Retour aux formations
Cybersécurité
Supply Chain Security – Gestion des risques tiers et SBOM (Niveau Intermédiaire)
2 jour(s) • 14h
Description
Permettre aux participants d’identifier, évaluer et maîtriser les risques liés à la chaîne d’approvisionnement numérique, de structurer une démarche de gestion des tiers et d’exploiter les SBOM dans une logique opérationnelle de cybersécurité.
Objectifs pédagogiques
- Analyser les menaces réelles liées à la supply chain logicielle et aux fournisseurs
- Mettre en œuvre une méthodologie d’évaluation des risques tiers
- Intégrer des exigences de sécurité dans les relations contractuelles fournisseurs
- Comprendre, générer et exploiter un SBOM (Software Bill of Materials)
- Mettre en place une surveillance continue des fournisseurs critiques
- Intégrer les exigences de la directive NIS2 dans la gestion des tiers
- Réaliser une évaluation complète de risque fournisseur dans un contexte réel
Public concerné
RSSI
Responsables achats IT
Chefs de projet sécurité
Auditeurs internes/externe
Responsables conformité
Responsables gestion des risques IT
Prérequis
Connaissances générales en cybersécurité
Compréhension des architectures IT et des environnements applicatifs
Notions de gestion des risques (ISO 27005, EBIOS ou équivalent recommandées)
Déroulé du programme
1
JOUR 1- Module 1 – Menaces sur la supply chain : analyse de cas réels (2h30)
2h
- Panorama des attaques supply chain (logicielle et fournisseurs)
- Analyse détaillée des incidents majeurs : SolarWinds cyberattack, Log4j vulnerability, 3CX supply chain attack
- Typologie des vecteurs d’attaque (compromission de dépendances, éditeurs, mises à jour)
- Impacts organisationnels, financiers et réputationnels
- Activité pratique (étude de cas) : Analyse guidée d’un incident supply chain (identification des failles et vecteurs) - Construction d’un arbre des impacts métiers et IT liés à l’attaque
2
JOUR 1- Module 2 – Framework d’évaluation des risques tiers (2h30)
2h
- Cartographie des tiers et identification des fournisseurs critiques
- Méthodologies d’évaluation : ISO 27001/27005, EBIOS RM appliqué aux tiers
- Critères d’évaluation : accès aux données, dépendance métier, criticité opérationnelle
- Score de risque fournisseur et priorisation
- Activité pratique (exercice) : Construction d’une grille d’évaluation des risques fournisseurs - Application sur un portefeuille fournisseurs fictif (classification et scoring)
3
JOUR 1- Module 3 – Clauses contractuelles de sécurité (2h)
2h
- Intégration de la cybersécurité dans les contrats fournisseurs
- Clauses essentielles : audit, conformité, notification d’incident, PCA/PRA
- Gestion des sous-traitants et cascade de responsabilité
- Alignement avec les exigences réglementaires (dont NIS2)
- Activité pratique (cas pratique) : Analyse critique d’un contrat fournisseur existant - Rédaction de clauses de sécurité adaptées à un fournisseur critique
4
JOUR 2- Module 4 – SBOM : concepts, formats et génération (2h30)
2h
- Définition et rôle du SBOM dans la cybersécurité
- Formats standards : SPDX, CycloneDX
- Outils de génération et automatisation dans la chaîne CI/CD
- Cas d’usage : gestion des vulnérabilités, conformité, audit
- Activité pratique (exercice technique) : Génération d’un SBOM à partir d’une application (outil open source) - Lecture et analyse des composants et dépendances identifiées
5
JOUR 2- Module 5 – Exploitation des SBOM et surveillance continue des fournisseurs (2h30)
2h
- Exploitation des SBOM pour identifier les vulnérabilités (ex : dépendances critiques)
- Intégration avec des outils de gestion des vulnérabilités
- Surveillance continue des fournisseurs : scoring dynamique, threat intelligence
- Mise en place d’un dispositif de suivi et d’alerte
- Activité pratique (cas pratique) : Analyse d’un SBOM pour détecter des composants vulnérables - Définition d’un plan de surveillance continue d’un fournisseur critique
6
JOUR 2- Module 6 – Exigences NIS2 et mise en conformité supply chain (2h)
2h
- Présentation de la directive NIS2 Directive
- Obligations liées à la gestion des fournisseurs et de la chaîne d’approvisionnement
- Gouvernance, responsabilités et reporting
- Intégration dans un programme global de cybersécurité
- Activité pratique (atelier final – cas fil rouge) : Évaluation complète du risque d’un fournisseur critique (analyse, scoring, plan d’actions) - Restitution et justification des choix devant le groupe (logique audit/comité risque)
Informations
Durée
2 jour(s)
14h
Tarif
Sur demande