-
Un réseau international puissant et intégré
Un réseau international fédéré autour d’une promesse commune Go Beyond – Allons plus loin ensemble.
-
Digital Audit - Audit Data Analytics
A l’instar de nos clients, de toutes tailles et opérant dans toutes les industries, notre activité audit se transforme et innove, en adoptant et en développant des technologies pour une innovation pragmatique et partagée.
-
Doctrine comptable
Le département Doctrine Comptable intervient en soutien des équipes Grant Thornton pour l’accompagnement de leurs clients dans leurs problématiques de reporting comptable et financier, et dans l’appréhension des nouveaux chantiers comptables.
-
L’Audit au cœur des territoires par Grant Thornton
Grâce à une implantation au cœur des territoires (24 bureaux), nos équipes Audit accompagnent les groupes internationaux côtés, les ETI et entreprises familiales, les organisations du secteur public, les associations aux quatre coins de l’Hexagone.
-
Public - Economie sociale - Protection Sociale (PEPS)
Notre offre pour les secteurs Public, Économie sociale et logement social, Protection Sociale couvre l’ensemble de nos métiers et expertises dont l’Audit. Grant Thornton est l’auditeur légal de nombreux hôpitaux, établissements publics, collectivités, OPH, mutuelles…
-
Financial Services
Nos équipes d’audit accompagnent les établissements financiers, les sociétés de gestion d’actifs et les entreprises d’assurance.
-
People & Culture
Chez Grant Thornton, nous vous offrons l’occasion de vivre l’Expérience de la Confiance en révélant le meilleur de vous-même au sein d’équipes conviviales et soudées.
-
Audit contractuel – Diagnostic
Un large spectre d’audits contractuels et de diagnostics couvrant l’ensemble des attentes des acteurs économiques.
-
Audit Durabilité et Audit extra-financier
Notre offre au service d’un développement durable dorénavant au centre de la stratégie des entreprises, source de création de valeur et de sens.
-
Audit des systèmes d’information (SI)
Dans un monde toujours plus digital, les auditeurs spécialistes en systèmes d’information de Grant Thornton accompagnent nos clients dans la gestion des risques liés à leurs SI.
-
Accompagnement à l’application de la directive CSRD
Nous vous proposons de mieux appréhender les nouveautés de la CSRD. Nos Experts vous permettront de préparer la réalisation de ce futur exercice dans les meilleures conditions.
-
Expertise indépendante
Les Associés experts judiciaires de Grant Thornton sont régulièrement désignés par les Cours ou Tribunaux en qualité d’experts, mais également par les Parties comme arbitres, tiers évaluateurs ou experts techniques.
-
Capital Markets
L’équipe Capital Markets de Grant Thornton accompagne les émetteurs dans la maîtrise de la réglementation boursière et de leur communication financière.
-
Certification des comptes de collectivités territoriales
Nos expertises en matière d’Audit et de certification des comptes de collectivités territoriales.
-
Commissariat aux apports et à la fusion
Régulièrement désigné Commissaire aux apports ou à la fusion, Grant Thornton a constitué une équipe dédiée pluridisciplinaire susceptible de répondre à tous les types d’opérations.
-
Digital Audit - Audit Data Analytics
A l’instar de nos clients, de toutes tailles et opérant dans toutes les industries, notre activité audit se transforme et innove, en adoptant et en développant des technologies pour une innovation pragmatique et partagée.
-
Institutions européennes et internationales
Pour répondre aux enjeux des institutions européennes et internationales, Grant Thornton propose des missions d’audit (financiers, des SI, de projets).
-
Transaction Services
Transaction services : un ensemble de compétences et de services au service des transactions réalisées par les acteurs du capital-investissement, les investisseurs et les entreprises
-
Restructuring Services
Nos services de prévention et restructuration appelés Restructuring Services, mieux anticiper pour favoriser le traitement des difficultés des entreprises
-
Valuation Services
Nos Experts accompagnent les acteurs du capital-investissement, les entreprises acquisitives et les investisseurs en matière d’évaluation d’entreprise
-
Operational Deal Services
Des services adressant les enjeux opérationnels au cœur des deals
-
Finance
Notre activité en Conseil Finance rassemble des experts spécialisés dans la transformation de la fonction Finance. Nous accompagnons les Directions financières des entreprises de toute taille dans leur transformation globale.
-
Achats
Notre activité en Conseil Achats et Supply Chain rassemble des experts en achats spécialisés sur toutes les catégories et en conseil pour l’optimisation et la structuration de la fonction Achats / Approvisionnements.
-
RH - Talents et Organisation
Notre activité en Conseil RH, Talents & Organisation, rassemble des experts spécialisés en matière d’organisation, de processus et de solutions digitales, pour accompagner la transformation des entreprises sur l’ensemble des thématiques liées aux Ressources Humaines.
-
DSI
Notre activité en Conseil IT, rassemble des experts spécialisés en matière d’organisation, de processus et de solutions technologiques pour accompagner les DSI dans la définition et la mise en œuvre de la transformation digitale de l’entreprise.
-
Risk Management
La gestion des risques au service de la performance.
-
Compliance and Forensic
Compliance and Forensic
-
Cybersécurité
Définition de votre stratégie de sécurisation et mise en place de solutions techniques, dans une optique de rationalisation des investissements.
-
Data & Automation – La technologie au service de la performance
Chez Grant Thornton, nous accompagnons les Directions Métiers et des Systèmes d’Information sur l’ensemble des problématiques liées à la Data et l’hyper-automation.
-
Automated Reporting and Data Analytics
Optimiser le pilotage financier et opérationnel de votre activité en automatisant la génération de rapports grâce à des outils de reporting dynamiques et des fonctionnalités avancées d’analyse de données et de data visualization comme Power BI.
-
Expertise Comptable
Sécuriser vos obligations réglementaires…et bien. Dans un environnement réglementaire complexe et changeant, nos experts vous accompagnent pour sécuriser vos opérations.
-
Contrôle de gestion
Piloter sa stratégie de développement grâce au contrôle de gestion.
-
Paie, Conseil social & RH
Paie, Conseil social & Ressources Humaines
-
Le Diag Transmission
Le Diag Transmission
-
Assistance opérationnelle aux directions financières
Assistance opérationnelle aux directions financières
-
Accompagnement des acteurs du Capital Investissement
Accompagnement des acteurs Capital Investissement
-
Accompagner les entreprises innovantes
Accompagner le développement des start-up
-
BFR & Cash Management
BFR & Cash Management
-
Le Diagnostic Expert 360°™
Le Diagnostic Expert 360°™ : un nouvel outil de création de valeur pour les dirigeants, à chaque étape de la vie de l’entreprise.
-
Stratégie RSE et Accompagnement CSRD
Définir la stratégie RSE / de transformation durable d’une organisation avec Grant Thornton et accompagner les entreprises dans l’application de la CSRD.
-
Accompagnement opérationnel RSE
Offres d’accompagnement opérationnel en transformation durable aidant les organisations à agir pour un développement durable efficace, pérenne et concret.
-
Conseil en transaction
Services de Conseil en transaction de Grant Thornton : due diligences ESG et environnementale, accompagnement des entreprises du portefeuille au respect des critères extra-financiers.
-
Audit Durabilité et Audit extra-financier
Notre offre au service d’un développement durable dorénavant au centre de la stratégie des entreprises, source de création de valeur et de sens.
-
Finance durable
Services de Conseil en transaction de Grant Thornton : due diligences ESG et environnementales, accompagnement des entreprises du portefeuille au respect des critères extra-financiers
-
Formation et sensibilisation
Services de formation et sensibilisation aux bonnes pratiques du développement durable, de la santé environnementale et de la sécurité sanitaire.
-
Assistance and Advisory
Assistance and Advisory
-
Accountancy and Administration
Accountancy and Administration
-
Compliance
Compliance
-
Payroll Services
Payroll Services
-
Global Compliance and Reporting Solutions
Global Compliance and Reporting Solutions
-
Japan Desk
Le Japan Desk accompagne des entreprises japonaises s’implantant en France et, propose des services aux entreprises françaises ciblant le marché japonais.
-
ジャパン デスク
ジャパン デスク - Japan Desk
-
Country Desks
Country Desks, International Desks
-
An introduction to our other services
An introduction to our other services
-
Newsletter Quarterly Deals n°35Dans cette édition de la newsletter du métier Conseil Financier de Grant Thornton, retrouvez une rétrospective du premier semestre 2024, ainsi que nos dernières opérations.
-
La lettre des décideurs N°32 Economie de guerre et financement de la BITD ?Découvrez l’article de Nicolas Tixier dans La Lettre Des Décideurs numéro 32
-
Article Et si la défense nous sauvait des dangers de la désindustrialisation ?Pour refondre la politique de Défense, la France a besoin d’un outil industriel à réadapter, à relocaliser.
-
Article Application du devoir de vigilance aux entreprises de l’armementDécouvrez l’article de Nicolas Guillaume sur l’application du devoir de vigilance aux entreprises de l’armement pour l’utilisation des matériels de guerre exportés
-
Assurance
La plateforme Grant Thornton dédiée à l’assurance et aux mutuelles.
-
Banque et Asset Management
Accompagner les institutions bancaires pour construire les fondamentaux de leurs nouveaux business models.
-
Secteur public
Grant Thornton, partenaire des acteurs publics
-
Economie sociale
Nos offres de services Grant Thornton dédiées aux secteurs médico-social et de l’habitat social.
-
Protection Sociale
Nos offres de services Grant Thornton dédiées aux mutuelles, institutions de prévoyance, organismes de sécurité sociale et de retraite complémentaire.
L’histoire est riche d’exemples illustrant des techniques employées pour atteindre un ennemi en s’introduisant, de manière indirecte, via une chaîne d’approvisionnement.
Issu de la mythologie grecque, l’exemple qui est certainement le plus célèbre est celui du cheval de Troie qui permit d’introduire un groupe de soldats dans la cité après l’avoir caché dans un cheval de bois qui avait les apparences d’une offrande inoffensive.
Dans le monde numérique, les acteurs malveillants ne sont malheureusement jamais en manque d’ingéniosité quand il s’agit d’atteindre une cible. L’histoire des attaques de cybersécurité contient de nombreux exemples, dont certains ne datent pas d’hier.
Tentative d’introduction d’une porte dérobée dans le noyau Linux en 2003
A la fin de l’année 2003, le code du noyaux Linux a été modifié pour y ajouter les deux lignes suivantes :
if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
retval = -EINVAL;
Une lecture rapide de cet ajout pourrait amener à la conclusion qu’il s’agit d’un contrôle visant à empêcher une situation inattendue et surtout un bug. Un ajout qui est donc bénéfique pour le noyau.
Toutefois, une lecture plus approfondie permet de noter l’utilisation du caractère « = » au lieu de « == », transformant ce qui semblait correspondre à une comparaison de valeur en une affectation de variable, et pas des moindres, car celle-ci permet à l’utilisateur d’élever ses privilèges au rang d’administrateur (root).
Heureusement détectée avant sa publication, cette porte dérobée a pu être retirée du noyau à temps et a eu par la suite pour conséquence, l’introduction de contrôles plus stricts visant à empêcher ce type de malveillance.
Quelques autres exemples notoires de tentatives d’intrusion par la chaîne d’approvisionnement
Au cours des dernières années, de nombreux exemples d’attaques ont été découverts, qu’il s’agisse d’applications commerciales ou de projets open source :
- En 2017, une mise à jour du logiciel comptable développé par l’entreprise ukrainienne Medoc est modifiée par des attaquants. Le déploiement de cette mise à jour chez les clients de Medoc aura notamment permis la compromission de la filiale ukrainienne de Saint Gobain, puis, par extension, du Groupe dans son ensemble, qui affirmera avoir essuyé des pertes à hauteur de 384 M$.
- Fin 2020, le même scénario est employé sur le logiciel Orion (un outil d’inventaire de parc informatique) de l’éditeur Solarwinds. De par sa grande popularité, cette attaque aura permis d’introduire des portes dérobées au sein de nombreuses institutions américaines, telles que les Départements de la Sécurité Intérieure (DHS, du Trésor, du Commerce et de l’Energie) mais également d’importants acteurs tels que Microsoft, Cisco et NVidia.
- Plus récemment, en avril 2024, un autre incident qui aurait pu avoir une ampleur dramatique a été évité de justesse. En effet, un acteur malveillant a contribué durant près de deux ans au développement de la bibliothèque de compression de données nommée XZ. Usant d’une certaine patience pour gagner la confiance des développeurs, cet acteur a pu monter en grade dans ce projet jusqu’à en devenir le mainteneur principal, lui permettant d’introduire une porte dérobée très difficilement détectable. La bibliothèque XZ est utilisée notamment au sein du logiciel d’accès à distance OpenSSH et cette porte dérobée aurait facilité un accès à une multitude de systèmes informatiques. Détectée, presque par hasard, par un ingénieur de Microsoft qui observait quelques lenteurs dans le logiciel SSH, il a été possible de limiter rapidement la diffusion de la version corrompue du logiciel.
Bien que nécessitant des moyens parfois importants avec une visée à long terme, les attaques de chaîne d’approvisionnement sont de plus en plus fréquentes car le retour sur investissement s’avère conséquent. En effet, ces attaques constituent un moyen discret et efficace de pénétrer des organisations au sein desquelles des attaques directes ont plus de chance d’être détectées et bloquées.
Les risques liés à la chaîne d’approvisionnement ne résultent pas toujours d’actes de malveillance
Pour aller plus loin, les risques liés à la chaîne d'approvisionnement ne découlent pas exclusivement d'actes malveillants. Ils émergent souvent de vulnérabilités inhérentes aux technologies centralisées qui sous-tendent ou accompagnent les Systèmes d'Information (SI) des entreprises. À mesure que ces technologies se répandent, une faille de sécurité peut engendrer des conséquences massives, rendant les incidents liés à la chaîne d'approvisionnement de plus en plus impactants… mais aussi de plus en plus fréquents.
A ce titre, l’incident Log4J survenu fin 2021 est un exemple frappant : cette vulnérabilité critique, logée dans une bibliothèque de journalisation Java largement déployée, a exposé d'innombrables systèmes à des attaques permettant d’exécuter du code à distance. Les entreprises dépendant de logiciels intégrant Log4J se sont retrouvées face à un risque majeur de sécurité, car la faille pouvait être exploitée pour compromettre des systèmes entiers, voler des données sensibles ou interrompre des opérations critiques.
Plus récemment, le 19 juillet 2024, de nombreuses entreprises mais également d’importantes infrastructures aéroportuaires, ferroviaires et hospitalières ont été les victimes de la mal nommée « panne Microsoft » qui, dans les faits, aurait dû s’appeler la « panne Crowdstrike », du nom de l’éditeur d’un logiciel de sécurité qui a déployé une mise à jour chez tous ses clients, soit plus de 8 millions de postes de travail et serveurs. Il s’agissait dans ce cas d’un défaut de contrôle qualité, cet épisode illustre encore une fois la capacité de nuire à très grande échelle en employant la chaîne d’approvisionnement.
Conclusion
Les risques liés à la chaîne d’approvisionnement ayant à présent été énoncés dans cet article, il demeure très difficile de proposer des solutions à la fois généralistes et en mesure de réduire la probabilité d’occurrence. Dans le monde de l’open source, de nombreux contrôles ont été mis en place pour détecter et bloquer l’introduction de modifications malveillantes au sein des projets les plus exposés, sans pour autant apporter de garanties absolues. S’agissant d’éditeurs de logiciels propriétaires, la mise en place de moyens comparable est beaucoup plus hétérogène et difficilement vérifiable par les clients.
En conclusion, malgré une probabilité très aléatoire et difficilement contrôlable, les risques liés à la chaîne d’approvisionnement devraient assez naturellement se hisser au sein des top risks cyber dans les années à venir.
Si l’imprévisible est angoissant par essence, il existe tout de même des mesures de protection efficaces pour gérer le risque lié à la sous-traitance : tout d’abord, en créant une procédure de « bouton-rouge », afin d’endiguer un incident critique en coupant la solution, ensuite, en responsabilisant les prestataires de services tiers, au travers de Plan d’Assurance Sécurité ou de la mise à disposition d’un contact sécurité, joignable par ligne directe en cas d’incident avéré. Enfin, il faut exiger de la transparence, en récoltant la liste de tous les sous-traitants (de rang 1 et 2) de ces prestataires ou en partageant les journaux applicatifs et techniques en cas d’incident.
Tentative d’introduction d’une porte dérobée dans le noyau Linux en 2003
A la fin de l’année 2003, le code du noyaux Linux a été modifié pour y ajouter les deux lignes suivantes :
if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
retval = -EINVAL;
Une lecture rapide de cet ajout pourrait amener à la conclusion qu’il s’agit d’un contrôle visant à empêcher une situation inattendue et surtout un bug. Un ajout qui est donc bénéfique pour le noyau.
Toutefois, une lecture plus approfondie permet de noter l’utilisation du caractère « = » au lieu de « == », transformant ce qui semblait correspondre à une comparaison de valeur en une affectation de variable, et pas des moindres, car celle-ci permet à l’utilisateur d’élever ses privilèges au rang d’administrateur (root).
Heureusement détectée avant sa publication, cette porte dérobée a pu être retirée du noyau à temps et a eu par la suite pour conséquence, l’introduction de contrôles plus stricts visant à empêcher ce type de malveillance.