Supply Chain Security – Gestion des risques tiers et SBOM (Niveau Intermédiaire)

Formation créée le 24/04/2026.
Version du programme : 1

Type de formation

Présentiel

Durée de formation

14 heures (2 jours)
Cette formation est gratuite.
S'inscrire
Cette formation est gratuite.
S'inscrire
Cette formation est gratuite.
S'inscrire

Supply Chain Security – Gestion des risques tiers et SBOM (Niveau Intermédiaire)


Permettre aux participants d’identifier, évaluer et maîtriser les risques liés à la chaîne d’approvisionnement numérique, de structurer une démarche de gestion des tiers et d’exploiter les SBOM dans une logique opérationnelle de cybersécurité.

Objectifs de la formation

  • Analyser les menaces réelles liées à la supply chain logicielle et aux fournisseurs
  • Mettre en œuvre une méthodologie d’évaluation des risques tiers
  • Intégrer des exigences de sécurité dans les relations contractuelles fournisseurs
  • Comprendre, générer et exploiter un SBOM (Software Bill of Materials)
  • Mettre en place une surveillance continue des fournisseurs critiques
  • Intégrer les exigences de la directive NIS2 dans la gestion des tiers
  • Réaliser une évaluation complète de risque fournisseur dans un contexte réel

Profil des bénéficiaires

Pour qui
  • RSSI
  • Responsables achats IT
  • Chefs de projet sécurité
  • Auditeurs internes/externe
  • Responsables conformité
  • Responsables gestion des risques IT
Prérequis
  • Connaissances générales en cybersécurité
  • Compréhension des architectures IT et des environnements applicatifs
  • Notions de gestion des risques (ISO 27005, EBIOS ou équivalent recommandées)

Contenu de la formation

JOUR 1- Module 1 – Menaces sur la supply chain : analyse de cas réels (2h30)
  • Panorama des attaques supply chain (logicielle et fournisseurs)
  • Analyse détaillée des incidents majeurs : SolarWinds cyberattack, Log4j vulnerability, 3CX supply chain attack
  • Typologie des vecteurs d’attaque (compromission de dépendances, éditeurs, mises à jour)
  • Impacts organisationnels, financiers et réputationnels
  • Activité pratique (étude de cas) : Analyse guidée d’un incident supply chain (identification des failles et vecteurs) - Construction d’un arbre des impacts métiers et IT liés à l’attaque
JOUR 1- Module 2 – Framework d’évaluation des risques tiers (2h30)
  • Cartographie des tiers et identification des fournisseurs critiques
  • Méthodologies d’évaluation : ISO 27001/27005, EBIOS RM appliqué aux tiers
  • Critères d’évaluation : accès aux données, dépendance métier, criticité opérationnelle
  • Score de risque fournisseur et priorisation
  • Activité pratique (exercice) : Construction d’une grille d’évaluation des risques fournisseurs - Application sur un portefeuille fournisseurs fictif (classification et scoring)
JOUR 1- Module 3 – Clauses contractuelles de sécurité (2h)
  • Intégration de la cybersécurité dans les contrats fournisseurs
  • Clauses essentielles : audit, conformité, notification d’incident, PCA/PRA
  • Gestion des sous-traitants et cascade de responsabilité
  • Alignement avec les exigences réglementaires (dont NIS2)
  • Activité pratique (cas pratique) : Analyse critique d’un contrat fournisseur existant - Rédaction de clauses de sécurité adaptées à un fournisseur critique
JOUR 2- Module 4 – SBOM : concepts, formats et génération (2h30)
  • Définition et rôle du SBOM dans la cybersécurité
  • Formats standards : SPDX, CycloneDX
  • Outils de génération et automatisation dans la chaîne CI/CD
  • Cas d’usage : gestion des vulnérabilités, conformité, audit
  • Activité pratique (exercice technique) : Génération d’un SBOM à partir d’une application (outil open source) - Lecture et analyse des composants et dépendances identifiées
JOUR 2- Module 5 – Exploitation des SBOM et surveillance continue des fournisseurs (2h30)
  • Exploitation des SBOM pour identifier les vulnérabilités (ex : dépendances critiques)
  • Intégration avec des outils de gestion des vulnérabilités
  • Surveillance continue des fournisseurs : scoring dynamique, threat intelligence
  • Mise en place d’un dispositif de suivi et d’alerte
  • Activité pratique (cas pratique) : Analyse d’un SBOM pour détecter des composants vulnérables - Définition d’un plan de surveillance continue d’un fournisseur critique
JOUR 2- Module 6 – Exigences NIS2 et mise en conformité supply chain (2h)
  • Présentation de la directive NIS2 Directive
  • Obligations liées à la gestion des fournisseurs et de la chaîne d’approvisionnement
  • Gouvernance, responsabilités et reporting
  • Intégration dans un programme global de cybersécurité
  • Activité pratique (atelier final – cas fil rouge) : Évaluation complète du risque d’un fournisseur critique (analyse, scoring, plan d’actions) - Restitution et justification des choix devant le groupe (logique audit/comité risque)

Équipe pédagogique

Professionnel expert technique et pédagogique.