La catena di fornitura ICT (tecnologie dell'informazione e delle comunicazioni) è la rete di fornitori, subfornitori, fornitori di servizi, appaltatori, produttori di software, servizi cloud e canali hardware da cui un'organizzazione dipende per costruire e gestire i propri sistemi. È più ampia di un singolo rapporto con un fornitore: qualsiasi componente o servizio esterno che interagisce con l'ambiente di produzione può far parte della catena.
Questo è importante perché gli aggressori spesso prendono di mira la dipendenza più debole invece del bersaglio principale. Un account di un fornitore compromesso, un aggiornamento software manomesso, un'integrazione rischiosa o un servizio gestito non sicuro possono diventare una via di accesso agli ambienti dei clienti. I difensori usano la visibilità sulla catena di fornitura ICT per inventariare le dipendenze, valutare il rischio di terze parti e monitorare i cambiamenti nel livello di sicurezza dei fornitori. Nei programmi più maturi, i risultati confluiscono nelle operazioni di sicurezza e nella risposta agli incidenti, così un problema del fornitore può essere affrontato rapidamente e non solo registrato in un foglio di calcolo.