La définition et les enjeux de la SBOM

Une SBOM, acronyme de Software Bill of Materials, s’analyse en une nomenclature structurée. Elle constitue l’inventaire précis de tous les composants présents au sein d’un logiciel, incluant les informations sur la licence ainsi que les dépendances (c’est-à-dire l’ensemble des bibliothèques, modules ou composants externes nécessaires au bon fonctionnement du logiciel). Cet inventaire fondamental a pour objectif d’introduire de la transparence quant à la manière dont le logiciel est construit et comment il fonctionne.

Aux États-Unis, la SBOM est également définie, dans le cadre d’un décret visant à lutter contre les incidents cyber, comme un « registre officiel contenant les informations et les relations au sein de la chaîne d’approvisionnement des différents composants utilisés dans la création d’un logiciel ». Ce décret prévoit que le fournisseur doit transmettre à l’acheteur une SBOM pour chaque produit ou intégrer la SBOM directement sur un site Internet public du produit concerné.

La mise en place d’une SBOM revêt des enjeux pratiques essentiels pour la résilience des entités économiques :

• Amélioration de la cybersécurité : La SBOM permet de prendre connaissance de l’existence d’une vulnérabilité au sein des composantes du logiciel, ce qui améliore la stratégie de cybersécurité d’une organisation et plus spécifiquement.
• Facilitation de la maintenance : Elle permet de suivre l’obsolescence des composants du logiciel, facilitant ainsi les opérations de maintenance.
• Simplification de la conformité : En regroupant l’ensemble des composantes dans un document unique, la SBOM simplifie les audits et les contrôles de conformité.

L’agence de cybersécurité aux Etats-Unis a publié, en septembre 2025, en partenariat avec de nombreuses autres agences, notamment l’ANSSI, un guide visant à promouvoir l’adoption des SBOM pour renforcer la sécurité et améliorer les pratiques de gestion des vulnérabilités.

L’intégration de la SBOM dans le cadre réglementaire européen

Le Cyber Resilience Act (CRA) établit un standard de sécurité uniforme au sein de l’Union européenne pour l’ensemble des produits et logiciels comportant des éléments numériques. Il requiert l’établissement d’une documentation technique « réunissant l’ensemble des informations ou des précisions utiles concernant les moyens employés par le fabricant pour garantir la conformité du produit » (article 31). La notion de SBOM est notamment précisée dans les considérants 22, 77 et 118 (le terme « SBOM » figure dans la version anglaise du texte).

Le Règlement énumère en Annexe VII les éléments constitutifs de cette documentation technique à mettre en place, comprenant la nomenclature des logiciels. Ainsi, la SBOM n’est plus une simple bonne pratique, mais une obligation réglementaire que les éditeurs de logiciels devront mettre en place.

Dans un contexte de renforcement de la sécurité de la chaîne d’approvisionnement, la SBOM pourra être communiquée avec les produits. La SBOM apparaît donc comme un document essentiel pour les éditeurs de logiciels, tant dans le cadre de la mise en application des exigences réglementaires que concernant la gestion des vulnérabilités.

Calendrier de mise en œuvre du CRA

Comment pouvons-nous vous être utiles ? Des questions sur vos produits, logiciels, services ? Mise en conformité au CRA, formation de vos équipes, adaptation des process, des contrats…   Mathias Avocats vous accompagne, Contactez-nous !

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !