17 agences nationales de cybersécurité viennent de franchir une étape importante en publiant leur vision commune du SBOM. Cette « liste des ingrédients » d’un logiciel s’impose désormais comme un élément clé pour sécuriser notre environnement numérique.
Le SBOM (Software Bill of Materials) s’affirme peu à peu comme un élément déterminant des politiques de cybersécurité. Le 3 septembre 2025, une étape importante a été franchie : 17 agences nationales de cybersécurité ont publié une déclaration commune définissant leur vision du SBOM. Cette « liste des ingrédients », qui composent un logiciel, est à présent considérée comme essentielle pour renforcer la sécurité de notre écosystème numérique.
De nombreux organismes nationaux de cybersécurité se sont associés à cette initiative, en particulier l’Anssi en France, la CISA aux États-Unis et le BSI en Allemagne, aux côtés des autorités canadiennes, japonaises et sud-coréennes. La Commission européenne soutient à ce projet. Le SBOM rassemble de façon claire tous les composants utilisés, qu’ils soient open source ou propriétaires. Cette « recette » permet de suivre les liens entre les différents éléments, de repérer d’éventuelles failles de sécurité et d’assurer une surveillance automatique de l’ensemble.
Cette traçabilité « doit nous permettre de renforcer la sécurité par design, mais aussi de gérer plus efficacement les effets boule de neige des vulnérabilités dans des briques logicielles largement réutilisées », poursuit Vincent Strubel, le leader de l’agence française.
Lire aussi : Messagerie sécurisée : les agents de l’Etat doivent utiliser « Tchap » plutôt que « WhatsApp »
Etablir un socle commun
Dans leur communiqué, les agences mettent en avant l’avantage principal du SBOM : sa capacité à accélérer la réponse aux failles de sécurité critiques. L’affaire Log4Shell de décembre 2021 en est la parfaite illustration : les organisations qui disposaient d’un SBOM ont pu savoir instantanément si elles utilisaient Log4j, alors que les autres ont dû passer au peigne fin leur code à la main.
Pour que cette approche commune puisse porter ses fruits, il est indispensable d’éviter que chaque acteur n’impose sa propre façon de faire. Pour cela, les agences soulignent qu’il faut harmoniser les aspects techniques. Faute de quoi, l’adoption du SBOM risque d’être freinée. En ce moment, plusieurs formats qui coexistent, comme le SPDE de la Linux Foundation ou le CycloneDX d’OWASP, mais ils ne sont pas toujours compatibles entre eux. C’est là qu’intervient le besoin d’établir une base commune minimale, avec les informations essentielles, comme la version, la licence, l’origine des composants ou encore leur statut de maintenance.
