Accueil > Blog > Cybersécurité / Cybercriminalité > La SBOM : les enjeux de cartographie et la maîtrise des dépendances (IA, chaîne de sous-traitance, etc.)
La SBOM : les enjeux de cartographie et la maîtrise des dépendances (IA, chaîne de sous-traitance, etc.)
16 juillet 2026

Le 12 mai 2026, le groupe de travail sur la cybersécurité du G7, qui est présidé par l’ANSSI depuis le 1er janvier 2026, a adopté une nomenclature logicielle spécialement conçue pour les systèmes d’IA : la Software Bill of Materials (SBOM) for artificial intelligence – Minimum Elements. La SBOM pour les systèmes d’IA se présente comme une cartographie de la chaîne d’approvisionnement de l’IA, des composants qui y sont déployés et des dépendances qui les relient. Ces lignes directrices clarifient, pour une liste de composants logiciels, les exigences minimales à respecter et les bonnes pratiques à suivre.

L’intérêt opérationnel est double. D’un côté, la SBOM améliore la transparence et la traçabilité des systèmes d’IA. De l’autre, elle réduit le temps de réaction lorsqu’une vulnérabilité ou une faille de sécurité est découverte. 

A ce jour, aucun texte n’impose d’établir une SBOM. Elle est pourtant complémentaire de plusieurs obligations règlementaires et constitue un précieux apport notamment dans le cadre de la construction de la politique contractuelle d’un organisme public ou privé. 

S’agissant du règlement (UE) 2024/1689 (RIA), ce dernier impose en particulier la maîtrise de l’IA (art. 4), la documentation des systèmes à risque élevé (art. 16 et 18) et la transparence (art. 13 et 50). Dès lors, la SBOM fournit une méthode concrète pour s’y conformer. 

La SBOM présente également un intérêt fort au regard des enjeux de cybersécurité. L’article 31 du Cyber Resilience Act (règlement (UE) 2024/2847) impose notamment au fabricant une documentation technique réunissant l’ensemble des informations utiles sur les moyens employés pour garantir la conformité du produit. La SBOM est aussi un moyen concret de mettre en œuvre les obligations de gestion des risques de la chaîne d’approvisionnement édictées par la directive NIS 2 (directive (UE) 2022/2555).

La SBOM renforce par ailleurs la visibilité sur les dépendances et les composants des fonctions critiques ou importantes, conformément à ce que prescrit le règlement DORA (règlement (UE) 2022/2554) pour le secteur financier.

Enfin, la SBOM présente aussi un intérêt notable en matière de propriété intellectuelle, ce qui contribue à en faire un outil stratégique de maîtrise des actifs logiciels notamment susceptible de nourrir les démarches de due diligence. De manière générale, la documentation systématique des licences associées aux jeux de données et modèles employés apparaît également comme un réflexe à adopter. 

La SBOM est un instrument de gouvernance au service de la conformité et de la confiance des parties prenantes. 

Comment pouvons-nous vous être utiles ? Mathias Avocats est à votre écoute.

Mise en conformité avec ces réglementations et gestion de vos risques, développement de vos projets, sensibilisation de vos équipes, formation, veille sur-mesure… Mathias Avocats vous accompagne, contactez-nous !

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises.

Un peu plus de lecture