La gestion des sous-traitants et chaîne d’approvisionnement

JOUR 1

Introduction/Rappel – Les essentiels de la cybersécurité

• Définitions de la cybersécurité
• Acteurs de la cybersécurité en France
• Le DICP
• Concepts fondamentaux de la cyber (Moindre privilège, besoin d’en connaitre, défense en profondeur…)

Enjeux de la chaîne d’approvisionnement cyber

• Définition de la Supply Chain Cybersecurity et périmètre étendu aux tiers directs et indirects.
• Évolution des systèmes : externalisation, cloud, interconnexion IT/OT.
• Typologies d’attaques via les fournisseurs (logiciels compromis, accès de maintenance, rebond).
• Illustration par des attaques majeures (effet domino et impact systémique).
• Différences fondamentales entre enjeux IT et OT (confidentialité vs disponibilité/safety).
• Cadre réglementaire et normatif : NIS 2, ISO/IEC 27001, DORA, IEC 62443.

Typologie des sous-traitants IT et OT

• Importance stratégique de la classification des fournisseurs.
• Typologies IT : infogérance, cloud, éditeurs logiciels, SOC externalisé.
• Typologies OT : intégrateurs industriels, mainteneurs, fournisseurs de composants, télémaintenance.
• Analyse des rôles, accès typiques et risques cyber associés à chaque catégorie.
• Critères de criticité : niveau d’accès, données traitées, dépendance métier, maturité cyber.
• Erreurs fréquentes : approche uniforme, sous-estimation des prestataires OT historiques.

Évaluation et pilotage des risques liés aux fournisseurs

• Enjeux de gouvernance des risques tiers dans des chaînes complexes et globalisées.
• Cartographie des fournisseurs et identification des dépendances critiques. 
• Mise en place d’un scoring cyber pour prioriser les fournisseurs.
• Utilisation d’outils internes et externes de notation et de suivi.
• Pilotage dans la durée : KPI, comités de gouvernance, tableaux de bord.
• Études de cas et exercices pratiques (EBIOS-RM, scénarios industriels).
• Définition et suivi de plans d’amélioration et de réduction des risques.

JOUR 2

Évaluation des risques de sécurité pour la conception de systèmes

• Définition du cloud et de ses caractéristiques essentielles.
• Présentation des modèles IaaS, PaaS, SaaS et de leurs implications sécurité.
• Modèles de déploiement cloud et enjeux associés.
• Principe fondamental de responsabilité partagée.
• Mythes fréquents sur la sécurité du cloud.
• Rôle du client dans la configuration, la protection des données et la gouvernance.
• Apports et limites du Security as a Service (SECaaS).

Les contrats, clauses de sécurité et PAS

• Le contrat comme outil central de gestion du risque cyber fournisseur.
• Clauses clés : responsabilités, audits, localisation des données, résiliation, réversibilité.
• Intégration de la cybersécurité dès les appels d’offres.
• Définition et usage du Plan d’Assurance Sécurité (PAS).
• Pilotage contractuel via SLA, SLO, SLI et NDA.
• Construction d’une politique globale de gestion des tiers.
• Intégration de la cybersécurité dans achats, projets et audits qualité.

Contrôler et auditer ses fournisseurs

• Techniques d’évaluation : questionnaires, audits, vérification contractuelle.
• Différents types d’audits : organisationnel, technique, applicatif, architecture, physique.
• Contraintes, refus d’audit et stratégies compensatoires.
• Conséquences de la non-conformité fournisseur.
• Référentiels clés pour la supply chain cyber (ISO 27036, IEC 62443-2-4, NIST 800-161).
• Importance du contrôle continu et de la maturité fournisseur.

Continuité, gestion d’incident et communication

• Contrôle d’accès des tiers et surveillance continue.
• Organisation et fréquence des audits fournisseurs.
• Gestion des non-conformités et sanctions.
• Gouvernance et responsabilités en cas d’incident impliquant un tiers.
• Communication de crise interne et externe.
• Intégration des fournisseurs dans les PCA/PRA.
• Normes de continuité et résilience appliquées à la supply chain.