Aller au contenu principal
Incident de sécurité en cours ? Chaque minute compte.
Victime d'une attaque ?
SmidjanCybersécurité · Liège
Cybersécurité

Fournisseurs compromis : ce que ChipSoft et le ver npm Shai-Hulud apprennent aux PME sur leur chaîne d'approvisionnement

Fournisseurs compromis : ce que ChipSoft et le ver npm Shai-Hulud apprennent aux PME sur leur chaîne d'approvisionnement

Fournisseurs compromis : ce que ChipSoft et le ver npm Shai-Hulud apprennent aux PME sur leur chaîne d'approvisionnement

Le 7 avril 2026, un rançongiciel frappe ChipSoft, l'éditeur néerlandais du dossier patient électronique HiX, utilisé par environ 80 % des hôpitaux des Pays-Bas. En quelques heures, l'incident déborde largement les frontières néerlandaises : plusieurs hôpitaux belges, clients du même éditeur, voient leurs portails patients tomber en panne. Ce n'est pas un cas isolé : 2025 et 2026 ont vu la chaîne d'approvisionnement logicielle devenir, selon l'ENISA, l'un des trois principaux vecteurs d'attaque en Europe. Pour une PME belge, la question n'est plus seulement « suis-je bien protégé ? » mais « mes fournisseurs le sont-ils, et que se passe-t-il s'ils ne le sont pas ? ».

L'incident ChipSoft : un seul logiciel, plusieurs hôpitaux paralysés

L'agence néerlandaise de cybersécurité pour le secteur de la santé, Z-CERT, a confirmé l'attaque le 8 avril 2026. ChipSoft a évoqué en interne un « incident de données » avec un possible accès non autorisé, et a désactivé par précaution les connexions à ses services (Zorgportaal, HiX Mobile, Zorgplatform) auprès de l'ensemble de ses clients — le temps de contenir les dégâts. Côté belge, plusieurs hôpitaux utilisant les solutions ChipSoft, dont le réseau ZAS (Ziekenhuis aan de Stroom), l'hôpital Oost-Limburg (ZOL) et l'hôpital Delta, ont vu leurs services numériques aux patients perturbés — sans qu'aucun de ces établissements n'ait été directement ciblé. C'est bien la dépendance à un fournisseur commun qui a propagé l'impact d'un seul incident à des organisations qui, individuellement, n'avaient rien à se reprocher sur le plan de leur propre sécurité.

Le ver npm Shai-Hulud : quand un simple paquet de code devient une arme

Dans un tout autre registre, l'écosystème npm — le gestionnaire de paquets utilisé par la quasi-totalité des projets JavaScript et Node.js dans le monde, y compris par de nombreuses PME de développement web — a subi depuis septembre 2025 une série d'attaques particulièrement inventives. Le ver « Shai-Hulud » s'est propagé via des comptes de mainteneurs de paquets compromis par phishing (de faux messages invitant à « mettre à jour » l'authentification à deux facteurs sur npm), avant de publier automatiquement des versions malveillantes de tout paquet accessible dès qu'il détectait d'autres jetons npm dans l'environnement compromis — plus de 500 paquets touchés dans sa première vague, dont des bibliothèques largement utilisées. Le malware volait les identifiants, les clés cloud et les jetons CI/CD, et créait des dépôts GitHub publics contenant les secrets collectés. Une variante (« Mini Shai-Hulud », attribuée à un acteur nommé TeamPCP) a encore touché des paquets de l'écosystème TanStack début 2026, avec une technique d'accès initial ne nécessitant même plus d'identifiants volés.

Pourquoi la chaîne d'approvisionnement est devenue la cible n°1

Le raisonnement des attaquants est simple : compromettre un seul fournisseur, un seul paquet logiciel ou une seule intégration cloud permet d'atteindre d'un coup des centaines, voire des milliers d'organisations clientes. Ce raisonnement s'est vérifié aussi bien en 2025, avec la compromission de jetons OAuth de l'application Drift (intégrée à Salesforce), qui a permis d'accéder aux environnements Salesforce de plus de 700 organisations dans le monde en quelques jours, qu'à travers les multiples vagues touchant l'écosystème npm. Selon l'ENISA, cette bascule s'accompagne d'une évolution des cibles : les attaquants ne visent plus seulement des paquets logiciels isolés, mais l'ensemble du cycle de livraison — dépôts de code source, automatisations, pipelines de build.

Le lien avec NIS2 : sécuriser vos propres fournisseurs

C'est précisément ce risque que NIS2 cherche à adresser en imposant aux entités essentielles et importantes de sécuriser leur chaîne d'approvisionnement — ce qui inclut d'évaluer leurs propres fournisseurs, dont beaucoup sont des PME. Une PME qui développe un logiciel, héberge des données ou intègre des outils tiers pour le compte d'un client soumis à NIS2 doit s'attendre à des questions de plus en plus précises sur sa propre gestion des dépendances : quels paquets open source utilisez-vous, comment gérez-vous vos mises à jour, que se passe-t-il si l'un de vos propres fournisseurs est compromis ?

Ce qu'une PME peut faire concrètement

Sans disposer des moyens d'un grand groupe, une PME peut réduire significativement son exposition avec quelques mesures ciblées : tenir un inventaire des dépendances logicielles critiques (un SBOM, même simple) ; limiter les jetons d'accès (npm, GitHub, cloud) au strict nécessaire et les faire expirer régulièrement ; activer une authentification forte sur tous les comptes de publication ou de gestion de paquets ; et, pour les logiciels métiers critiques fournis par un tiers (comme un éditeur de dossier patient ou un ERP), demander explicitement à ce fournisseur quelles garanties de sécurité et quel plan de continuité il propose en cas d'incident chez lui.

Ce que Smidjan recommande

Dans nos audits NIS2/CyFun, la cartographie des fournisseurs critiques et des dépendances logicielles fait partie des points que nous examinons systématiquement — car un plan de sécurité qui s'arrête aux frontières de l'entreprise, sans regarder ses fournisseurs, laisse ouverte exactement la porte que les incidents ChipSoft et Shai-Hulud ont exploitée en 2025-2026.


**Sources**

  • [Ransomware attack on ChipSoft knocks EHR services offline across hospitals in the Netherlands and Belgium | Security Affairs](https://securityaffairs.com/190615/cyber-crime/ransomware-attack-on-chipsoft-knocks-ehr-services-offline-across-hospitals-in-the-netherlands-and-belgium.html)
  • [Ransomware knocks Dutch healthcare software vendor offline | The Register](https://www.theregister.com/2026/04/08/chipsoft_ransomware/)
  • [Shai-Hulud 2.0: Guidance for detecting, investigating, and defending against the supply chain attack | Microsoft Security Blog](https://www.microsoft.com/en-us/security/blog/2025/12/09/shai-hulud-2-0-guidance-for-detecting-investigating-and-defending-against-the-supply-chain-attack/)
  • ["Shai-Hulud" Worm Compromises npm Ecosystem in Supply Chain Attack | Unit 42](https://unit42.paloaltonetworks.com/npm-supply-chain-attack/)
  • [ENISA Threat Landscape 2025](https://www.enisa.europa.eu/publications/enisa-threat-landscape-2025)
  • [Widespread Data Theft Targets Salesforce Instances via Salesloft Drift | Google Cloud Blog](https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift)

Besoin d'accompagnement ?

Smidjan vous aide à mettre en place ces solutions pour votre entreprise en Belgique.

Sans engagementRéponse sous 24 h
JB

À propos de l'auteur

Jean-Baptiste Dhondt
CEO & Développeur Full-Stack

Expert en développement web Next.js, cybersécurité et automatisation IA. Fondateur de Smidjan, agence web à Liège.