À l’issue de la formation, le participant sera capable de mettre en œuvre les compétences suivantes :

• Poser le cadre conceptuel et identifier les enjeux spécifiques à la chaîne d’approvisionnement.
• Connaître les obligations légales et les référentiels applicables à la sécurité de la supply chain.
• Construire un registre des tiers et évaluer leur criticité.
• Mettre en œuvre une démarche d’évaluation structurée et continue.
• Traduire les exigences de sécurité en obligations contractuelles opposables.
• Être prêt à détecter et gérer un incident impliquant un tiers.
• Intégrer la sécurité de la supply chain dans la gouvernance globale de l’organisation.

Public :

Cette formation est à destination des RSSI, de la Direction des Achats, du Juridique, de la DSI, et du Risk Management.

Prérequis :

• Avoir les connaissances de base en cybersécurité et supply chain.
• Aucune expertise technique approfondie requise.

Matériel requis :

• Ordinateur portable avec accès Internet, accès administrateur pour les ateliers.

Dans cette formation, le participant aura accès au programme suivant :

Module 1 : Comprendre la supply chain numérique et ses risques (2h)

• Définition de la supply chain numérique : fournisseurs de logiciels, matériels, services cloud, sous-traitants, intégrateurs
• Pourquoi la supply chain est devenue un vecteur d’attaque privilégié
• Incidents marquants : SolarWinds, Kaseya, XZ Utils, 3CX, MOVEit
• Typologies d’attaques : compromission de code source, backdoors matérielles, détournement de mises à jour, attaques par rebond
• Les effets de cascade : de la PME sous-traitante à l’entité critique
• Cartographie des interdépendances numériques dans une organisation type

Module 2 : Cadre réglementaire et normatif (2h)

• Réglementations européennes : NIS2 (article sur les tiers), DORA (risque tiers TIC), CRA (Cyber Resilience Act)
• Réglementations sectorielles : défense (IGI 1300), industrie critique, spatial
• Normes et référentiels internationaux : ISO 27001/27036, NIST SP 800-161, C-SCRM
• Référentiels sectoriels : CMMC (défense US), IEC 62443 (industrie), SOC 2
• Recommandations ANSSI sur la sécurité des prestataires
• Cartographie des obligations selon le secteur et la taille de l’organisation

Module 3 : Identification et classification des tiers (2h)

• Typologie des tiers : fournisseurs logiciels, hébergeurs, ESN, éditeurs, intégrateurs, sous-traitants
• Critères de criticité : accès aux données sensibles, accès réseau, dépendance opérationnelle, concentration
• Construction et tenue d’un registre des tiers (format, contenu, fréquence de mise à jour)
• Méthode de scoring et de priorisation des tiers à risque
• Notion de quatrième partie (sous-traitants des sous-traitants) et de risque de concentration

Atelier pratique : qualification et scoring d’un portefeuille de fournisseurs fictifs

Module 4 : Évaluation et audit de la sécurité des fournisseurs (2h)

• Due diligence initiale : questionnaires de sécurité, analyse documentaire, certifications
• Référentiels d’évaluation : CAIQ (CSA), SIG (Shared Assessments), questionnaires ANSSI
• Audits de sécurité : droit d’audit contractuel, tests d’intrusion ciblés, revues de code
• Évaluation continue : surveillance de la surface d’attaque externe (ASM), threat intelligence sur les tiers
• Gestion des résultats : plans d’action, suivi des remédiations, réévaluation périodique

Atelier pratique : analyse d’un questionnaire fournisseur et identification des points de risque

Module 5 : Sécurisation contractuelle et exigences fournisseurs (2h)

• Les clauses de sécurité incontournables : exigences minimales, droit d’audit, notification d’incident
• Niveaux de service sécurité (SLA sécurité) : délais de patch, disponibilité, temps de réponse incident
• Gestion de la chaîne de sous-traitance : clause de flux descendant (flow-down)
• Exigences sur le cycle de développement sécurisé (SSDLC) pour les éditeurs logiciels
• Software Bill of Materials (SBOM) : définition, formats (SPDX, CycloneDX), cas d’usage
• Le format VEX
• Plans de sortie et de réversibilité : portabilité des données, continuité de service

Atelier pratique : Génération de SBOM et analyse des vulnérabilités

Module 6 : Détection, réponse aux incidents et continuité (2h)

• Signaux d’alerte d’une compromission via un tiers : indicateurs techniques et comportementaux
• Surveillance des tiers : monitoring des flux, détection d’anomalies, threat intelligence externe
• Processus de gestion d’incident impliquant un fournisseur : rôles, communication, coordination
• Obligations de notification : vers les autorités, vers les clients, vers les partenaires
• Plan de continuité d’activité (PCA) intégrant les défaillances fournisseurs
• Stratégie de sortie d’urgence et fournisseurs de substitution

Atelier pratique : simulation de crise — compromission d’un prestataire disposant d’accès distants

Module 7 : Gouvernance, pilotage et amélioration continue (2h)

• Intégration dans la PSSI et le système de management de la sécurité (SMSI)
• Rôles et responsabilités : RSSI, Direction des Achats, Juridique, DSI, Risk Management
• Tableaux de bord et indicateurs de suivi : couverture des évaluations, taux de conformité, délais de remédiation
• Sensibilisation et formation des équipes achats et métiers
• Gestion du cycle de vie fournisseur : entrée, vie du contrat, sortie

Retours d’expérience et tendances : évolution des menaces, IA et supply chain, open source

Modalités pédagogiques :

• Évaluation des besoins et du profil du participant
• Apport théorique et méthodologique : séquences pédagogiques regroupées en différents modules
• Contenus des programmes adaptés en fonction des besoins identifiés pendant la formation
• Réflexion et échanges sur cas pratiques
• Questionnaires, exercices, ateliers et étude de cas
• Tests de contrôle de connaissances et validation des acquis à chaque étape
• Retours d’expériences

Éléments matériels :

• Mise à disposition de tout le matériel pédagogique nécessaire (pour les formations en présentiel)
• Support de cours au format numérique projeté sur écran et transmis au participant par mail à la fin de la formation

Référent pédagogique et formateur/formatrice :
Chaque formation est sous la responsabilité de la directrice pédagogique de l’organisme de formation ; le bon déroulement est assuré par le formateur ou la formatrice désigné(e) par l’organisme de formation.

Ici, pas de théorie abstraite.

Vous allez :

• construire une cartographie fournisseurs
• évaluer des risques réels
• analyser des questionnaires sécurité
• travailler sur des clauses contractuelles
• simuler une crise liée à un prestataire compromis

🎯 Résultat : Vous repartez avec des outils et méthodes directement applicables dans votre organisation.

Évaluation : 

• Évaluation individuelle du profil, des attentes et des besoins du participant avant le démarrage de la formation
• Évaluation des connaissances & compétences en début et en fin de formation via un QCM
• Tests de contrôle de connaissances et validation des acquis à chaque étape
• Travaux pratiques et mises en situation
• Echange avec le formateur ou la formatrice par visioconférence (webinar), téléphone et mail
• Questionnaire d’évaluation de la satisfaction en fin de formation