L’administration américaine a décidé d’abroger plusieurs directives de l’ère Biden encadrant la sécurité des logiciels utilisés par les agences fédérales, notamment autour des SBOM (Software Bill of Materials). Une décision qui ne signe pas l’abandon de la sécurité logicielle, mais qui marque un changement de cap en matière de gouvernance des standards et de gestion du risque dans la chaîne d’approvisionnement logicielle.
Un recul des exigences fédérales sur les SBOM
Début janvier, le Bureau of Management and Budget (OMB) a publié une nouvelle directive annulant plusieurs mémorandums précédents qui imposaient aux agences fédérales américaines de demander aux éditeurs de logiciels des attestations standardisées de développement sécurisé ainsi que des SBOM lors des achats de logiciels. Ces exigences, introduites dans le sillage de l’Executive Order sur la cybersécurité signé après l’affaire SolarWinds, visaient à instaurer une approche uniforme de la sécurité logicielle, en s’appuyant sur le poids économique de l’État fédéral pour structurer les pratiques du marché.
Avec la nouvelle directive, ces obligations ne disparaissent pas totalement, mais cessent d’être centralisées et systématiques. Chaque agence fédérale est désormais libre de définir ses propres critères et modalités pour évaluer la sécurité des logiciels qu’elle acquiert.
Gouvernance et standards : de l’uniformisation à la fragmentation
Sur le plan de la gouvernance, ce changement marque un net recul par rapport à la stratégie précédente, qui cherchait à harmoniser les pratiques de sécurité logicielle à l’échelle fédérale. En supprimant les exigences communes de SBOM et d’attestations standardisées, l’État américain renonce à un rôle moteur dans la normalisation des attentes en matière de sécurité des logiciels.
Pour les éditeurs, cette évolution peut se traduire par une multiplication des exigences contractuelles, variables selon les agences, au détriment d’un cadre unique lisible. Pour les défenseurs de la standardisation, le risque est celui d’une perte de cohérence et d’un affaiblissement du signal envoyé au marché sur l’importance de la transparence logicielle.
À l’inverse, l’administration justifie ce choix par la volonté de réduire une charge jugée excessive et de permettre aux agences d’adapter leurs exigences à leurs réalités opérationnelles et à leurs profils de risque spécifiques.
Chaîne d’approvisionnement logicielle : quels risques concrets ?
Sur le volet de la sécurité de la chaîne d’approvisionnement logicielle, la décision ne signifie pas la fin des SBOM, mais elle en réduit la portée systémique. Les SBOM restent techniquement pertinentes et peuvent toujours être exigées contractuellement, mais elles ne constituent plus un prérequis fédéral généralisé.
Or, les SBOM ont précisément été conçues pour améliorer la visibilité sur les dépendances logicielles, faciliter l’identification des vulnérabilités et accélérer les réponses en cas de faille critique. En l’absence d’un cadre commun, leur usage risque de devenir inégal, dépendant de la maturité cyber et des priorités de chaque agence.
Pour les acteurs de la cybersécurité, cette approche accroît le risque de zones grises dans l’évaluation des logiciels, notamment dans des environnements complexes et interconnectés. Elle renforce également la responsabilité individuelle des organisations, qui devront compenser l’absence de cadre fédéral par leurs propres processus de gestion du risque fournisseur.
Un signal observé bien au-delà des États-Unis
Si la décision concerne directement les agences fédérales américaines, elle est suivie de près à l’international. Les États-Unis jouaient jusqu’ici un rôle structurant dans la promotion des bonnes pratiques autour des SBOM et de la sécurité de la chaîne logicielle.
Ce revirement ne remet pas en cause les travaux techniques menés par des organismes comme le NIST ou la CISA, mais il modifie l’équilibre entre volontarisme réglementaire et responsabilisation des acteurs. En Europe, où le Cyber Resilience Act (CRA) et NIS2 renforcent au contraire les exigences de sécurité et de transparence sur les produits numériques, cette inflexion américaine pourrait accentuer un décalage d’approche entre les deux blocs sur la gouvernance des standards logiciels.
