Cyber supply chain : pourquoi l’attaque MOVEit a fait 2 773 victimes et comment votre entreprise peut éviter la suivante
Le 27 mai 2023, à 6h32 heure de Paris, un serveur MOVEit Transfer de l’éditeur américain Progress Software reçoit une requête SQL inhabituelle. Personne ne le sait encore, mais cette ligne de code va contaminer, en moins de 48 heures, l’un des écosystèmes numériques les plus sensibles au monde. Dix-huit mois plus tard, le bilan est sans appel : 2 773 organisations compromises, 95,8 millions d’individus exposés, et un coût agrégé estimé à environ 12 milliards de dollars selon l’index IBM/Ponemon. Pour un RSSI français, MOVEit n’est pas un fait divers : c’est la preuve, documentée, que la question n’est plus de savoir si votre supply chain sera attaquée, mais quand. Ce guide pratique reprend les faits, puis surtout, ce que vous pouvez mettre en place dès lundi matin pour ne pas être la prochaine victime. Il complète notre analyse sur l’attaque supply chain Red Hat NPM Miasma et s’inscrit dans notre série sur la maturité cyber des organisations françaises.
Le fait : la zero-day CVE-2023-34362, exploitée à partir du 27 mai 2023 sur MOVEit Transfer, a compromis 2 773 organisations et exposé 95,8 millions de personnes (chiffres Emsisoft, juin 2024).
La mécanique : environ 80% des victimes l’ont été en cascade, via un fournisseur tiers (Zellis, Payroll, MaxeHR, etc.), pas directement via Progress Software.
Le mode opératoire : le groupe russophone Cl0p a pratiqué la pure extorsion de données via le webshell LEMURLOOT, sans chiffrement de type ransomware traditionnel.
Le coût : l’IBM Cost of a Data Breach 2024 chiffre l’impact agrégé à environ 12 milliards de dollars, dont 5,1 millions de dollars par violation en moyenne sur la supply chain.
Le réflexe : SBOM, vendor risk management, principe de moindre privilège sur les tiers, et clauses RGPD strictes : quatre piliers pour ne pas être la prochaine cible.
Qu’est-ce qu’une attaque cyber supply chain et pourquoi est-elle si dévastatrice ?
Une attaque cyber supply chain (ou attaque de la chaîne d’approvisionnement numérique) vise un fournisseur de logiciels ou de services pour atteindre, par rebond, l’ensemble de ses clients. Au lieu de pirater mille entreprises une par une, l’attaquant compromet un seul point central, et la contamination se propage mécaniquement à toute la base installée. C’est la version numérique de l’empoisonnement de la source, et c’est devenu, depuis 2020, le mode opératoire favori des groupes cybercriminels organisés.
Trois caractéristiques rendent ce type d’attaque particulièrement redoutable pour les RSSI :
L’effet d’amplification : une seule vulnérabilité dans un logiciel largement déployé peut exposer des milliers d’organisations, parfois sans qu’elles aient jamais installé le composant en cause. C’est ce que l’on appelle l’attaque « n+1 » : l’attaquant ne frappe pas sa cible, il frappe son fournisseur, et la cible est contaminée à son insu.
La confiance implicite : les contrats, les patchs, les mises à jour sont par définition des flux de confiance. Bloquer un patch de sécurité revient à se mettre en danger ; ne pas le faire ouvre la porte à la compromission. Le RSSI se retrouve face à un dilemme structurel que les architectures zero trust cherchent à résoudre.
L’asymétrie d’investissement : un seul exploit zero-day permet à l’attaquant de viser simultanément des banques centrales, des hôpitaux, des ministères et des aéroports. Le rapport coût/bénéfice pour le criminel est sans commune mesure avec une attaque ciblée classique.
Pour bien comprendre, prenons un parallèle hors numérique : imaginez un cambrioleur qui ne force pas mille portes, mais qui glisse un double de la clé dans la boîte aux lettres de tous vos voisins en contaminant le serrurier du quartier. Une attaque supply chain fonctionne exactement sur ce principe. Et MOVEit en est l’illustration la plus massive jamais documentée à ce jour, toutes industries confondues.
Que s’est-il passé avec MOVEit en mai 2023 et pourquoi est-ce devenu un cas d’école ?
MOVEit Transfer est une solution de transfert de fichiers managés (MFT) éditée par Progress Software. Elle est utilisée par des banques, des ministères, des hôpitaux, des universités et des entreprises du Fortune 500 pour échanger des fichiers sensibles de manière chiffrée. Le 27 mai 2023, des chercheurs de Mandiant observent les premiers signes d’exploitation d’une vulnérabilité zero-day d’injection SQL. Progress Software publie l’avis officiel et un patch le 31 mai 2023, mais il est déjà trop tard : entre 3 et 5 jours d’exploitation silencieuse ont suffi à compromettre des centaines d’instances.
Qui est Cl0p et pourquoi cette zero-day a-t-elle tout changé ?
Cl0p (parfois écrit « Clop ») est un groupe cybercriminel russophone actif depuis au moins 2019, classé parmi les « Big Game Hunters » par les assureurs cyber. Contrairement à la majorité des groupes ransomwares, Cl0p n’a pas chiffré les données de ses victimes MOVEit : il s’est contenté d’exfiltrer des fichiers via un webshell dédié nommé LEMURLOOT, puis a menacé de les publier sur son site de fuite. C’est de la pure extorsion de données, sans ransomware traditionnel. Cette nuance change tout : il n’y a pas de point de restauration possible, pas de déchiffreur, seulement une négociation sur la non-publication. Pour les organisations concernées, la notification à la CNIL et aux personnes devient obligatoire dès que des données personnelles sont identifiées dans les fichiers exfiltrés, comme nous l’avons détaillé dans notre article sur les sanctions CNIL contre les sous-traitants RGPD.
Comment Zellis, un simple prestataire paie, a contaminé des centaines d’entreprises ?
Le cas Zellis mérite d’être raconté en détail, car il est emblématique de l’effet cascade. Zellis est un fournisseur britannique de solutions de paie qui utilise MOVEit Transfer pour transmettre les bulletins de paie de ses clients. En compromettant l’instance MOVEit de Zellis, Cl0p a eu accès aux données RH de huit de ses clients en une seule opération : BBC, British Airways, Boots, Aer Lingus, mais aussi Shell, Sony, Deloitte, EY et PwC. Aux États-Unis, c’est le fournisseur de ressources humaines Maximus qui a servi de vecteur pour contaminer plus de 11 millions de personnes, dont des données de l’agence fédérale de l’énergie (Department of Energy) et de l’université Johns Hopkins. Une seule vulnérabilité, deux fournisseurs de paie, et c’est toute la chaîne économique qui s’effondre.
Pourquoi 80% des victimes ont-elles été compromises via un tiers et non directement ?
Selon l’analyse publiée par Emsisoft en juin 2024, environ 80% des organisations compromises (1 690 victimes sur 2 098 organisations affectées par cascade) l’ont été via un fournisseur, et non via leur propre instance MOVEit. C’est la statistique la plus importante à retenir pour un RSSI : vous pouvez parfaitement interdire MOVEit dans votre SI et être impacté quand même, parce qu’un de vos sous-traitants, un de vos prestataires paie, un de vos hébergeurs l’utilise. Le risque ne se gère plus à la première ligne, il se gère à la troisième, voire à la quatrième ligne de sous-traitance. C’est exactement la limite que la CNIL pointe dans ses sanctions récentes sur les sous-traitants RGPD.
Combien a coûté la plus grande cyberattaque supply chain de l’histoire ?
Chiffrer le coût d’une attaque supply chain est notoirement difficile, parce que les victimes se comptent par milliers et que toutes ne publient pas leur estimation. Trois sources de référence permettent néanmoins de cadrer l’ampleur du désastre.
12 milliards de dollars : comment chiffre-t-on le coût réel d’une supply chain ?
L’IBM Cost of a Data Breach Report 2024 évalue le coût moyen d’une violation passant par un tiers à 5,1 millions de dollars par organisation, contre 4,88 millions pour une violation classique. En agrégeant ce coût unitaire sur les 2 773 organisations compromises, on obtient un ordre de grandeur de 12 milliards de dollars, sans même compter les amendes RGPD, les actions de groupe et les pertes de chiffre d’affaires indirectes. C’est le coût de l’attaque MOVEit pour la seule année 2023, et il continue à courir en 2024, 2025 et 2026 via les procédures judiciaires en cours, notamment aux États-Unis.
Quel bilan pour les organisations françaises et européennes ?
Côté français, l’ANSSI a confirmé dès juin 2023 que plusieurs entités tricolores étaient concernées, sans publier de chiffre consolidé. Côté européen, la Nouvelle-Écosse (Canada, mais gouvernance britannique pour la cyber), le régulateur britannique de la santé, plusieurs ministères allemands et des opérateurs énergétiques néerlandais ont successivement reconnu avoir été touchés. Le mouvement s’est étalé sur 18 mois, et des notifications de violation continuent d’arriver en 2026, ce qui est caractéristique d’une attaque supply chain : la « longue traîne » des divulgations, comme l’a soulignée la chercheuse Emily Austin de Censys dès septembre 2023. Pour un benchmark sectoriel plus complet, notre analyse du Wavestone Cyber Benchmark 2026 donne le niveau de maturité moyen des grandes entreprises françaises.
✅ À faire systématiquement
Tenir à jour un inventaire exhaustif de vos fournisseurs tiers, y compris les sous-traitants de second rang (cartographie « n+2 »).
Demander un SBOM (Software Bill of Materials) à chaque fournisseur de logiciels critiques, comme le recommande l’ANSSI et l’OWASP CycloneDX.
Vérifier que vos contrats fournisseurs intègrent une clause de notification sous 24 à 72 heures en cas de violation les affectant.
Segmenter les flux : un sous-traitant paie ne doit jamais avoir accès à votre Active Directory de production.
❌ À éviter absolument
Se fier à un simple questionnaire annuel « vendor risk » : c’est un instantané, pas un dispositif de sécurité.
Accepter qu’un fournisseur tiers gère des données sans audit de sécurité indépendant (SOC 2, ISO 27001) au moins tous les deux ans.
Reporter à l’année prochaine la mise en place d’un SBOM : la directive NIS2, en cours de transposition en France début 2026, prévoit la gestion des risques de la chaîne d’approvisionnement logicielle pour les entités essentielles.
Sous-estimer le risque « n+1 » : un de vos fournisseurs de rang 1 a lui-même un fournisseur de rang 2 qui utilise MOVEit, et vous ne le savez pas.
Comment protéger son entreprise contre une attaque supply chain en 2026 ?
MOVEit n’est pas un cas isolé : SolarWinds (2020), Kaseya (2021), 3CX (2023), Red Hat NPM Miasma (2025) suivent exactement le même schéma. La question n’est plus de savoir si la prochaine attaque frappera votre supply chain, mais de savoir quand, et par quel fournisseur. Voici les quatre piliers opérationnels que tout RSSI doit avoir déployés avant la fin de l’année, et qui forment le socle d’une posture de cyber supply chain résiliente. Le cadre légal a aussi beaucoup évolué : le RGPD (article 28) impose depuis 2018 des obligations précises au responsable de traitement et à ses sous-traitants, la CNIL a durci sa doctrine en 2023 et 2024 avec plusieurs sanctions notables, et la directive NIS2, en cours de transposition en France début 2026 (projet de loi Résilience), prévoit la gestion des risques de la chaîne d’approvisionnement logicielle pour les entités essentielles et importantes. Le SBOM y est une mesure concrète recommandée par l’ANSSI, sans être nommé comme strictement obligatoire. Concrètement, un RSSI d’ETI peut d’ores et déjà s’appuyer sur ce cadre de référence pour exiger SBOM et audits fournisseurs, sans attendre la fin de la transposition.
Pourquoi le SBOM (Software Bill of Materials) est-il devenu indispensable ?
Un SBOM est la liste exhaustive des composants logiciels embarqués dans un produit : librairies open source, dépendances transitives, versions exactes, licences. C’est l’équivalent de la liste d’ingrédients sur une étiquette alimentaire. Concrètement, le jour où une nouvelle CVE est publiée sur une librairie, un SBOM vous permet de répondre en quelques minutes à la question « suis-je impacté ? » au lieu de lancer une investigation de plusieurs jours. L’ANSSI publie depuis 2021 un cadre de référence sur le sujet, en lien avec l’OWASP CycloneDX et le format SPDX de la Linux Foundation. La directive européenne NIS2, en cours de transposition en France début 2026 (projet de loi Résilience), prévoit d’imposer la gestion des risques liés à la chaîne d’approvisionnement logicielle aux entités essentielles et importantes. Le SBOM y est une mesure concrète recommandée par l’ANSSI, sans être nommé comme strictement obligatoire par le texte européen. Ne pas en disposer, c’est naviguer à l’aveugle.
Comment évaluer et surveiller la surface d’attaque de vos fournisseurs ?
Le vendor risk management classique, basé sur un questionnaire annuel, ne suffit plus. Trois leviers complètent la photographie statique : (1) la surveillance externe continue (external attack surface management) qui détecte les sous-domaines, certificats et services exposés par vos fournisseurs ; (2) les flux de threat intelligence partagés par les CERT sectoriels, qui vous préviennent dès qu’un de vos sous-traitants apparaît dans une fuite de données ; (3) les clauses contractuelles imposant la transmission d’un rapport d’audit de type SOC 2 Type II ou ISO 27001, mis à jour annuellement. Pour aller plus loin, notre article sur les 10 réflexes cybersécurité détaille les gestes barrières accessibles aux organisations de taille intermédiaire, sans qu’il soit nécessaire de disposer d’un SOC 24/7.
Comment réagir concrètement en cas de compromission via un fournisseur tiers ?
La chronologie de crise doit être connue à l’avance, pas improvisée sous la pression. Elle se décompose en cinq étapes. Première étape : isolement des flux avec le fournisseur impacté, en coupant les partages, en rotation les clés API et en désactivant les comptes de service. Deuxième étape : notification interne au DPO et au RSSI groupe, et déclenchement de la cellule de crise cyber. Troisième étape : analyse d’impact sur les données, pour déterminer quelles données transitaient par le fournisseur, depuis quand et en quelle quantité. Quatrième étape : notification CNIL sous 72 heures si des données personnelles sont concernées, et communication aux personnes si le risque est « élevé ». Cinquième étape : audit post-incident pour identifier la faille contractuelle et la corriger. Une erreur classique consiste à croire que l’obligation de notification incombe au fournisseur : c’est faux, le responsable de traitement reste tenu de notifier, même s’il n’est pas lui-même à l’origine de la violation.
⚠️ Point de vigilance juridique
Contrairement à une idée répandue, le fait d’être compromis via un sous-traitant ne vous exonère pas de vos obligations RGPD. La CNIL et la jurisprudence européenne considèrent que le responsable de traitement garde l’obligation de notification sous 72 heures, même si la fuite provient d’un fournisseur. Avoir un contrat qui stipule « le sous-traitant notifie le responsable de traitement » ne suffit pas : vous devez vous assurer que l’information remonte effectivement, et notifier vous-même si elle tarde. Plusieurs sanctions CNIL 2024 l’ont confirmé sur des cas de sous-traitants cloud et paie.
Questions fréquentes : cyber supply chain, MOVEit et protection des entreprises (FAQ)
Une attaque cyber supply chain vise un fournisseur de logiciels ou de services pour contaminer, par rebond, tous ses clients. Au lieu d’attaquer mille entreprises une par une, l’attaquant compromet un seul point central (un éditeur de logiciels, un prestataire de paie, un service cloud) et la contamination se propage mécaniquement. MOVEit en mai 2023 est l’exemple le plus massif jamais documenté : 2 773 organisations compromises via un seul éditeur, Progress Software.
Comment protéger son entreprise contre une attaque de la chaîne d’approvisionnement numérique ? ▼
Quatre piliers sont indispensables : (1) un SBOM (Software Bill of Materials) tenu à jour par chaque fournisseur critique, (2) une cartographie exhaustive des sous-traitants de rang 2 (« n+2 »), (3) des clauses contractuelles imposant la notification sous 72 heures en cas d’incident, et (4) une segmentation réseau stricte qui empêche un sous-traitant d’accéder à votre Active Directory de production. Le vendor risk management annuel seul ne suffit plus, il faut une surveillance continue.
Qu’est-ce que le SBOM et pourquoi est-il devenu obligatoire en Europe ? ▼
Le SBOM (Software Bill of Materials) est la liste exhaustive de tous les composants logiciels intégrés dans un produit : librairies open source, dépendances transitives, versions exactes, licences. C’est l’équivalent d’une étiquette ingrédients sur un aliment. Il permet de répondre en quelques minutes à la question « suis-je impacté par la nouvelle CVE ? » au lieu de lancer une investigation de plusieurs jours. La directive NIS2, en cours de transposition en France début 2026 (projet de loi Résilience), prévoit la gestion des risques de la chaîne d’approvisionnement logicielle. Le SBOM, s’il n’est pas nommé comme strictement obligatoire par le texte européen, y est une mesure concrète fortement recommandée par l’ANSSI.
Faut-il notifier la CNIL si on est compromis via un sous-traitant ? ▼
Oui, absolument. Contrairement à une idée répandue, le responsable de traitement garde l’obligation de notification sous 72 heures, même si la violation provient d’un sous-traitant. La CNIL a confirmé cette doctrine dans plusieurs sanctions récentes (2023 et 2024). Avoir un contrat qui stipule que le sous-traitant notifie le responsable de traitement ne suffit pas : vous devez vous assurer que l’information remonte et notifier vous-même si elle tarde.
Combien a coûté l’attaque MOVEit et combien de temps l’effet va-t-il durer ? ▼
Le coût agrégé est estimé à environ 12 milliards de dollars selon l’IBM Cost of a Data Breach Report 2024, sur la base d’un coût unitaire moyen de 5,1 millions de dollars par violation supply chain, multiplié par les 2 773 organisations compromises. L’effet continue à se manifester en 2026 via des notifications de violation tardives, des actions de groupe aux États-Unis, et des procédures CNIL en Europe. La « longue traîne » d’une attaque supply chain se mesure en années, pas en mois.
Alexi Tauzin 🛡️ Éditeur & Expert Cyber
Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
