“L’ANSSI – Agence nationale de la sécurité des systèmes d’information – cosigne avec de nombreux partenaires internationaux des recommandations de haut niveau sur la mise en œuvre des Software Bill of Materials (SBOM)”, annonce Vincent Strubel, directeur général de l’ANSSI.
Le SBOM est une liste exhaustive de composants logiciels et de leurs dépendances intégrés dans une solution. Le principe du dispositif est identique à celui utilisé dans la traçabilité alimentaire. Le SBOM est créé automatiquement et est disponible sous forme de fichier exploitable par machine. Il constitue donc un outil essentiel pour représenter de manière transparente la chaîne d’approvisionnement logicielle.
Il permet aux organisations :
– d’identifier rapidement les failles potentielles et les points de défaillance au sein de briques logicielles largement réutilisées,
– de garantir une transparence totale sur les éléments constitutifs des logiciels, facilitant ainsi la gestion des vulnérabilités,
– d’intégrer plus aisément les exigences de sécurité by design dans les processus de développement et de maintenance.
Cette démarche “s’inscrit dans un effort nécessaire et collectif de renforcement des garanties de sécurité apportées par les fournisseurs de logiciels, qui s’articule également au niveau européen autour de la mise en œuvre prochaine du Cyber Resilience Act (CRA)”, indique Vincent Strubel.
L’ANSSI participe à une dynamique internationale, en lien avec ses homologues européens, japonais, coréens, américains ou encore australiens.
L’initiative SBOM s’articule avec les nouvelles exigences réglementaires européennes, comme la directive NIS2 et le Cyber Resilience Act (CRA). La loi sur la cyber-résilience (CRA) rend les SBOM obligatoires pour traiter les vulnérabilités des produits numériques commercialisés en Europe. Afin de simplifier la gestion des SBOM , le BSI a publié la directive technique TR -03183-2 qui définit, par exemple, les champs de données obligatoires, leur portée et les formats possibles.
Ces cadres renforcent l’obligation de traçabilité, de gestion des risques et d’auditabilité dans les chaînes logicielles, imposant aux fournisseurs de logiciels de démontrer une diligence renforcée.
L’ANSSI accompagne ces évolutions pour aider les acteurs à se mettre en conformité, anticiper les contrôles et améliorer la confiance des clients en facilitant l’identification et la gestion rapide des vulnérabilités.
