environnements informatiques (IT) et opérationnels (OT) s’estompe. Cette réalité accentue l’urgence d’une gouvernance unifiée, d’une visibilité accrue sur la chaîne d’approvisionnement et d’une planification de la résilience à travers l’ensemble des écosystèmes opérationnels.
Cyble a notamment rapporté qu’Akira a récemment revendiqué la responsabilité d’une cyberattaque ciblant un projet majeur de logiciel open source. Le groupe affirme détenir 23 Go de données, incluant des informations sensibles sur les employés, des documents financiers, des fichiers internes confidentiels et des rapports liés à des problèmes logiciels et aux opérations internes.
Akira aurait également mené plusieurs attaques contre des fournisseurs de services informatiques. Parmi eux figurent une entreprise développant des solutions logicielles pour le gouvernement et les forces de l’ordre, un fournisseur de logiciels de gestion de données de conformité et environnementales pour les secteurs industriel et énergétique, ainsi qu’une société américaine spécialisée en cybersécurité et conseil pour les secteurs gouvernemental, du renseignement et de la défense. Dans ce dernier cas, le groupe prétend détenir plus de 19 Go de données, incluant des dossiers financiers, des informations sensibles sur les employés et les clients, des documents confidentiels, des accords de non-divulgation (NDA) et d’autres fichiers contenant des données personnelles et d’entreprise.
Qilin a revendiqué la compromission d’une société américaine de technologie financière spécialisée dans le traitement des paiements, la gestion des transactions et les solutions d’infrastructure financière. Les données volées comprendraient des rapports confidentiels, des répertoires SharePoint internes et une liste d’employés de l’infrastructure informatique d’une grande société de services financiers.
Cyble a également indiqué que Qilin a revendiqué une attaque contre une entreprise américaine fournissant des solutions technologiques pour les secteurs de l’application de la loi, de la justice pénale, de la sécurité publique et de la sûreté. Outre des données comptables, RH et des informations de paiement client provenant de diverses agences, le code source de produits logiciels propriétaires aurait été dérobé.
Qilin a par ailleurs revendiqué des attaques contre trois coopératives énergétiques américaines, notamment le vol d’informations sur des projets, de détails sur l’obsolescence d’équipements, d’accords contractuels avec des entités gouvernementales américaines et d’informations de facturation client.
Une autre violation présumée attribuée à Qilin concerne un fournisseur américain de services de cybersécurité et de cloud computing. Ce dernier offre des solutions d’infrastructure informatique, des services gérés et de conformité pour les organisations de santé et dentaires. Les attaquants auraient accédé aux environnements clients en aval en utilisant des identifiants stockés en clair dans des documents Word et Excel hébergés sur les systèmes de l’entreprise. Les données volées incluraient des informations personnelles clients, des dossiers financiers et des documents médicaux, tels que des mots de passe non chiffrés, des données financières et des rapports médicaux.
Un groupe de rançongiciels nouvellement identifié, nommé Cyber, a divulgué des données prétendument volées à un important sous-traitant américain de la défense et de l’aérospatiale, fournisseur de systèmes de communication, de surveillance et de guerre électronique. Plus de 141 Go de données auraient été compromis, comprenant des fichiers de projet, des versions internes, des bases de données et des archives de sauvegarde.
Le groupe de pirates BlackShrantac a revendiqué une violation chez un fournisseur sud-coréen de services de cybersécurité et de sécurité physique. Environ 24 Go de données auraient été dérobés, contenant des informations clients, des données réseau et infrastructure, des informations RH et paie, des données de commerce électronique et de la documentation technique de cybersécurité, incluant le code source du site web, des clés API et des fichiers de configuration.
Pour étayer ses affirmations, BlackShrantac a publié des exemples de fichiers semblant démontrer un accès à de la documentation interne, des plans techniques, des feuilles Excel de configuration et d’autres données sensibles de l’entreprise.
Le groupe de rançongiciels Cl0p a également été actif, visant plusieurs victimes suite à l’exploitation de vulnérabilités dans Oracle E-Business Suite. Parmi ses victimes figurent une grande entreprise mondiale de technologie énergétique et une importante université américaine.
Cyble a également mentionné Crimson Collective, un groupe de menaces qui prétend avoir compromis une instance GitLab d’un grand fournisseur de technologie américain, volant notamment 800 rapports d’engagement client. Les attaquants auraient eu accès à l’infrastructure de clients via des identifiants et jetons trouvés dans les dépôts compromis.
Se prémunir contre les attaques sur la chaîne d’approvisionnement logicielle s’avère complexe, car les partenaires et fournisseurs sont, par nature, considérés comme de confiance. Cependant, les audits de sécurité et l’évaluation des risques liés aux tiers devraient devenir des pratiques standard en matière de cybersécurité.
Les organisations doivent intégrer des contrôles et renforcer leur résilience pour limiter l’impact des attaques potentielles. Cela passe par la mise en œuvre d’une microsegmentation réseau et l’application de contrôles d’accès stricts, avec des autorisations limitées au strict nécessaire et régulièrement vérifiées. Il est également crucial d’établir une gestion robuste des identités et de l’authentification des utilisateurs, en combinant authentification multifacteur (MFA), biométrie et authentification automatique incluant la conformité des appareils et des contrôles de santé.
Les données doivent être chiffrées au repos et en transit. Les sauvegardes résilientes aux rançongiciels doivent être immuables, isolées et hors ligne pour garantir les capacités de récupération. Le déploiement de « honeypots » (pots de miel) peut inciter les attaquants à agir sur de faux actifs, permettant ainsi une détection précoce des violations.
De plus, les organisations doivent assurer une configuration adéquate des connexions aux API et services cloud, tout en surveillant les activités inhabituelles via les systèmes SIEM (Security Information and Event Management), la surveillance Active Directory et les outils de prévention de perte de données (DLP). Des audits réguliers, des analyses de vulnérabilités et des tests d’intrusion sont essentiels pour confirmer l’efficacité et la mise à jour des contrôles.
Au début de l’année, le Forum Économique Mondial (FEM) avait déjà alerté sur le défi croissant que représente la sécurisation des chaînes d’approvisionnement logicielles, soulignant le besoin impératif de se protéger contre les dépendances cachées. Alors que les entreprises s’appuient de plus en plus sur des fournisseurs de logiciels tiers et des solutions open source, elles rencontrent des obstacles majeurs pour garantir la sécurité et l’intégrité de leurs écosystèmes logiciels. Ces défis s’étendent au-delà des environnements IT pour englober les systèmes OT et industriels, augmentant ainsi les risques pour les infrastructures critiques.
