Compromissions par supply chain : les risques inhérents au secteur de la santé

22/05/2026

Une compromission par supply chain correspond à l’altération d’un composant, d’un outil, d’une bibliothèque, d’un dépôt de code ou d’une chaîne de publication afin de toucher indirectement un grand nombre d’entités qui lui font confiance. Contrairement à une intrusion classique visant directement une organisation, l’attaquant cherche ici à se positionner en amont, au niveau du fournisseur logiciel, du package open source, de l’outil CI/CD ou du mécanisme de mise à jour.

Contexte

Depuis janvier 2026, la menace liée aux compromissions de chaîne d’approvisionnement logicielle s’inscrit dans une dynamique d’accélération.

A partir de mars 2026, le groupe cybercriminal TeamPCP revendique des opérations en cascade visant des outils de sécurité, des bibliothèques open source et des écosystèmes de développement entiers. L’enchaînement documenté commence par la compromission de Trivy (scanner de vulnérabilités) et de composants associés. Cette première compromission a permis d’affecter les développeurs de diverses entreprises, permettant la compromission d’autres solutions / paquets dans un second temps par le même ver.

Fin avril et en mai, la campagne orchestrée par TeamPCP, désormais nommée « Mini Shai-Hulud » confirme que la menace ne se limite plus à un cas isolé mais qu’elle touche des paquets utilisés de manière globale dans des entreprises de toutes les tailles, avec des mécanismes de propagation de plus en plus industrialisés.

Ce groupe n’est néanmoins pas un cas isolé : la compromission du paquet NPM Axios est attribuée à une menace persistante (APT) originaire de Corée du Nord, illustrant l’engouement grandissant pour l’écosystème NPM.

Un risque actuel en hausse

Récemment, et ce dû à l’attention médiatique reçue par le groupe cybercriminel TeamPCP et leur ver informatique Shaï-Hulud, ceux-ci ont décidé de rendre disponible gratuitement le code source de leur ver dans le cadre d’un concours. Ce choix a eu pour effet d’augmenter considérablement (au moins à court terme) le nombre d’acteurs malveillants potentiels désirant réaliser une telle compromission.

Implications pour le secteur de la santé

Pour le secteur de la santé, la menace « supply chain » présente un niveau de criticité particulièrement élevé. Les établissements de santé, industriels du médicament, laboratoires, éditeurs de logiciels médicaux et prestataires de services numériques reposent sur des environnements fortement interconnectés, où coexistent applications métier, infrastructures cloud, dispositifs connectés, portails patients, outils de facturation et solutions de télésurveillance.

Au-delà du risque de fuite de données, une attaque de ce type peut provoquer des indisponibilités applicatives, dégrader la confiance dans les mises à jour logicielles, ralentir les cycles de remédiation et compliquer la gestion de crise en environnement hospitalier. Le secteur de la santé doit donc considérer la supply chain comme un risque transverse combinant cybersécurité, continuité d’activité, conformité et sûreté des soins. Cela implique un renforcement de la maîtrise des dépendances, du gel temporaire des mises à jour non vérifiées en cas d’alerte, de la rotation rapide des secrets exposés.

Trivy vulnerability scanner breach pushed infostealer via GitHub Actions

CERT-EU - European Commission cloud breach: a supply-chain compromise

Supply Chain Compromise Impacts Axios Node Package Manager | CISA

CERT Santé : Compromission d'un Tiers - Qualification et endiguement