{"id":7879,"date":"2022-06-16T09:00:00","date_gmt":"2022-06-16T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5090\/"},"modified":"2026-05-10T19:10:45","modified_gmt":"2026-05-10T19:10:45","slug":"securite-de-la-chaine-dapprovisionnement-logicielle-comment-les-sbom-creent-la-transparence-qui-a-fait-defaut","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2022\/06\/16\/securite-de-la-chaine-dapprovisionnement-logicielle-comment-les-sbom-creent-la-transparence-qui-a-fait-defaut\/","title":{"rendered":"S\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement logicielle : comment les SBOM cr\u00e9ent la transparence qui a fait d\u00e9faut"},"content":{"rendered":"<p><strong>SolarWinds, Log4Shell, MOVEit  &#8211;  chaque grande attaque de la cha\u00eene d\u2019approvisionnement de ces derni\u00e8res ann\u00e9es aurait pu \u00eatre contenue plus rapidement gr\u00e2ce \u00e0 une Software Bill of Materials (SBOM). Les SBOM recensent tous les composants d\u2019un logiciel et permettent, en quelques minutes, ce qui prendrait des semaines sans elles : d\u00e9terminer si l\u2019on est affect\u00e9.<\/strong><\/p>\n<h2>L&rsquo;essentiel<\/h2>\n<ul>\n<li>L\u2019ordre ex\u00e9cutif am\u00e9ricain 14028 rend les SBOM obligatoires pour les fournisseurs des agences f\u00e9d\u00e9rales<\/li>\n<li>Le Cyber Resilience Act de l\u2019UE exige des SBOM \u00e0 partir de 2027 pour tous les produits num\u00e9riques<\/li>\n<li>Formats : SPDX (Linux Foundation) et CycloneDX (OWASP)<\/li>\n<li>La NTIA d\u00e9finit les exigences minimales : Fournisseur, Composant, Version, D\u00e9pendance<\/li>\n<\/ul>\n<h2>Ce qu\u2019est concr\u00e8tement une SBOM<\/h2>\n<p>Une SBOM est une liste lisible par machine de tous les composants logiciels : biblioth\u00e8ques, frameworks, d\u00e9pendances  &#8211;  avec nom, version, licence et origine. Elle est comparable \u00e0 une liste d\u2019ingr\u00e9dients sur un emballage alimentaire : on sait exactement ce qu\u2019elle contient.<\/p>\n<p>En pratique : d\u00e8s qu\u2019une nouvelle vuln\u00e9rabilit\u00e9 comme Log4Shell est r\u00e9v\u00e9l\u00e9e, une entreprise dot\u00e9e de SBOM peut identifier en quelques minutes quels de ses produits int\u00e8grent le composant concern\u00e9. \u00c0 d\u00e9faut de SBOM, elle doit entamer une recherche manuelle longue de plusieurs semaines.<\/p>\n<h2>La pression r\u00e9glementaire augmente<\/h2>\n<p>Les \u00c9tats-Unis ont pris les devants : l\u2019ordre ex\u00e9cutif 14028 oblige les fournisseurs de logiciels du gouvernement f\u00e9d\u00e9ral \u00e0 fournir des SBOM. L\u2019Union europ\u00e9enne suit avec le Cyber Resilience Act (CRA), qui imposera \u00e0 compter de 2027 des SBOM pour tous les produits num\u00e9riques commercialis\u00e9s dans l\u2019UE.<\/p>\n<p>Pour les \u00e9diteurs allemands de logiciels et les fabricants de produits num\u00e9riques, c\u2019est un compte \u00e0 rebours : ceux qui ne seront pas en mesure de fournir de SBOM en 2027 perdront l\u2019acc\u00e8s au march\u00e9  &#8211;  aussi bien aux \u00c9tats-Unis qu\u2019en Europe.<\/p>\n<h2>Int\u00e9gration dans le processus de d\u00e9veloppement<\/h2>\n<p>Les SBOM ne doivent pas \u00eatre produites a posteriori, mais g\u00e9n\u00e9r\u00e9es automatiquement au cours du processus de construction. Des outils tels que Syft, Trivy, CycloneDX CLI ou les outils SPDX s\u2019int\u00e8grent nativement dans les pipelines CI\/CD et g\u00e9n\u00e8rent une SBOM \u00e0 chaque livraison.<\/p>\n<p>Le flux de travail type : la phase de build produit la SBOM, celle-ci est confront\u00e9e aux bases de donn\u00e9es de vuln\u00e9rabilit\u00e9s (NVD, OSV), et tout release pr\u00e9sentant des failles critiques est bloqu\u00e9. C\u2019est l\u00e0 le DevSecOps en action  &#8211;  la transparence transform\u00e9e en standard qualit\u00e9 automatis\u00e9.<\/p>\n<h2>Gestion des SBOM : plus que la simple cr\u00e9ation<\/h2>\n<p>G\u00e9n\u00e9rer une SBOM constitue la premi\u00e8re \u00e9tape. La v\u00e9ritable valeur se cr\u00e9e via une gestion continue : les nouveaux CVE sont v\u00e9rifi\u00e9s automatiquement contre les SBOM existantes, les clients re\u00e7oivent des alertes proactives d\u00e8s qu\u2019un composant critique est affect\u00e9, et la SBOM est mise \u00e0 jour \u00e0 chaque nouvelle version.<\/p>\n<p>Des plateformes telles que Dependency-Track (OWASP, open source) ou des solutions commerciales comme Anchore et Sonatype automatisent ce cycle de vie. L\u2019effort requis est minime  &#8211;  le b\u00e9n\u00e9fice, en revanche, est consid\u00e9rable lorsqu\u2019une crise survient.<\/p>\n<h2>Key Facts<\/h2>\n<p><strong>Transparence :<\/strong> Une SBOM r\u00e9duit le temps de r\u00e9action face aux nouveaux CVE de plusieurs semaines \u00e0 quelques minutes<\/p>\n<p><strong>R\u00e9glementation :<\/strong> L\u2019ordre ex\u00e9cutif am\u00e9ricain 14028 et le CRA europ\u00e9en rendent la SBOM obligatoire d\u2019ici 2027<\/p>\n<p><strong>Adoption :<\/strong> La cr\u00e9ation de SBOM a bondi de 300 % apr\u00e8s Log4Shell (Sonatype)<\/p>\n<h2>Questions fr\u00e9quentes<\/h2>\n<h3>Quel format dois-je utiliser ?<\/h3>\n<p>CycloneDX (OWASP) pour les SBOM ax\u00e9es s\u00e9curit\u00e9, SPDX (Linux Foundation) pour la conformit\u00e9 licence. Les deux formats sont lisibles par machine et convertibles. CycloneDX offre par ailleurs une int\u00e9gration plus avanc\u00e9e avec VEX (Vulnerability Exploitability eXchange).<\/p>\n<h3>Dois-je cr\u00e9er des SBOM pour les d\u00e9pendances open source ?<\/h3>\n<p>Oui  &#8211;  c\u2019est pr\u00e9cis\u00e9ment l\u00e0 que r\u00e9side leur principal int\u00e9r\u00eat. La plupart des applications modernes reposent \u00e0 70-90 % sur des composants open source. Sans SBOM couvrant ces d\u00e9pendances, la gestion des vuln\u00e9rabilit\u00e9s devient aveugle.<\/p>\n<h3>Comment partager les SBOM avec mes clients ?<\/h3>\n<p>Trois mod\u00e8les s\u2019offrent \u00e0 vous : livraison directe avec chaque version, acc\u00e8s \u00e0 un portail d\u00e9di\u00e9, ou fourniture sur demande. Le CRA devrait probablement imposer la diffusion proactive. Mettez d\u00e8s aujourd\u2019hui en place un processus structur\u00e9, avant que l\u2019obligation ne devienne effective.<\/p>\n<h2>Articles connexes<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/2025\/10\/23\/post_id-4973\/\">Le logiciel open source est le plus grand risque de s\u00e9curit\u00e9 au monde  &#8211;  Et nous l\u2019ignorons tous<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/2023\/07\/13\/post_id-5050\/\">La s\u00e9curit\u00e9 par conception dans le d\u00e9veloppement logiciel : pourquoi le patching apr\u00e8s coup ne suffit pas<\/a><\/li>\n<li><a href=\"https:\/\/www.securitytoday.de\/fr\/?p=3259\">Piratage de MOVEit : anatomie d\u2019une attaque de la cha\u00eene d\u2019approvisionnement qui a touch\u00e9 des milliers de personnes<\/a><\/li>\n<\/ul>\n<h2>Plus du r\u00e9seau MBF Media<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.cloudmagazin.com\">Cloud Magazin<\/a>  &#8211;  Cloud, SaaS &amp; infrastructure IT<\/li>\n<li><a href=\"https:\/\/www.mybusinessfuture.com\">myBusinessFuture<\/a>  &#8211;  Num\u00e9risation, IA &amp; entreprise<\/li>\n<li><a href=\"https:\/\/www.digital-chiefs.de\">Digital Chiefs<\/a>  &#8211;  Leadership de pens\u00e9e C-Level<\/li>\n<\/ul>\n<p><em>Source de l&rsquo;image : Pexels \/ Mike Bird<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"SolarWinds, Log4Shell, MOVEit &#8211; chaque grande attaque de la cha\u00eene d\u2019approvisionnement de ces derni\u00e8res ann\u00e9es aurait pu \u00eatre contenue plus rapidement gr\u00e2ce \u00e0 une Software Bill of Materials (SBOM). Les SBOM recensent tous les composants d\u2019un logiciel et permettent, en quelques minutes, ce qui prendrait des semaines sans elles : d\u00e9terminer si l\u2019on est affect\u00e9. [&hellip;]","protected":false},"author":55,"featured_media":5089,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"sbom","_yoast_wpseo_title":"S\u00e9curit\u00e9 de la cha\u00eene d'approvisionnement logicielle : comment les SBOM cr\u00e9ent l","_yoast_wpseo_metadesc":"SBOM : garantissez la transparence de votre cha\u00eene logicielle et r\u00e9duisez les risques d\u2019attaques. D\u00e9couvrez comment anticiper les menaces. Agissez maintenant.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5090"],"footnotes":""},"categories":[252,221],"tags":[246],"class_list":["post-7879","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites","category-innovation","tag-compliance"],"evm_reading_time_minutes":5,"wpml_language":"fr","wpml_translation_of":5090,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7879","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=7879"}],"version-history":[{"count":6,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7879\/revisions"}],"predecessor-version":[{"id":11869,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/7879\/revisions\/11869"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5089"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=7879"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=7879"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=7879"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}