Plutôt que d'attaquer directement une organisation bien défendue, les attaquants visent ses sous-traitants, éditeurs de logiciels ou fabricants de hardware. Exemples célèbres : SolarWinds (backdoor dans une mise à jour), NotPetya (compromise d'un logiciel de comptabilité ukrainien). La défense implique l'évaluation rigoureuse des tiers, la surveillance de l'intégrité des composants et la segmentation.