12 min de lecture<\/p>\n
La Deutsche Bahn g\u00e8re \u00e0 elle seule 500 000 nomenclatures logicielles. Ce qui ressemble \u00e0 de la bureaucratie deviendra une obligation pour tous les fabricants de produits num\u00e9riques dans l\u2019UE \u00e0 partir de septembre 2026. Ceux qui ne s\u2019y pr\u00e9parent pas risquent des amendes pouvant atteindre 15 millions d\u2019euros \u2013 et une exclusion du march\u00e9 europ\u00e9en.<\/strong><\/p>\n Votre \u00e9quipe s\u00e9curit\u00e9 est confront\u00e9e \u00e0 un probl\u00e8me concret : \u00e0 partir du 11 septembre 2026, tous les fabricants de produits comportant des \u00e9l\u00e9ments num\u00e9riques devront signaler \u00e0 l\u2019ENISA les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es dans un d\u00e9lai de 24 heures. Sans une nomenclature logicielle \u00e0 jour, cela est tout simplement impossible. Car si l\u2019on ne sait pas quels composants sont int\u00e9gr\u00e9s dans son propre logiciel, on ne peut pas \u00e9valuer si une nouvelle vuln\u00e9rabilit\u00e9 affecte son produit.<\/p>\n Le d\u00e9lai moyen de d\u00e9tection des infiltrations dans la cha\u00eene d\u2019approvisionnement est actuellement de 287 jours. Pr\u00e8s de dix mois pendant lesquels les attaquants op\u00e8rent en toute discr\u00e9tion dans les syst\u00e8mes compromis. Une SBOM r\u00e9duit consid\u00e9rablement ce d\u00e9lai, car elle permet une v\u00e9rification imm\u00e9diate : utilisons-nous la biblioth\u00e8que concern\u00e9e ? Dans quelle version ? Dans quel produit ?<\/p>\n Sources : BlackBerry Global Threat Intelligence Report 2024 ; IBM\/Ponemon Cost of a Data Breach 2025 ; Verizon DBIR 2025<\/p>\n<\/div>\n Une Software Bill of Materials (nomenclature logicielle) documente l\u2019ensemble des composants, biblioth\u00e8ques et d\u00e9pendances d\u2019un produit logiciel. \u00c0 l\u2019image de la liste des ingr\u00e9dients sur un emballage alimentaire, mais pour le code. Le CRA la d\u00e9finit comme une \u00ab enregistrement formel contenant les d\u00e9tails et les relations de la cha\u00eene d\u2019approvisionnement des composants inclus dans les \u00e9l\u00e9ments logiciels \u00bb.<\/p>\n Important : une SBOM n\u2019est pas un audit de s\u00e9curit\u00e9. Elle rend transparent ce qui a \u00e9t\u00e9 int\u00e9gr\u00e9 \u2013 pas si c\u2019est s\u00e9curis\u00e9. Mais sans cette transparence, une \u00e9valuation syst\u00e9matique des vuln\u00e9rabilit\u00e9s est impossible. Ce n\u2019est que la combinaison d\u2019une SBOM et d\u2019un VEX (Vulnerability Exploitability eXchange) qui donne une image compl\u00e8te : la SBOM liste les composants, le VEX \u00e9value si une vuln\u00e9rabilit\u00e9 connue est effectivement exploitable dans le contexte d\u2019utilisation concret.<\/p>\n Le Cyber Resilience Act de l’UE \u00e9chelonnent les obligations en deux \u00e9tapes :<\/p>\n \u00c0 partir du 11 septembre 2026 :<\/strong> Obligation de signaler les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es \u00e0 l’ENISA dans un d\u00e9lai de 24 heures. Cela s’applique \u00e9galement aux produits d\u00e9j\u00e0 sur le march\u00e9. Sans SBOM et un suivi automatis\u00e9 des vuln\u00e9rabilit\u00e9s, ce d\u00e9lai est pratiquement impossible \u00e0 respecter.<\/p>\n \u00c0 partir du 11 d\u00e9cembre 2027 :<\/strong> Obligation compl\u00e8te de SBOM pour tous les produits comportant des \u00e9l\u00e9ments num\u00e9riques commercialis\u00e9s dans l’UE. La nomenclature doit \u00eatre disponible dans un format lisible par machine et couvrir au moins les d\u00e9pendances de premier niveau. En cas de non-respect, des amendes allant jusqu’\u00e0 15 millions d’Euro ou 2,5 % du chiffre d’affaires annuel mondial sont encourues.<\/p>\n Parall\u00e8lement, le BSI, en tant qu’autorit\u00e9 future de surveillance du march\u00e9, a publi\u00e9 la directive technique TR-03183-2. Celle-ci va au-del\u00e0 des exigences minimales de l’UE et impose, entre autres, des sommes de contr\u00f4le cryptographiques, des identifiants de licence et des m\u00e9canismes de signature.<\/p>\n \u00ab Le CRA est un gamechanger pour la s\u00e9curit\u00e9 des produits num\u00e9riques ! \u00bb<\/p>\n \u2013 Claudia Plattner, Pr\u00e9sidente de l’Office f\u00e9d\u00e9ral de la s\u00e9curit\u00e9 des technologies de l’information (BSI)<\/p>\n<\/blockquote>\n Pour les responsables informatiques et les RSSI, une question tr\u00e8s concr\u00e8te se pose : comment mettre cela en \u0153uvre ? La r\u00e9ponse d\u00e9pend de votre paysage logiciel, du niveau de maturit\u00e9 de vos pipelines CI\/CD et du budget disponible. Trois options se sont impos\u00e9es dans la pratique.<\/p>\n Pour qui :<\/strong> Les entreprises dot\u00e9es de processus de d\u00e9veloppement modernes, de d\u00e9ploiements bas\u00e9s sur des conteneurs et d’une culture DevSecOps existante.<\/p>\n Fonctionnement :<\/strong> Des outils comme Syft, Trivy ou cdxgen sont directement int\u00e9gr\u00e9s dans le pipeline de build. \u00c0 chaque build, une SBOM au format CycloneDX ou SPDX est g\u00e9n\u00e9r\u00e9e automatiquement, versionn\u00e9e et stock\u00e9e de mani\u00e8re centralis\u00e9e. La SBOM se met \u00e0 jour automatiquement \u00e0 chaque release.<\/p>\n Avantages :<\/strong> Charge de travail continue minimale, actualisation en temps r\u00e9el, \u00e9volutivit\u00e9 avec le nombre de produits. Selon l’ENISA, cette approche est recommand\u00e9e pour les entreprises disposant de plus de dix produits logiciels.<\/p>\n Inconv\u00e9nients :<\/strong> Travail d’int\u00e9gration initial (2 \u00e0 4 semaines par pipeline), n\u00e9cessite des comp\u00e9tences DevOps, les syst\u00e8mes legacy sans CI\/CD restent exclus.<\/p>\n Pour qui :<\/strong> Les PME avec un paysage logiciel mixte. Certains produits fonctionnent dans des pipelines modernes, d’autres sont des syst\u00e8mes historiques sans automatisation.<\/p>\n Fonctionnement :<\/strong> Les produits modernes sont enregistr\u00e9s automatiquement (comme dans l’option 1). Pour les logiciels legacy, les SBOM sont g\u00e9n\u00e9r\u00e9es via des outils d’analyse binaire comme FOSSA ou Mend, qui scannent les binaires finaux. Un analyste en s\u00e9curit\u00e9 r\u00e9vise et compl\u00e8te manuellement les r\u00e9sultats.<\/p>\n Avantages :<\/strong> Couvre l’ensemble du portefeuille de produits, r\u00e9alisable avec les \u00e9quipes existantes, respecte pleinement la BSI TR-03183-2.<\/p>\n Inconv\u00e9nients :<\/strong> Co\u00fbts de personnel r\u00e9currents plus \u00e9lev\u00e9s, les \u00e9tapes manuelles sont sujettes aux erreurs, les cycles de revue ralentissent les releases.<\/p>\n Pour qui :<\/strong> Les petits \u00e9diteurs de logiciels avec peu de produits et sans d\u00e9partement DevOps d\u00e9di\u00e9.<\/p>\n Fonctionnement :<\/strong> Les SBOM sont cr\u00e9\u00e9es manuellement, sur la base des mod\u00e8les de l’ENISA et des exigences du BSI. Les d\u00e9veloppeurs documentent les biblioth\u00e8ques et versions utilis\u00e9es dans un tableau structur\u00e9, qui est ensuite converti en CycloneDX ou SPDX.<\/p>\n Avantages :<\/strong> Aucun investissement en outils n\u00e9cessaire, mise en \u0153uvre rapide possible, respecte les exigences minimales du CRA.<\/p>\n Inconv\u00e9nients :<\/strong> Ne passe pas \u00e0 l’\u00e9chelle, taux d’erreur \u00e9lev\u00e9 pour les arbres de d\u00e9pendances complexes, devient ing\u00e9rable au-del\u00e0 de trois produits. L’ENISA met en garde contre le fait que les SBOM cr\u00e9\u00e9es manuellement n’atteignent souvent pas la qualit\u00e9 minimale requise.<\/p>\n Que les SBOM fonctionnent aussi \u00e0 grande \u00e9chelle, c’est ce que d\u00e9montre la Deutsche Bahn. Lors de la FOSDEM 2026, l’entreprise a pr\u00e9sent\u00e9 son approche : 500 000 SBOM, g\u00e9r\u00e9s gr\u00e2ce \u00e0 une combinaison d’outils open source et d’une logique d\u00e9velopp\u00e9e en interne, int\u00e9gr\u00e9e \u00e0 l’architecture d’entreprise existante.<\/p>\n Trois enseignements du projet DB sont \u00e9galement pertinents pour les petites entreprises :<\/p>\n Les SBOM ne sont pas une fin en soi.<\/strong> La DB consid\u00e8re les SBOM comme une m\u00e9thode d’appui pour divers cas d’usage \u2013 de la gestion des vuln\u00e9rabilit\u00e9s \u00e0 la conformit\u00e9 des licences, en passant par le contr\u00f4le des fournisseurs. Ceux qui ne voient les SBOM que comme une case \u00e0 cocher r\u00e9glementaire passent \u00e0 c\u00f4t\u00e9 de leur utilit\u00e9 op\u00e9rationnelle.<\/p>\n L’open source suffit \u2013 avec une logique propre.<\/strong> La DB mise sur des outils FOSS comme Syft et Trivy, compl\u00e9t\u00e9s par sa propre logique pour l’int\u00e9gration dans SAP et les syst\u00e8mes internes. Des plateformes commerciales co\u00fbteuses n’\u00e9taient pas n\u00e9cessaires, mais le travail d’int\u00e9gration a \u00e9t\u00e9 consid\u00e9rable.<\/p>\n Ce sont les hommes qui font la diff\u00e9rence.<\/strong> Les outils techniques seuls ne suffisent pas. La DB souligne qu’un personnel d\u00e9di\u00e9 est indispensable pour int\u00e9grer les SBOM dans les pipelines et surveiller en continu la qualit\u00e9 des nomenclatures g\u00e9n\u00e9r\u00e9es.<\/p>\n Malgr\u00e9 l’enthousiasme suscit\u00e9 par les avanc\u00e9es r\u00e9glementaires : les SBOM ne r\u00e9solvent pas tous les probl\u00e8mes de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement logicielle. Trois limites doivent \u00eatre connues des responsables informatiques.<\/p>\n Fragmentation des standards.<\/strong> CycloneDX et SPDX sont les deux formats dominants, mais ils ne sont pas enti\u00e8rement compatibles. De nombreuses entreprises g\u00e9n\u00e8rent les deux formats en parall\u00e8le \u2013 CycloneDX pour l’\u00e9quipe s\u00e9curit\u00e9, SPDX pour le service juridique. Cela double l’effort sans gain de s\u00e9curit\u00e9.<\/p>\n Probl\u00e8me de qualit\u00e9.<\/strong> Toutes les SBOM g\u00e9n\u00e9r\u00e9es automatiquement n’atteignent pas la qualit\u00e9 minimale. L’ENISA met en garde, dans son rapport SBOM Landscape Report (d\u00e9cembre 2025), que les fournisseurs de logiciels omettent souvent d’inclure des donn\u00e9es pertinentes, simplement parce qu’elles ne sont pas disponibles. Une SBOM qui ne couvre que 60 % des d\u00e9pendances donne un faux sentiment de s\u00e9curit\u00e9.<\/p>\n Les attaquants s’adaptent.<\/strong> Les attaques sur la cha\u00eene d’approvisionnement ont doubl\u00e9 en 2025, avec en moyenne 26 incidents par mois \u00e0 partir d’avril 2025. Les attaquants ciblent de plus en plus les pipelines de build eux-m\u00eames \u2013 c’est-\u00e0-dire pr\u00e9cis\u00e9ment l’infrastructure qui g\u00e9n\u00e8re les SBOM. Un processus de build compromis peut produire une SBOM d’apparence correcte, mais manipul\u00e9e.<\/p>\n Le BSI accepte les deux formats, mais recommande CycloneDX \u00e0 partir de la version 1.6 ou SPDX \u00e0 partir de la version 3.0.1. Pour la pratique, voici ce qu’il en est :<\/p>\n CycloneDX<\/strong> est le meilleur choix pour les \u00e9quipes s\u00e9curit\u00e9. Le format offre un support natif pour VEX, le hachage et les arbres de d\u00e9pendances. La version 1.7 (octobre 2025) apporte en plus des m\u00e9tadonn\u00e9es sur les brevets et une transparence cryptographique \u00e9tendue. CycloneDX prend en charge, outre les SBOM logicielles, les nomenclatures mat\u00e9rielles (HBOM), les listes pour l’IA\/ML et les nomenclatures cryptographiques (CBOM).<\/p>\n SPDX<\/strong> est plus adapt\u00e9 au domaine de la conformit\u00e9 des licences et de la due diligence en mati\u00e8re de propri\u00e9t\u00e9 intellectuelle. En tant que standard certifi\u00e9 ISO\/IEC 5962:2021, SPDX b\u00e9n\u00e9ficie d’une plus grande acceptation r\u00e9glementaire, en particulier aupr\u00e8s des entreprises ayant une activit\u00e9 internationale.<\/p>\n Recommandation pragmatique : commencez par CycloneDX pour les op\u00e9rations de s\u00e9curit\u00e9. Si votre service juridique exige SPDX, utilisez des outils de conversion comme cyclonedx-cli ou spdx-tools. Les deux formats peuvent \u00eatre convertis l’un en l’autre, m\u00eame si des pertes de d\u00e9tails sont possibles.<\/p>\n Pour les responsables informatiques qui souhaitent d\u00e9marrer maintenant, voici le plan d’action concret :<\/p>\n Semaines 1-2 : \u00c9tat des lieux<\/strong><\/p>\n Semaines 3-4 : Projet pilote<\/strong><\/p>\n Semaines 5-8 : D\u00e9ploiement<\/strong><\/p>\n Semaines 9-12 : Renforcement<\/strong><\/p>\n L’obligation de fournir une SBOM arrive. La question n’est pas de savoir si, mais \u00e0 quel point votre entreprise est pr\u00e9par\u00e9e lorsque la premi\u00e8re obligation de d\u00e9claration entrera en vigueur en septembre 2026. La premi\u00e8re \u00e9tape la plus pragmatique : installez Syft ou Trivy dans un projet test et g\u00e9n\u00e9rez votre premi\u00e8re SBOM. Cela prend 30 minutes et vous montre imm\u00e9diatement combien de d\u00e9pendances se cachent dans votre logiciel, dont vous ignoriez l’existence.<\/p>\n Non. Le CRA s’adresse aux fabricants, c’est-\u00e0-dire aux entreprises qui mettent \u00e0 disposition sur le march\u00e9 de l’UE des produits comportant des \u00e9l\u00e9ments num\u00e9riques. Les simples utilisateurs n’ont pas \u00e0 cr\u00e9er leurs propres SBOM, mais devraient exiger des SBOM de leurs fournisseurs. La directive NIS2 exige par ailleurs que les infrastructures critiques documentent leur cha\u00eene d’approvisionnement logicielle dans le cadre de la gestion des risques.<\/p>\n Pour la plupart des \u00e9quipes de s\u00e9curit\u00e9, CycloneDX \u00e0 partir de la version 1.6 constitue l’entr\u00e9e la plus pragmatique, car il offre un support natif des vuln\u00e9rabilit\u00e9s et de VEX. SPDX est plus performant en mati\u00e8re de conformit\u00e9 des licences. Le BSI accepte les deux formats dans la TR-03183-2. De nombreuses entreprises g\u00e9n\u00e8rent les deux en parall\u00e8le et les convertissent si n\u00e9cessaire.<\/p>\n Les co\u00fbts des outils peuvent \u00eatre nuls, car des outils open source comme Syft et Trivy sont pr\u00eats pour la production. L’effort principal r\u00e9side dans l’int\u00e9gration : pr\u00e9voyez 2 \u00e0 4 semaines de travail d’int\u00e9gration par pipeline CI\/CD et un demi-ETP pour le monitoring continu et l’assurance qualit\u00e9. Les plateformes commerciales comme FOSSA ou Mend commencent \u00e0 environ 15 000 euros par an.<\/p>\n Cela d\u00e9pend. Les logiciels open source d\u00e9velopp\u00e9s en tant que projets hobby sans intention commerciale sont exempt\u00e9s du CRA. D\u00e8s qu’une entreprise int\u00e8gre des composants open source dans un produit commercial, elle est soumise \u00e0 l’obligation de SBOM pour l’ensemble du produit \u2013 y compris toutes les d\u00e9pendances open source.<\/p>\n Non. Le CRA pr\u00e9cise express\u00e9ment que les fabricants ne sont pas tenus de publier leur SBOM. Elle doit faire partie de la documentation technique et pouvoir \u00eatre pr\u00e9sent\u00e9e sur demande aux autorit\u00e9s de surveillance du march\u00e9. Certaines entreprises publient volontairement leurs SBOM en guise de signal de confiance envers leurs clients.<\/p>\n Source image de titre : Pexels \/ cottonbro studio<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"Votre v\u00e9rification pratique de la SBOM vous aide \u00e0 ma\u00eetriser de mani\u00e8re structur\u00e9e l’obligation complexe de nomenclature logicielle d’ici 2026 et \u00e0 r\u00e9duire les risques de non-conformit\u00e9.","protected":false},"author":50,"featured_media":5336,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"v\u00e9rification-pratique-sbom","_yoast_wpseo_title":"","_yoast_wpseo_metadesc":"\u00c0 partir de septembre 2026, la nomenclature logicielle (SBOM) devient obligatoire dans toute l'UE. Le guide pratique pour les fabricants de produits num\u00e9riques.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":"","_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":"","footnotes":""},"categories":[5],"tags":[],"class_list":["post-12075","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-case-studies"],"wpml_language":"fr","wpml_translation_of":5339,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12075","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=12075"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12075\/revisions"}],"predecessor-version":[{"id":12744,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12075\/revisions\/12744"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5336"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=12075"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=12075"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=12075"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}L\u2019essentiel en bref<\/h2>\n
\n
Septembre 2026 : le compte \u00e0 rebours est lanc\u00e9<\/h2>\n
Qu\u2019est-ce qu\u2019une SBOM \u2013 et ce qu\u2019elle n\u2019est pas<\/h2>\n
Les \u00e9ch\u00e9ances r\u00e9glementaires en un coup d’\u0153il<\/h2>\n
\n
Trois approches pour la SBOM : le test pratique<\/h2>\n
Option 1 : Int\u00e9gration enti\u00e8rement automatis\u00e9e dans le pipeline CI\/CD<\/h2>\n
Option 2 : Approche hybride avec revue manuelle<\/h2>\n
Option 3 : Approche manuelle avec mod\u00e8le<\/h2>\n
Comment la Deutsche Bahn s’y prend<\/h2>\n
Le revers de la m\u00e9daille : pourquoi les SBOM ne sont pas une solution miracle<\/h2>\n
CycloneDX ou SPDX ? Le choix du format<\/h2>\n
Checklist : SBOM-Readiness en 90 jours<\/h2>\n
\n
\n
\n
\n
La prochaine \u00e9tape<\/h2>\n
Questions fr\u00e9quentes<\/h2>\n
Les entreprises qui utilisent simplement des logiciels (sans les produire) doivent-elles aussi cr\u00e9er des SBOM ?<\/h3>\n
Quel format de SBOM choisir \u2013 CycloneDX ou SPDX ?<\/h3>\n
Quel est le co\u00fbt de l’introduction d’une SBOM pour une PME ?<\/h3>\n
L’obligation de SBOM s’applique-t-elle aussi aux projets open source ?<\/h3>\n
La SBOM doit-elle \u00eatre accessible au public ?<\/h3>\n
Articles compl\u00e9mentaires<\/h2>\n
\n
Issus du r\u00e9seau m\u00e9dia MBF<\/h2>\n
\n