Supply chain attack — Définition

Une attaque de la chaîne d'approvisionnement logicielle consiste à compromettre un produit ou un dépôt en amont du destinataire final pour propager du code malveillant à grande échelle. Exemples emblématiques : SolarWinds (2020, 18 000 organisations), Codecov (2021), Kaseya (2021), 3CX (2023), XZ Utils backdoor (2024). Vecteurs typiques : compromission d'un mainteneur de bibliothèque open-source, injection dans un pipeline CI/CD, distribution de paquets typosquattés, signature de code volée. Frameworks de défense : SLSA (Google), NIST SP 800-218 (SSDF), ENISA Supply Chain Attacks. Au cœur des obligations CRA et NIS2 sur la gestion des fournisseurs.

Termes liés