12 min de lecture<\/p>\n
500.000 listes de composants logiciels sont g\u00e9r\u00e9es par la Deutsche Bahn. Ce qui peut sembler bureaucratique deviendra obligatoire pour tous les fabricants de produits num\u00e9riques dans l’UE \u00e0 partir de septembre 2026. Ceux qui ne se pr\u00e9parent pas risquent des amendes allant jusqu’\u00e0 15 millions d’euros \u2014 et l’exclusion du march\u00e9 europ\u00e9en.<\/strong><\/p>\n Votre \u00e9quipe de s\u00e9curit\u00e9 est confront\u00e9e \u00e0 un probl\u00e8me concret : \u00e0 partir du 11 septembre 2026, tous les fabricants de produits avec des \u00e9l\u00e9ments num\u00e9riques doivent d\u00e9clarer les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es \u00e0 l’ENISA dans les 24 heures. Sans une liste de composants logiciels \u00e0 jour, cela est tout simplement impossible. En effet, celui qui ne sait pas quels composants sont int\u00e9gr\u00e9s dans son logiciel ne peut pas \u00e9valuer si une nouvelle vuln\u00e9rabilit\u00e9 affecte son produit.<\/p>\n Le temps moyen de d\u00e9tection des infiltrations dans la cha\u00eene d’approvisionnement est actuellement de 287 jours. Pr\u00e8s de dix mois pendant lesquels les attaquants op\u00e8rent sans \u00eatre d\u00e9tect\u00e9s dans des syst\u00e8mes compromis. Une SBOM r\u00e9duit consid\u00e9rablement cette p\u00e9riode en permettant une consultation imm\u00e9diate : utilisons-nous la biblioth\u00e8que affect\u00e9e ? Dans quelle version ? Dans quel produit ?<\/p>\n Sources : BlackBerry Global Threat Intelligence Report 2024 ; IBM\/Ponemon Cost of a Data Breach 2025 ; Verizon DBIR 2025<\/p>\n<\/div>\n Une Software Bill of Materials documente tous les composants, biblioth\u00e8ques et d\u00e9pendances dans un produit logiciel. Comparable \u00e0 la liste des ingr\u00e9dients sur un emballage alimentaire, mais pour le code. Le CRA la d\u00e9finit comme un \u00ab enregistrement formel contenant les d\u00e9tails et les relations de la cha\u00eene d’approvisionnement des composants contenus dans les \u00e9l\u00e9ments logiciels \u00bb.<\/p>\n Important : une SBOM n’est pas un audit de s\u00e9curit\u00e9. Elle rend transparent ce qui a \u00e9t\u00e9 int\u00e9gr\u00e9 \u2014 pas si c’est s\u00fbr. Mais sans cette transparence, une \u00e9valuation syst\u00e9matique des vuln\u00e9rabilit\u00e9s n’est pas possible. C’est seulement la combinaison de la SBOM et du VEX (Vulnerability Exploitability eXchange) qui donne une image compl\u00e8te : la SBOM liste les composants, le VEX \u00e9value si une vuln\u00e9rabilit\u00e9 connue est r\u00e9ellement exploitable dans le contexte d’utilisation concret.<\/p>\n Le Cyber Resilience Act de l’UE \u00e9chelonne les obligations en deux \u00e9tapes :<\/p>\n \u00c0 partir du 11 septembre 2026 :<\/strong> Obligation de d\u00e9claration des vuln\u00e9rabilit\u00e9s activement exploit\u00e9es \u00e0 l’ENISA dans les 24 heures. Cela s’applique \u00e9galement aux produits d\u00e9j\u00e0 sur le march\u00e9. Sans SBOM et suivi automatis\u00e9 des vuln\u00e9rabilit\u00e9s, ce d\u00e9lai est pratiquement impossible \u00e0 respecter.<\/p>\n \u00c0 partir du 11 d\u00e9cembre 2027 :<\/strong> Obligation compl\u00e8te de SBOM pour tous les produits avec des \u00e9l\u00e9ments num\u00e9riques commercialis\u00e9s dans l’UE. La liste des composants doit \u00eatre dans un format lisible par machine et couvrir au moins les d\u00e9pendances de niveau sup\u00e9rieur. En cas de non-respect, des amendes allant jusqu’\u00e0 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial sont pr\u00e9vues.<\/p>\n Parall\u00e8lement, le BSI, en tant que future autorit\u00e9 de surveillance du march\u00e9, a publi\u00e9 la directive technique TR-03183-2. Elle va au-del\u00e0 des exigences minimales de l’UE et demande, entre autres, des sommes de contr\u00f4le cryptographiques, des identifiants de licence et des m\u00e9canismes de signature.<\/p>\n „Le CRA est un v\u00e9ritable changement pour la s\u00e9curit\u00e9 des produits num\u00e9riques !“<\/p>\n – Claudia Plattner, Pr\u00e9sidente de l’Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 des technologies de l’information (BSI)<\/p>\n<\/blockquote>\n Pour les responsables informatiques et les CISOs, une question tr\u00e8s concr\u00e8te se pose : comment mettre cela en \u0153uvre ? La r\u00e9ponse d\u00e9pend de votre propre paysage logiciel, du niveau de maturit\u00e9 de vos pipelines CI\/CD et du budget disponible. Trois options se sont \u00e9tablies dans la pratique.<\/p>\n Pour qui :<\/strong> Les entreprises avec des processus de d\u00e9veloppement modernes, des d\u00e9ploiements bas\u00e9s sur des conteneurs et une culture DevSecOps existante.<\/p>\n Comment cela fonctionne :<\/strong> Des outils comme Syft, Trivy ou cdxgen sont directement int\u00e9gr\u00e9s dans la pipeline de construction. \u00c0 chaque build, une SBOM au format CycloneDX ou SPDX est automatiquement g\u00e9n\u00e9r\u00e9e, versionn\u00e9e et stock\u00e9e de mani\u00e8re centrale. La SBOM se met \u00e0 jour automatiquement \u00e0 chaque release.<\/p>\n Pro :<\/strong> Moindre effort op\u00e9rationnel, haute actualit\u00e9, \u00e9volue avec le nombre de produits. Selon l’ENISA, l’approche recommand\u00e9e pour les entreprises avec plus de dix produits logiciels.<\/p>\n Contra :<\/strong> Travail d’int\u00e9gration initial (2-4 semaines par pipeline), n\u00e9cessite des comp\u00e9tences DevOps, les syst\u00e8mes h\u00e9rit\u00e9s sans CI\/CD sont laiss\u00e9s de c\u00f4t\u00e9.<\/p>\n Pour qui :<\/strong> Les PME avec un paysage logiciel mixte. Certains produits fonctionnent dans des pipelines modernes, d’autres sont des syst\u00e8mes h\u00e9rit\u00e9s sans automatisation.<\/p>\n Comment cela fonctionne :<\/strong> Les produits modernes sont captur\u00e9s automatiquement (comme l’option 1). Pour les logiciels h\u00e9rit\u00e9s, les SBOM sont g\u00e9n\u00e9r\u00e9es via des outils d’analyse binaire comme FOSSA ou Mend, qui scannent les binaires finaux. Un analyste de s\u00e9curit\u00e9 examine et compl\u00e8te manuellement les r\u00e9sultats.<\/p>\n Pro :<\/strong> Couvre l’ensemble du paysage produit, r\u00e9alisable de mani\u00e8re r\u00e9aliste avec les \u00e9quipes existantes, r\u00e9pond pleinement \u00e0 la TR-03183-2 du BSI.<\/p>\n Contra :<\/strong> Co\u00fbts de personnel op\u00e9rationnels plus \u00e9lev\u00e9s, les \u00e9tapes manuelles sont sujettes aux erreurs, les cycles de revue ralentissent les releases.<\/p>\n Pour qui :<\/strong> Les petits \u00e9diteurs de logiciels avec peu de produits qui n’ont pas leur propre d\u00e9partement DevOps.<\/p>\n Comment cela fonctionne :<\/strong> Les SBOM sont cr\u00e9\u00e9es manuellement, bas\u00e9es sur les mod\u00e8les de l’ENISA et les directives du BSI. Les d\u00e9veloppeurs documentent les biblioth\u00e8ques et versions utilis\u00e9es dans un tableau structur\u00e9, qui est ensuite converti en CycloneDX ou SPDX.<\/p>\n Pro :<\/strong> Pas d’investissement en outils n\u00e9cessaire, d\u00e9marrage rapide possible, r\u00e9pond aux exigences minimales du CRA.<\/p>\n Contra :<\/strong> Ne s’adapte pas, taux d’erreur \u00e9lev\u00e9 avec des arborescences de d\u00e9pendances complexes, devient difficile \u00e0 g\u00e9rer avec plus de trois produits. L’ENISA avertit explicitement que les SBOM cr\u00e9\u00e9es manuellement atteignent rarement la qualit\u00e9 minimale.<\/p>\n Le fait que les SBOM fonctionnent \u00e9galement \u00e0 grande \u00e9chelle est d\u00e9montr\u00e9 par la Deutsche Bahn. Lors de la FOSDEM 2026, l’entreprise a pr\u00e9sent\u00e9 son approche : 500 000 SBOM, g\u00e9r\u00e9s avec une combinaison d’outils open-source et de logique d\u00e9velopp\u00e9e en interne, int\u00e9gr\u00e9s dans l’architecture d’entreprise existante.<\/p>\n Trois enseignements du projet DB sont \u00e9galement pertinents pour les petites entreprises :<\/p>\n Les SBOM ne sont pas une fin en soi.<\/strong> La DB traite les SBOM comme une m\u00e9thode de soutien pour divers cas d’utilisation, de la gestion des vuln\u00e9rabilit\u00e9s \u00e0 la conformit\u00e9 des licences, en passant par la gestion des fournisseurs. Ceux qui consid\u00e8rent les SBOM uniquement comme une case \u00e0 cocher r\u00e9glementaire perdent l’avantage op\u00e9rationnel.<\/p>\n L’open source suffit, avec une logique propre.<\/strong> La DB utilise des outils FOSS comme Syft et Trivy, compl\u00e9t\u00e9s par sa propre logique pour l’int\u00e9gration dans SAP et les syst\u00e8mes internes. Les plateformes commerciales co\u00fbteuses n’\u00e9taient pas n\u00e9cessaires, mais le travail d’int\u00e9gration \u00e9tait consid\u00e9rable.<\/p>\n Les personnes font la diff\u00e9rence.<\/strong> Les outils techniques seuls ne suffisent pas. La DB souligne que du personnel d\u00e9di\u00e9 est n\u00e9cessaire pour int\u00e9grer les SBOM dans les pipelines et surveiller en continu la qualit\u00e9 des listes de pi\u00e8ces g\u00e9n\u00e9r\u00e9es.<\/p>\n Malgr\u00e9 l’enthousiasme pour les progr\u00e8s r\u00e9glementaires, les SBOM ne r\u00e9solvent pas tous les probl\u00e8mes de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement logicielle. Trois limitations que les responsables informatiques doivent conna\u00eetre.<\/p>\n Fragmentation des standards.<\/strong> CycloneDX et SPDX sont les deux formats dominants, mais ils ne sont pas enti\u00e8rement compatibles. De nombreuses entreprises g\u00e9n\u00e8rent les deux formats en parall\u00e8le : CycloneDX pour l’\u00e9quipe de s\u00e9curit\u00e9, SPDX pour le d\u00e9partement juridique. Cela double l’effort sans gain de s\u00e9curit\u00e9.<\/p>\n Probl\u00e8me de qualit\u00e9.<\/strong> Toutes les SBOM g\u00e9n\u00e9r\u00e9es automatiquement n’atteignent pas la qualit\u00e9 minimale. L’ENISA avertit dans son rapport SBOM Landscape (d\u00e9cembre 2025) que les fournisseurs de logiciels n’int\u00e8grent souvent pas les donn\u00e9es pertinentes, tout simplement parce qu’elles ne sont pas disponibles. Une SBOM qui capture 60 % des d\u00e9pendances donne une fausse impression de s\u00e9curit\u00e9.<\/p>\n Les attaquants s’adaptent.<\/strong> Les attaques sur la cha\u00eene d’approvisionnement ont doubl\u00e9 en 2025, avec une moyenne de 26 incidents par mois \u00e0 partir d’avril 2025. Les attaquants ciblent de plus en plus les pipelines de construction eux-m\u00eames, c’est-\u00e0-dire l’infrastructure qui g\u00e9n\u00e8re les SBOM. Un processus de construction compromis peut produire une SBOM manipul\u00e9e mais correcte en apparence.<\/p>\n Le BSI accepte les deux formats, mais recommande CycloneDX \u00e0 partir de la version 1.6 ou SPDX \u00e0 partir de la version 3.0.1. Pour la pratique :<\/p>\n CycloneDX<\/strong> est le meilleur choix pour les \u00e9quipes de s\u00e9curit\u00e9. Ce format offre un support natif pour VEX, le hachage et les arbres de d\u00e9pendances. La version 1.7 (octobre 2025) apporte en plus des m\u00e9tadonn\u00e9es de brevet et une transparence cryptographique \u00e9tendue. CycloneDX supporte, outre les SBOM logiciels, les listes de mat\u00e9riels (HBOM), d’IA\/ML et cryptographiques (CBOM).<\/p>\n SPDX<\/strong> est plus fort dans le domaine de la conformit\u00e9 des licences et de la diligence raisonnable en mati\u00e8re de propri\u00e9t\u00e9 intellectuelle. En tant que standard certifi\u00e9 ISO\/IEC 5962:2021, SPDX b\u00e9n\u00e9ficie d’une plus grande acceptation r\u00e9glementaire, notamment pour les entreprises op\u00e9rant \u00e0 l’international.<\/p>\n Recommandation pragmatique : commencez avec CycloneDX pour les op\u00e9rations de s\u00e9curit\u00e9. Si votre d\u00e9partement juridique exige SPDX, utilisez des outils de conversion comme cyclonedx-cli ou spdx-tools. Les deux formats peuvent \u00eatre convertis l’un dans l’autre, m\u00eame si des pertes de d\u00e9tails sont possibles.<\/p>\n Pour les responsables informatiques qui souhaitent d\u00e9marrer maintenant, voici le plan concret :<\/p>\n Semaine 1-2 : Inventaire<\/strong><\/p>\n Semaine 3-4 : Projet pilote<\/strong><\/p>\n Semaine 5-8 : D\u00e9ploiement<\/strong><\/p>\n Semaine 9-12 : Renforcement<\/strong><\/p>\n L’obligation de SBOM arrive. La question n’est pas de savoir si, mais \u00e0 quel point votre entreprise sera pr\u00e9par\u00e9e lorsque la premi\u00e8re obligation de d\u00e9claration entrera en vigueur en septembre 2026. La premi\u00e8re \u00e9tape la plus pragmatique : installez Syft ou Trivy dans un projet de test et g\u00e9n\u00e9rez votre premi\u00e8re SBOM. Cela prend 30 minutes et vous montre imm\u00e9diatement combien de d\u00e9pendances se cachent dans votre logiciel, dont vous ignoriez l’existence.<\/p>\n Non. Le CRA s’adresse aux fabricants, c’est-\u00e0-dire aux entreprises qui mettent des produits avec des \u00e9l\u00e9ments num\u00e9riques sur le march\u00e9 de l’UE. Les simples utilisateurs n’ont pas besoin de cr\u00e9er leurs propres SBOM, mais devraient exiger des SBOM de leurs fournisseurs. La directive NIS2 exige \u00e9galement que les infrastructures critiques documentent leur cha\u00eene d’approvisionnement logicielle dans le cadre de la gestion des risques.<\/p>\n Pour la plupart des \u00e9quipes de s\u00e9curit\u00e9, CycloneDX \u00e0 partir de la version 1.6 est le choix le plus pragmatique, car il offre une prise en charge native des vuln\u00e9rabilit\u00e9s et de VEX. SPDX est plus fort en mati\u00e8re de conformit\u00e9 des licences. Le BSI accepte les deux formats dans TR-03183-2. De nombreuses entreprises g\u00e9n\u00e8rent les deux en parall\u00e8le et les convertissent si n\u00e9cessaire.<\/p>\n Les co\u00fbts des outils peuvent \u00eatre nuls, car des outils open-source comme Syft et Trivy sont pr\u00eats pour la production. Le principal effort r\u00e9side dans l’int\u00e9gration : comptez 2 \u00e0 4 semaines de travail d’int\u00e9gration par pipeline CI\/CD et un demi ETP pour le monitoring et l’assurance qualit\u00e9 continus. Les plateformes commerciales comme FOSSA ou Mend commencent \u00e0 environ 15 000 euros par an.<\/p>\n Oui et non. Les logiciels open-source d\u00e9velopp\u00e9s comme un projet de loisir sans intention commerciale sont exempt\u00e9s du CRA. D\u00e8s qu’une entreprise int\u00e8gre des composants open-source dans un produit commercial, elle est responsable de l’obligation de SBOM pour l’ensemble du produit \u2014 y compris toutes les d\u00e9pendances open-source.<\/p>\n Non. Le CRA pr\u00e9cise explicitement que les fabricants ne sont pas oblig\u00e9s de publier leur SBOM. Elle doit faire partie de la documentation technique et \u00eatre pr\u00e9sent\u00e9e aux autorit\u00e9s de surveillance du march\u00e9 sur demande. Certaines entreprises publient volontairement leurs SBOM comme signal de confiance envers leurs clients.<\/p>\n Source de l’image de titre : Pexels \/ cottonbro studio<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Votre v\u00e9rification pratique de la SBOM vous aide \u00e0 ma\u00eetriser de mani\u00e8re structur\u00e9e l’obligation complexe de nomenclature logicielle d’ici 2026 et \u00e0 r\u00e9duire les risques de non-conformit\u00e9.","protected":false},"author":50,"featured_media":5336,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"V\u00e9rification pratique SBOM","_yoast_wpseo_title":"V\u00e9rification pratique de la SBOM : comment mettre en \u0153uvre la nomenclature logic","_yoast_wpseo_metadesc":"\u00c0 partir de septembre 2026, la liste des composants logiciels (SBOM) sera obligatoire dans l'UE. Guide pratique pour les fabricants de produits num\u00e9riques.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[219],"tags":[],"class_list":["post-12075","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-case-studies"],"evm_reading_time_minutes":14,"wpml_language":"fr","wpml_translation_of":5339,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=12075"}],"version-history":[{"count":5,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12075\/revisions"}],"predecessor-version":[{"id":14454,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12075\/revisions\/14454"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5336"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=12075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=12075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=12075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}L’essentiel en bref<\/h2>\n
\n
Septembre 2026 : le compte \u00e0 rebours est lanc\u00e9<\/h2>\n
Ce qu’est une SBOM \u2014 et ce qu’elle n’est pas<\/h2>\n
Les \u00e9ch\u00e9ances r\u00e9glementaires en un coup d’\u0153il<\/h2>\n
\n
Trois voies vers la SBOM : le test pratique<\/h2>\n
Option 1 : enti\u00e8rement automatis\u00e9e dans la pipeline CI\/CD<\/h2>\n
Option 2 : hybride avec revue manuelle<\/h2>\n
Option 3 : manuelle avec approche par mod\u00e8les<\/h2>\n
Comment la Deutsche Bahn s’y prend<\/h2>\n
L’envers de la m\u00e9daille : pourquoi les SBOM ne sont pas une panac\u00e9e<\/h2>\n
CycloneDX ou SPDX ? La d\u00e9cision du format<\/h2>\n
Check-list : Pr\u00e9paration SBOM en 90 jours<\/h2>\n
\n
\n
\n
\n
L’\u00e9tape suivante<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Les entreprises qui utilisent uniquement des logiciels (et ne les produisent pas) doivent-elles aussi cr\u00e9er des SBOM ?<\/h3>\n
Quel format de SBOM choisir \u2014 CycloneDX ou SPDX ?<\/h3>\n
Combien co\u00fbte l’introduction de SBOM pour une entreprise de taille moyenne ?<\/h3>\n
L’obligation de SBOM s’applique-t-elle \u00e9galement aux projets open-source ?<\/h3>\n
La SBOM doit-elle \u00eatre accessible au public ?<\/h3>\n
Articles compl\u00e9mentaires<\/h2>\n
\n
Du r\u00e9seau MBF-Media<\/h2>\n
\n