{"id":8050,"date":"2026-01-28T09:00:00","date_gmt":"2026-01-28T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5319\/"},"modified":"2026-04-10T08:06:11","modified_gmt":"2026-04-10T08:06:11","slug":"securite-de-la-chaine-dapprovisionnement-logicielle-pourquoi-les-sbom-seront-indispensables-en-2026","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/01\/28\/securite-de-la-chaine-dapprovisionnement-logicielle-pourquoi-les-sbom-seront-indispensables-en-2026\/","title":{"rendered":"S\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement logicielle : pourquoi les SBOM seront indispensables en 2026"},"content":{"rendered":"<p style=\"margin-bottom:12px;\"><span style=\"background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;font-weight:600;\">\u23f1 8 min de lecture<\/span><\/p>\n<p><strong>SolarWinds, Log4Shell, 3CX  &#8211;  la liste des attaques r\u00e9ussies sur la cha\u00eene d\u2019approvisionnement logicielle s\u2019allonge chaque ann\u00e9e. Sonatype estime \u00e0 plus de 700 % l\u2019augmentation des attaques sur la cha\u00eene d\u2019approvisionnement des composants open source depuis 2020. Parall\u00e8lement, le Cyber Resilience Act de l\u2019UE rendra obligatoires les Software Bills of Materials (SBOM) pour tous les produits num\u00e9riques \u00e0 compter de 2027. Les entreprises qui n\u2019agissent pas d\u00e8s maintenant risquent de se retrouver sans acc\u00e8s au march\u00e9.<\/strong><\/p>\n<h2>L&rsquo;essentiel<\/h2>\n<ul>\n<li><strong>+ 700 % d\u2019attaques sur la cha\u00eene d\u2019approvisionnement depuis 2020 :<\/strong> les d\u00e9pendances open source constituent la porte d\u2019entr\u00e9e principale  &#8211;  une application utilise en moyenne plus de 200 d\u00e9pendances transitives (Sonatype, 2025).<\/li>\n<li><strong>Cyber Resilience Act de l\u2019UE (CRA) :<\/strong> \u00e0 partir de 2027, tous les produits num\u00e9riques devront \u00eatre livr\u00e9s avec une SBOM, un dispositif actif de gestion des vuln\u00e9rabilit\u00e9s et des mises \u00e0 jour de s\u00e9curit\u00e9.<\/li>\n<li><strong>Int\u00e9gration DevSecOps :<\/strong> la g\u00e9n\u00e9ration automatique de SBOM, le scanning des d\u00e9pendances et la signature des conteneurs doivent faire partie int\u00e9grante de la pipeline CI\/CD  &#8211;  et non d\u2019une simple checklist manuelle.<\/li>\n<\/ul>\n<h2>Anatomie d\u2019une attaque sur la cha\u00eene d\u2019approvisionnement<\/h2>\n<p>Les attaques sur la cha\u00eene d\u2019approvisionnement ne visent pas directement le logiciel lui-m\u00eame, mais ses d\u00e9pendances  &#8211;  biblioth\u00e8ques, frameworks, outils de construction et composants d\u2019infrastructure. Ce vecteur d\u2019attaque est particuli\u00e8rement efficace, car un paquet compromis est automatiquement distribu\u00e9 \u00e0 des milliers d\u2019utilisateurs en aval.<\/p>\n<p>Les m\u00e9thodes les plus courantes sont le typosquatting (publier un paquet portant un nom quasi identique \u00e0 celui d\u2019un paquet populaire), la prise de contr\u00f4le de compte (saisir le compte d\u2019un mainteneur de confiance), la confusion des d\u00e9pendances (remplacer un paquet interne par un paquet public portant le m\u00eame nom) et la compromission du syst\u00e8me de construction (manipuler le serveur de build ou la pipeline CI\/CD).<\/p>\n<p>L\u2019incident 3CX de 2023 a r\u00e9v\u00e9l\u00e9 toute l\u2019ampleur du ph\u00e9nom\u00e8ne : les attaquants ont compromis une biblioth\u00e8que amont utilis\u00e9e par 3CX. Le code alt\u00e9r\u00e9 a \u00e9t\u00e9 int\u00e9gr\u00e9 au client bureau officiel 3CX, utilis\u00e9 par plus de 600 000 entreprises. La d\u00e9tection a pris plusieurs semaines.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;margin:32px 0;padding:20px 24px;background:#fafafa;border-radius:0 8px 8px 0;font-size:1.1em;line-height:1.6;color:#333;\"><p>\n  \u00ab Les cha\u00eenes d\u2019approvisionnement logicielles constituent le maillon faible de la cybers\u00e9curit\u00e9. Les entreprises font aveugl\u00e9ment confiance \u00e0 du code qu\u2019elles n\u2019ont ni \u00e9crit ni v\u00e9rifi\u00e9  &#8211;  et qui est souvent entretenu par des individus b\u00e9n\u00e9voles. \u00bb<br \/>\n  <cite style=\"display:block;margin-top:12px;font-size:0.8em;color:#888;font-style:normal;\"> &#8211;  <strong>Brian Behlendorf<\/strong>, Directeur g\u00e9n\u00e9ral, Open Source Security Foundation (2025)<\/cite>\n<\/p><\/blockquote>\n<h2>SBOM, signatures et le Cyber Resilience Act de l\u2019UE<\/h2>\n<p>Une Software Bill of Materials (SBOM) est un inventaire lisible par machine de toutes les composantes d\u2019un logiciel  &#8211;  y compris leurs versions, licences et vuln\u00e9rabilit\u00e9s connues. Les deux standards reconnus sont SPDX (Linux Foundation) et CycloneDX (OWASP). Fonctionnellement \u00e9quivalents, ils sont tous deux pris en charge par les principaux outils du march\u00e9.<\/p>\n<p>Le Cyber Resilience Act de l\u2019UE (CRA) rendra les SBOM obligatoires \u00e0 compter de 2027 pour tous les produits num\u00e9riques commercialis\u00e9s dans l\u2019Union europ\u00e9enne. Les fabricants devront g\u00e9rer activement les vuln\u00e9rabilit\u00e9s, fournir des mises \u00e0 jour de s\u00e9curit\u00e9 pendant toute la dur\u00e9e de vie du produit et transmettre leurs SBOM \u00e0 l\u2019ENISA. Cette obligation concerne non seulement les \u00e9diteurs de logiciels, mais aussi les appareils IoT, les syst\u00e8mes de contr\u00f4le industriel et les produits grand public connect\u00e9s.<\/p>\n<p>La signature de code et celle des artefacts viennent compl\u00e9ter les SBOM : des outils comme Sigstore (Linux Foundation) permettent de signer cryptographiquement les artefacts de build et les images de conteneurs  &#8211;  gratuitement et de fa\u00e7on transparente. Ainsi, tout utilisateur peut v\u00e9rifier qu\u2019un artefact provient bien de la pipeline de build attendue et n\u2019a pas \u00e9t\u00e9 modifi\u00e9.<\/p>\n<div class=\"evm-stat evm-stat-quote\" style=\"border-left:4px solid #69d8ed;background:#f8f9fa;padding:20px 24px;margin:32px 0;border-radius:0 8px 8px 0;\">\n<div style=\"font-size:32px;font-weight:700;color:#004a59;margin-bottom:8px;\">+ 700 %<\/div>\n<div style=\"font-size:14px;color:#444;line-height:1.5;\">Augmentation des attaques sur la cha\u00eene d\u2019approvisionnement des composants open source depuis 2020. En moyenne, chaque application contient plus de 200 d\u00e9pendances transitives.<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Sonatype State of the Software Supply Chain Report, 2025<\/div>\n<\/div>\n<h2>Pipeline DevSecOps : la s\u00e9curit\u00e9 comme composante int\u00e9gr\u00e9e du processus de build<\/h2>\n<p>La s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement ne fonctionne que si elle est int\u00e9gr\u00e9e au c\u0153ur du cycle de d\u00e9veloppement  &#8211;  non pas comme un audit post-facto, mais comme une \u00e9tape automatis\u00e9e de la pipeline CI\/CD :<\/p>\n<p><strong>Scanning des d\u00e9pendances :<\/strong> des outils tels que Snyk, Grype ou Dependabot analysent automatiquement, \u00e0 chaque build, toutes les d\u00e9pendances directes et transitives \u00e0 la recherche de CVE connues. Les vuln\u00e9rabilit\u00e9s critiques bloquent le build  &#8211;  aucune fusion n\u2019est autoris\u00e9e sans correction ou acceptation explicite du risque.<\/p>\n<p><strong>G\u00e9n\u00e9ration de SBOM :<\/strong> Syft (Anchore) ou cdxgen g\u00e9n\u00e8rent automatiquement, \u00e0 chaque version, une SBOM aux formats CycloneDX ou SPDX. Celle-ci est stock\u00e9e comme artefact de build et peut \u00eatre fournie aux clients ou aux autorit\u00e9s r\u00e9glementaires.<\/p>\n<p><strong>S\u00e9curit\u00e9 des conteneurs :<\/strong> les images de conteneurs sont particuli\u00e8rement expos\u00e9es  &#8211;  une image de base type contient des centaines de paquets, dont beaucoup pr\u00e9sentent des vuln\u00e9rabilit\u00e9s document\u00e9es. Trivy ou Grype scannent les images avant d\u00e9ploiement. Les images distroless (Google) ou Chainguard r\u00e9duisent radicalement la surface d\u2019attaque.<\/p>\n<p><strong>Signature des artefacts :<\/strong> chaque artefact de build est sign\u00e9 via Sigstore\/Cosign. Les clusters Kubernetes peuvent, gr\u00e2ce \u00e0 des politiques (ex. Kyverno, OPA Gatekeeper), n\u2019accepter que les images sign\u00e9es  &#8211;  tout d\u00e9ploiement non sign\u00e9 \u00e9tant automatiquement bloqu\u00e9.<\/p>\n<p>L\u2019effort d\u2019int\u00e9gration reste modeste : dans une pipeline GitHub Actions ou GitLab CI existante, ces \u00e9tapes suppl\u00e9mentaires peuvent \u00eatre impl\u00e9ment\u00e9es en une seule journ\u00e9e. Tous les outils mentionn\u00e9s sont open source et gratuits.<\/p>\n<h2>Key Facts auf einen Blick<\/h2>\n<h2>Questions fr\u00e9quentes<\/h2>\n<h3>Qu\u2019est-ce qu\u2019une SBOM ?<\/h3>\n<p>Une Software Bill of Materials (SBOM) est un inventaire lisible par machine de toutes les composantes d\u2019un logiciel  &#8211;  biblioth\u00e8ques, frameworks, d\u00e9pendances  &#8211;  incluant leurs num\u00e9ros de version, licences et vuln\u00e9rabilit\u00e9s connues. Elle est l\u2019\u00e9quivalent d\u2019une liste d\u2019ingr\u00e9dients pour le logiciel.<\/p>\n<h3>Quel format SBOM dois-je utiliser ?<\/h3>\n<p>CycloneDX (OWASP) et SPDX (Linux Foundation) sont les deux standards \u00e9tablis. CycloneDX offre une meilleure int\u00e9gration des donn\u00e9es de vuln\u00e9rabilit\u00e9, tandis que SPDX excelle dans l\u2019analyse des licences. Pour une approche centr\u00e9e s\u00e9curit\u00e9, CycloneDX est privil\u00e9gi\u00e9 ; pour une d\u00e9marche ax\u00e9e conformit\u00e9, SPDX est recommand\u00e9. La plupart des outils supportent les deux formats.<\/p>\n<h3>Quand le Cyber Resilience Act de l\u2019UE entre-t-il en vigueur ?<\/h3>\n<p>Le CRA a \u00e9t\u00e9 adopt\u00e9 en 2024. Les fabricants disposent d\u2019une p\u00e9riode transitoire jusqu\u2019en 2027 pour mettre leurs produits en conformit\u00e9. \u00c0 compter de cette date, tous les produits num\u00e9riques commercialis\u00e9s dans l\u2019UE devront \u00eatre livr\u00e9s avec une SBOM, un dispositif actif de gestion des vuln\u00e9rabilit\u00e9s et des mises \u00e0 jour de s\u00e9curit\u00e9.<\/p>\n<h3>Comment commencer avec la s\u00e9curit\u00e9 de la cha\u00eene d\u2019approvisionnement ?<\/h3>\n<p>Trois mesures imm\u00e9diates : 1) Int\u00e9grez le scanning des d\u00e9pendances \u00e0 votre pipeline CI\/CD (Snyk, Dependabot  &#8211;  des offres gratuites sont disponibles). 2) Automatisez la g\u00e9n\u00e9ration de SBOM (Syft, cdxgen). 3) Scannez vos images de conteneurs avec Trivy. L\u2019ensemble peut \u00eatre mis en \u0153uvre en une seule journ\u00e9e.<\/p>\n<h3>Qu\u2019est-ce que Sigstore ?<\/h3>\n<p>Sigstore est un projet open source de la Linux Foundation d\u00e9di\u00e9 \u00e0 la signature cryptographique des artefacts logiciels. Il permet aux d\u00e9veloppeurs de signer gratuitement leur code, leurs images de conteneurs et autres artefacts  &#8211;  sans avoir \u00e0 d\u00e9ployer leur propre infrastructure PKI. Les signatures sont transparentes et v\u00e9rifiables publiquement.<\/p>\n<h3>Les composants open source sont-ils moins s\u00fbrs que les logiciels propri\u00e9taires ?<\/h3>\n<p>Non, pas fondamentalement  &#8211;  mais ils sont plus transparents, donc plus facilement exploitables. Leur code \u00e9tant public, cela profite autant aux attaquants qu\u2019aux d\u00e9fenseurs. Le principal risque r\u00e9side dans les projets mal entretenus, souvent pilot\u00e9s par un seul mainteneur. Des outils comme OpenSSF Scorecard \u00e9valuent automatiquement la maturit\u00e9 s\u00e9curitaire des projets open source.<\/p>\n<h2>Weitere Artikel zum Thema<\/h2>\n<p>\u2192 <a href=\"https:\/\/www.securitytoday.de\/fr\/2023\/06\/14\/post_id-3575\/\">Cyber Resilience Act de l\u2019UE : ce qui attend les \u00e9diteurs de logiciels<\/a><\/p>\n<p>\u2192 <a href=\"https:\/\/www.securitytoday.de\/fr\/2025\/05\/08\/post_id-3599\/\">Passkeys 2025 : guide pratique pour leur d\u00e9ploiement en entreprise<\/a><\/p>\n<h2>Weiterf\u00fchrende Lekt\u00fcre im Netzwerk<\/h2>\n<p>Cloud &#038; DevOps : Bonnes pratiques de s\u00e9curit\u00e9 des conteneurs (CloudMagazin)<\/p>\n<p>D\u00e9veloppement logiciel : DevSecOps : int\u00e9grer la s\u00e9curit\u00e9 au c\u0153ur du d\u00e9veloppement logiciel (MBF)<\/p>\n<p style=\"text-align: right;\"><em>Source de l&rsquo;image : Pexels \/ cottonbro studio<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"\u23f1 8 min de lecture SolarWinds, Log4Shell, 3CX &#8211; la liste des attaques r\u00e9ussies sur la cha\u00eene d\u2019approvisionnement logicielle s\u2019allonge chaque ann\u00e9e. Sonatype estime \u00e0 plus de 700 % l\u2019augmentation des attaques sur la cha\u00eene d\u2019approvisionnement des composants open source depuis 2020. Parall\u00e8lement, le Cyber Resilience Act de l\u2019UE rendra obligatoires les Software Bills of [&hellip;]","protected":false},"author":55,"featured_media":5318,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"sbom","_yoast_wpseo_title":"","_yoast_wpseo_metadesc":"SBOM s\u00e9curit\u00e9 logicielle : prot\u00e9gez votre entreprise des cyberattaques. D\u00e9couvrez pourquoi les SBOM seront obligatoires en 2026. Agissez maintenant.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":"","_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":"","footnotes":""},"categories":[252],"tags":[],"class_list":["post-8050","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"wpml_language":"fr","wpml_translation_of":5319,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8050","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=8050"}],"version-history":[{"count":3,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8050\/revisions"}],"predecessor-version":[{"id":10354,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8050\/revisions\/10354"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5318"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=8050"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=8050"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=8050"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}