{"id":8050,"date":"2026-01-28T09:00:00","date_gmt":"2026-01-28T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5319\/"},"modified":"2026-05-17T10:24:30","modified_gmt":"2026-05-17T10:24:30","slug":"securite-de-la-chaine-dapprovisionnement-logicielle-pourquoi-les-sbom-seront-indispensables-en-2026","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/01\/28\/securite-de-la-chaine-dapprovisionnement-logicielle-pourquoi-les-sbom-seront-indispensables-en-2026\/","title":{"rendered":"S\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement logicielle : pourquoi les SBOM seront indispensables en 2026"},"content":{"rendered":"<p style=\"margin-bottom:12px;\"><span style=\"background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;font-weight:600;\">\u23f1 8 min. de lecture<\/span><\/p>\n<p><strong>SolarWinds, Log4Shell, 3CX \u2014 la liste des attaques r\u00e9ussies sur la cha\u00eene d&rsquo;approvisionnement logiciel augmente chaque ann\u00e9e. Sonatype a quantifi\u00e9 une augmentation de plus de 700 pour cent des attaques sur les composants open source depuis 2020. Parall\u00e8lement, l&rsquo;EU Cyber Resilience Act exigera des bilans de mati\u00e8res logiciels (SBOM) pour tous les produits num\u00e9riques \u00e0 partir de 2027. Les entreprises qui ne prennent pas d&rsquo;action risquent de perdre leur acc\u00e8s au march\u00e9.<\/strong><\/p>\n<h2>Les points cl\u00e9s en bref<\/h2>\n<ul>\n<li><strong>700 % plus d&rsquo;attaques sur la cha\u00eene d&rsquo;approvisionnement depuis 2020:<\/strong> Les d\u00e9pendances open source sont le principal point d&rsquo;entr\u00e9e \u2014 en moyenne, une application utilise plus de 200 d\u00e9pendances transitives (Sonatype, 2025).<\/li>\n<li><strong>EU Cyber Resilience Act (CRA):<\/strong> \u00c0 partir de 2027, tous les produits num\u00e9riques doivent \u00eatre livr\u00e9s avec un SBOM, un gestionnaire de vuln\u00e9rabilit\u00e9s et des mises \u00e0 jour de s\u00e9curit\u00e9.<\/li>\n<li><strong>Int\u00e9gration DevSecOps:<\/strong> La g\u00e9n\u00e9ration de SBOM, la d\u00e9tection de d\u00e9pendances et la signature de conteneurs font partie de la pipeline CI\/CD \u2014 pas dans la liste de v\u00e9rification manuelle.<\/li>\n<\/ul>\n<h2>Anatomie d&rsquo;une attaque sur la cha\u00eene d&rsquo;approvisionnement<\/h2>\n<p>Les attaques sur la cha\u00eene d&rsquo;approvisionnement visent non pas le logiciel en soi, mais ses d\u00e9pendances \u2014 biblioth\u00e8ques, cadres, outils de build et composants d&rsquo;infrastructure. Le vecteur d&rsquo;attaque est particuli\u00e8rement efficace car un package compromis est automatiquement distribu\u00e9 \u00e0 des milliers d&rsquo;utilisateurs en aval.<\/p>\n<p>Les m\u00e9thodes les plus courantes : Typosquatting (publier un package avec un nom tr\u00e8s similaire \u00e0 un package populaire), pr\u00e9emption d&rsquo;un compte (prendre le contr\u00f4le d&rsquo;un compte de maintainer fiable), confusion de d\u00e9pendance (remplacer un package interne avec un package public portant le m\u00eame nom) et compromission du syst\u00e8me de build (manipuler le serveur de build ou la pipeline CI\/CD).<\/p>\n<p>Le scandale 3CX 2023 a montr\u00e9 la port\u00e9e compl\u00e8te : les attaquants ont compromis une biblioth\u00e8que utilis\u00e9e par 3CX. Le code manipul\u00e9 est tomb\u00e9 dans le client 3CX Desktop officiel utilis\u00e9 par plus de 600 000 entreprises. La d\u00e9tection a n\u00e9cessit\u00e9 des semaines.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;margin:32px 0;padding:20px 24px;background:#fafafa;border-radius:0 8px 8px 0;font-size:1.1em;line-height:1.6;color:#333;\"><p>\n  \u00abLes cha\u00eenes de logiciels sont le joint le plus faible de la cybers\u00e9curit\u00e9. Les entreprises font confiance au code qu&rsquo;elles n&rsquo;ont ni \u00e9crit ni v\u00e9rifi\u00e9 \u2014 souvent g\u00e9r\u00e9 par des individus non r\u00e9mun\u00e9r\u00e9s.\u00bb<br \/>\n  <cite style=\"display:block;margin-top:12px;font-size:0.8em;color:#888;font-style:normal;\">\u2014 <strong>Brian Behlendorf<\/strong>, Gestionnaire g\u00e9n\u00e9ral, Open Source Security Foundation (2025)<\/cite>\n<\/p><\/blockquote>\n<h2>SBOMs, signatures et l&rsquo;EU Cyber Resilience Act<\/h2>\n<p>Un Software Bill of Materials (SBOM) est un r\u00e9pertoire lisible par machine de toutes les composantes d&rsquo;une logicielle \u2014 y compris les versions, les licences et les vuln\u00e9rabilit\u00e9s connues. Les deux normes sont SPDX (Linux Foundation) et CycloneDX (OWASP). Elles sont fonctionnellement \u00e9quivalentes et sont toutes deux largement support\u00e9es par les principaux outils.<\/p>\n<p>L&rsquo;EU Cyber Resilience Act (CRA) rend obligatoire l&rsquo;utilisation de SBOM pour tous les produits num\u00e9riques vendus dans l&rsquo;UE \u00e0 partir de 2027. Les fabricants doivent g\u00e9rer activement les vuln\u00e9rabilit\u00e9s, fournir des mises \u00e0 jour de s\u00e9curit\u00e9 tout au long de la dur\u00e9e de vie du produit et transmettre les SBOM \u00e0 l&rsquo;ENISA. Cela concerne non seulement les fabricants de logiciels, mais aussi les appareils IoT, les contr\u00f4leurs industriels et les produits de consommation connect\u00e9s.<\/p>\n<p>La signature de code et les signatures d&rsquo;artefacts compl\u00e8tent les SBOM : des outils comme Sigstore (Linux Foundation) permettent une signature cryptographique d&rsquo;artefacts de build et d&rsquo;images de conteneurs \u2014 gratuits et transparents. Ainsi, chaque utilisateur peut v\u00e9rifier que l&rsquo;artefact provient effectivement de la pipeline de build attendue et n&rsquo;a pas \u00e9t\u00e9 manipul\u00e9.<\/p>\n<div class=\"evm-stat evm-stat-quote\" style=\"border-left:4px solid #69d8ed;background:#f8f9fa;padding:20px 24px;margin:32px 0;border-radius:0 8px 8px 0;\">\n<div style=\"font-size:32px;font-weight:700;color:#004a59;margin-bottom:8px;\">+ 700 %<\/div>\n<div style=\"font-size:14px;color:#444;line-height:1.5;\">Augmentation des attaques sur les composants open source depuis 2020. En moyenne, une application utilise plus de 200 d\u00e9pendances transitives.<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Rapport State of the Software Supply Chain, Sonatype, 2025<\/div>\n<\/div>\n<h2>DevSecOps-Pipeline : S\u00e9curit\u00e9 en tant que partie int\u00e9grante du processus de build<\/h2>\n<p>La s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement fonctionne uniquement lorsqu&rsquo;elle est int\u00e9gr\u00e9e au processus de d\u00e9veloppement \u2014 et non comme une v\u00e9rification apr\u00e8s coup. Elle doit \u00eatre automatis\u00e9e et int\u00e9gr\u00e9e \u00e0 la CI\/CD-pipeline :<\/p>\n<p><strong>Analyse de d\u00e9pendances :<\/strong> Des outils comme Snyk, Grype ou Dependabot analysent automatiquement toutes les d\u00e9pendances directes et transitives \u00e0 chaque build pour d\u00e9tecter les CVE (Vuln\u00e9rabilit\u00e9s connues). Les failles critiques emp\u00eachent la validation du build \u2014 aucun merge sans correction ou acceptation document\u00e9e du risque.<\/p>\n<p><strong>G\u00e9n\u00e9ration d&rsquo;un SBOM :<\/strong> Syft (Anchore) ou cdxgen g\u00e9n\u00e8rent automatiquement une SBOM (Bill of Materials de logiciel) au format CycloneDX ou SPDX \u00e0 chaque release. L&rsquo;SBOM est conserv\u00e9 comme artefact de build et peut \u00eatre partag\u00e9 avec les clients ou les autorit\u00e9s de r\u00e9gulation.<\/p>\n<p><strong>S\u00e9curit\u00e9 des conteneurs :<\/strong> Les images de conteneurs sont particuli\u00e8rement vuln\u00e9rables \u2014 un base image classique peut contenir des centaines de paquets, dont de nombreux sont vuln\u00e9rables. Trivy ou Grype analysent les images avant le d\u00e9ploiement. Les images Distroless (Google) ou Chainguard r\u00e9duisent drastiquement l&rsquo;attractivit\u00e9 pour les attaquants.<\/p>\n<p><strong>Signature d&rsquo;artefacts :<\/strong> Chaque artefact de build est sign\u00e9 avec Sigstore\/Cosign. Les clusters Kubernetes peuvent \u00eatre configur\u00e9s pour accepter uniquement des images sign\u00e9es (par exemple, avec Kyverno ou OPA Gatekeeper). Les d\u00e9ploiements non sign\u00e9s sont automatiquement bloqu\u00e9s.<\/p>\n<p>L&rsquo;effort d&rsquo;int\u00e9gration est minimal : dans une pipeline GitHub Actions ou GitLab CI existante, les \u00e9tapes suppl\u00e9mentaires peuvent \u00eatre ajout\u00e9es dans un seul tag. Les outils sont open source et gratuits.<\/p>\n<h2>Faits cl\u00e9s \u00e0 un coup d&rsquo;\u0153il<\/h2>\n<h2>Foire aux questions<\/h2>\n<h3>Qu&rsquo;est-ce qu&rsquo;un SBOM ?<\/h3>\n<p>Un SBOM (Software Bill of Materials) est un r\u00e9pertoire machinable de toutes les composantes logicielle \u2014 biblioth\u00e8ques, frameworks, d\u00e9pendances \u2014 y compris les versions, les licences et les vuln\u00e9rabilit\u00e9s connues. Comparable \u00e0 une liste de composants pour un logiciel.<\/p>\n<h3>Quel format SBOM devrais-je utiliser ?<\/h3>\n<p>CycloneDX (OWASP) et SPDX (Linux Foundation) sont les deux normes \u00e9tablies. CycloneDX offre une meilleure int\u00e9gration des vuln\u00e9rabilit\u00e9s, tandis que SPDX est mieux adapt\u00e9 \u00e0 l&rsquo;analyse de licence. Pour un focus sur la s\u00e9curit\u00e9, CycloneDX est recommand\u00e9 ; pour un focus sur la conformit\u00e9, SPDX est plus appropri\u00e9. La plupart des outils prennent en charge les deux formats.<\/p>\n<h3>Quand entre en vigueur l&rsquo;EU Cyber Resilience Act ?<\/h3>\n<p>Le CRA (Cyber Resilience Act) a \u00e9t\u00e9 adopt\u00e9 en 2024. Les fabricants ont une p\u00e9riode de transition jusqu&rsquo;en 2027 pour aligner leurs produits. \u00c0 partir de cette date, tous les produits num\u00e9riques livr\u00e9s dans l&rsquo;UE doivent inclure un SBOM, un management actif des vuln\u00e9rabilit\u00e9s et des mises \u00e0 jour de s\u00e9curit\u00e9.<\/p>\n<h3>Comment d\u00e9marrer avec la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement ?<\/h3>\n<p>Trois mesures imm\u00e9diates : 1) Int\u00e9grez l&rsquo;analyse de d\u00e9pendances dans votre pipeline CI\/CD (Snyk, Dependabot \u2014 des niveaux gratuits disponibles). 2) Automatisez la g\u00e9n\u00e9ration d&rsquo;un SBOM (Syft, cdxgen). 3) Analysez vos images de conteneurs avec Trivy. Toutes ces mesures peuvent \u00eatre mises en \u0153uvre dans une journ\u00e9e.<\/p>\n<h3>Qu&rsquo;est-ce que Sigstore ?<\/h3>\n<p>Sigstore est un projet open source de la Linux Foundation pour la signature cryptographique d&rsquo;artefacts logiciels. Il permet aux d\u00e9veloppeurs de signer gratuitement du code, des images de conteneurs et d&rsquo;autres artefacts \u2014 sans infrastructure PKI personnelle. Les signatures sont transparentes et publiquement v\u00e9rifiables.<\/p>\n<h3>Les composants open source sont-ils plus vuln\u00e9rables que les propri\u00e9taires ?<\/h3>\n<p>Non de mani\u00e8re g\u00e9n\u00e9rale \u2014 mais ils sont plus transparents et donc plus attirants pour les attaquants. Le code est public, ce qui aide \u00e0 la fois les attaquants et les d\u00e9fenseurs. Le principal risque r\u00e9side dans les projets non maintenus par des seuls contributeurs. Les outils comme OpenSSF Scorecard \u00e9valuent automatiquement la maturit\u00e9 de la s\u00e9curit\u00e9 des projets open source.<\/p>\n<h2>Articles suppl\u00e9mentaires sur le sujet<\/h2>\n<p>\u2192 <a href=\"https:\/\/www.securitytoday.fr\/2023\/06\/14\/eu-cyber-resilience-act-exigences-pour-les-fabricants-de-logiciels\/\">EU Cyber Resilience Act : Quels sont les implications pour les fabricants de logiciels<\/a><\/p>\n<p>\u2192 <a href=\"https:\/\/www.securitytoday.fr\/2025\/05\/08\/passkeys-2025-guide-implementation-entreprises\/\">Passkeys 2025 : Guide d&rsquo;impl\u00e9mentation pour les entreprises<\/a><\/p>\n<h2>Lectures compl\u00e9mentaires dans le r\u00e9seau<\/h2>\n<p>Cloud &#038; DevOps : Meilleures pratiques en s\u00e9curit\u00e9 des conteneurs (CloudMagazine)<\/p>\n<p>Logiciels d\u00e9veloppement : DevSecOps : S\u00e9curit\u00e9 dans le d\u00e9veloppement logiciel (MBF)<\/p>\n<p style=\"text-align: right;\"><em>Source image de couverture : Pexels \/ cottonbro studio<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"\u23f1 8 min. de lecture SolarWinds, Log4Shell, 3CX \u2014 la liste des attaques r\u00e9ussies sur la cha\u00eene d&rsquo;approvisionnement logiciel augmente chaque ann\u00e9e. Sonatype a quantifi\u00e9 une augmentation de plus de 700 pour cent des attaques sur les composants open source depuis 2020. Parall\u00e8lement, l&rsquo;EU Cyber Resilience Act exigera des bilans de mati\u00e8res logiciels (SBOM) pour [&hellip;]","protected":false},"author":55,"featured_media":5318,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"sbom","_yoast_wpseo_title":"S\u00e9curit\u00e9 de la cha\u00eene d'approvisionnement logicielle : pourquoi les SBOM seront","_yoast_wpseo_metadesc":"SBOM s\u00e9curit\u00e9 logicielle : prot\u00e9gez votre entreprise des cyberattaques. D\u00e9couvrez pourquoi les SBOM seront obligatoires en 2026. Agissez maintenant.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5319"],"footnotes":""},"categories":[252],"tags":[],"class_list":["post-8050","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"evm_reading_time_minutes":7,"wpml_language":"fr","wpml_translation_of":5319,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8050","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=8050"}],"version-history":[{"count":4,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8050\/revisions"}],"predecessor-version":[{"id":15057,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8050\/revisions\/15057"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5318"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=8050"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=8050"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=8050"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}