AVIS D’EXPERT – Recul de l’administration américaine sur les SBOM : la confiance dans les logiciels américains est-elle compromise ?

La confiance dans les promesses de sécurité des fournisseurs américains atteint un nouveau creux. En janvier 2026, les autorités américaines ont revu à la baisse leurs exigences en matière de sécurité, n’exigeant plus des éditeurs de logiciels qu’ils fournissent une « liste détaillée des composants » (SBOM ou Software Bill of Materials). Les agences sont désormais libres d’adapter leurs prérequis à leurs profils de risque spécifiques. 

 

Si même les autorités américaines ne sont plus tenues de vérifier précisément la composition des logiciels sur lesquels elles s’appuient, le message est clair : les entreprises européennes sont livrées à elles-mêmes et doivent prendre leur destin en main, en choisissant des partenaires européens qui promettent et prouvent leur transparence. 

 

 

L’annonce récente selon laquelle les autorités américaines suspendent de facto l’exigence d’une « nomenclature logicielle » (SBOM), c’est-à-dire une liste détaillée de tous les composants logiciels, pour leurs fournisseurs est bien plus qu’une simple nouvelle dans le domaine de l’informatique. Il s’agit d’un signal d’alarme stratégique fondamental pour toutes les organisations européennes qui font appel à des fournisseurs américains de services cloud et de logiciels. Cette manœuvre révèle de manière dramatique les limites de la confiance et souligne la nécessité absolue d’une véritable souveraineté numérique. 

 

Le gouvernement américain a commencé à saper l’une de ses propres exigences de sécurité les plus importantes. Une SBOM est comme une liste d’ingrédients pour un logiciel. Elle apporte une transparence fondamentale sur les bibliothèques open source et les composants tiers contenus dans un produit. Sans cette transparence, les entreprises agissent à l’aveuglette. Elles ne peuvent pas vérifier par elles-mêmes si une vulnérabilité nouvellement découverte, telle que Log4j, les concerne, car elles ne savent pas si le composant vulnérable est présent dans le logiciel qu’elles ont acheté. 

 

Pour les entreprises européennes, cette évolution est dangereuse pour deux raisons. D’abord, elle érode ultérieurement la confiance dans les éditeurs de logiciels américains. Si même le gouvernement américain n’exige plus une transparence totale de la part de ses fournisseurs de logiciels, comment pouvons-nous, en Europe, continuer à croire naïvement aux promesses marketing de ces mêmes fournisseurs ? Cela montre qu’en cas de doute, les intérêts économiques ou administratifs priment sur les normes de sécurité vérifiables. La confiance que de nombreuses entreprises européennes ont placée dans l’architecture de sécurité des hyperscalers et des géants du logiciel américains est ainsi profondément ébranlée. 

 

Aussi, cette approche est un autre exemple du fait que les exigences européennes en matière de protection des données et de sécurité sont secondaires dans le contexte américain. Tout comme le CLOUD Act permet l’accès aux données des clients européens, cette décision montre qu’en tant qu’Européens, nous n’avons aucune influence sur la culture de sécurité et les obligations de transparence de nos fournisseurs lorsqu’ils sont soumis à un ordre juridique étranger. 

 

 

C’est précisément à ce stade que le débat sur la souveraineté numérique quitte le domaine académique pour devenir une nécessité opérationnelle urgente. Il ne s’agit pas de protectionnisme, mais de gestion des risques.  

 

La véritable souveraineté consiste à se libérer de cette dépendance et à reprendre le contrôle. Cela nécessite de la part des entreprises européennes qu’elles choisissent des partenaires informatiques dont le modèle commercial repose sur une transparence radicale, non pas parce qu’une réglementation l’impose, mais parce que cela fait partie de leur ADN.