Quand vous achetez un produit alimentaire, la loi vous garantit de savoir ce qu’il contient. Les ingrédients sont listés sur l’emballage, dans l’ordre décroissant de leur proportion. C’est une évidence aujourd’hui. Pourtant, pour les logiciels qui pilotent nos entreprises, nos hôpitaux, nos centrales électriques ou nos voitures, cette transparence n’a longtemps pas existé. C’est précisément le problème que le SBOM entend résoudre.
Qu’est-ce qu’un SBOM, exactement ?
SBOM est l’acronyme de Software Bill of Materials, que l’on peut traduire par « liste de matériaux logiciels » ou, plus simplement, « liste des ingrédients d’un logiciel ». C’est un document structuré qui recense de façon exhaustive tous les composants qui entrent dans la composition d’un programme informatique.
Un logiciel moderne n’est jamais écrit de zéro. Il est assemblé. Les développeurs s’appuient massivement sur des bibliothèques open source, des modules tiers, des frameworks préexistants. Une application bancaire, par exemple, peut reposer sur des centaines — parfois des milliers — de composants dont elle n’a pas écrit une seule ligne. Ces composants ont eux-mêmes leurs propres dépendances. On se retrouve avec une imbrication complexe que personne, parfois même pas l’éditeur du logiciel, ne maîtrise complètement.
Le SBOM est la radiographie complète de cet assemblage. Pour chaque composant, il indique son nom, sa version précise, son auteur ou fournisseur, son identifiant unique standardisé, et ses relations avec les autres éléments. C’est une carte détaillée de tout ce qui fait tourner le logiciel, sous le capot.
Pourquoi c’est devenu urgent
Pendant longtemps, l’absence de transparence sur la composition des logiciels n’a pas semblé poser de problème majeur. Puis la catastrophe Log4Shell a tout changé. En décembre 2021, une vulnérabilité critique est découverte dans Log4j, une bibliothèque Java ultra-répandue utilisée pour enregistrer des journaux d’activité. Des millions de systèmes dans le monde sont exposés : serveurs d’entreprises, services cloud, jeux vidéo, équipements industriels. Le problème ? Personne ne savait vraiment où Log4j était présent. Des équipes informatiques ont passé des semaines à passer en revue leurs systèmes à la main pour savoir si elles étaient touchées. Certaines n’ont jamais eu de réponse certaine.
Avec un SBOM à jour, la réponse aurait été quasi immédiate. Il aurait suffi de chercher « Log4j » dans l’inventaire pour obtenir la liste de tous les logiciels exposés, et prioriser les correctifs en conséquence.
Ce scénario n’est pas une exception. Les attaques ciblant ce qu’on appelle la « supply chain logicielle », c’est-à-dire la chaîne d’approvisionnement en composants logiciels, sont devenues l’une des menaces les plus redoutées. L’attaque SolarWinds en 2020, qui a compromis des dizaines d’agences gouvernementales américaines en injectant du code malveillant dans une mise à jour logicielle, en est l’exemple le plus marquant. Dans ce cas de figure, même un antivirus parfait ne sert à rien, car le danger vient de l’intérieur du logiciel lui-même, camouflé dans une pièce légitime.
Ce que le SBOM change concrètement
Pour les entreprises et les administrations qui utilisent des logiciels (c’est-à-dire à peu près tout le monde), disposer d’un SBOM de chaque outil utilisé apporte plusieurs avantages concrets.
La réactivité face aux vulnérabilités, d’abord. Quand une faille est annoncée dans un composant, il est possible en quelques minutes d’identifier tous les systèmes potentiellement affectés. Plus besoin d’audit manuel fastidieux : l’information est là, disponible, interrogeable.
La maîtrise des licences, ensuite. Les logiciels open source sont soumis à des licences parfois très restrictives. Certaines imposent que tout logiciel qui les intègre soit lui-même publié en open source. Une entreprise commerciale qui ignore qu’elle utilise un tel composant peut se retrouver dans une situation juridique délicate. Le SBOM permet de détecter ces risques avant qu’ils ne deviennent des problèmes.
La transparence vis-à-vis des clients, enfin. De plus en plus d’organisations, notamment dans les secteurs réglementés comme la santé, la finance ou la défense, exigent de leurs fournisseurs de logiciels qu’ils produisent un SBOM. C’est une forme de garantie, comparable à un certificat d’origine pour un produit industriel.
Le SBOM entre dans la loi
Face à ces enjeux, les gouvernements commencent à agir. Aux États-Unis, un décret présidentiel signé en mai 2021 impose aux fournisseurs de logiciels vendus au gouvernement fédéral de fournir un SBOM. Une première mondiale qui a eu un effet d’entraînement considérable sur l’ensemble de l’industrie.
En Europe, la directive NIS2, entrée en vigueur en 2023, et le Cyber Resilience Act, actuellement en cours d’adoption, vont dans le même sens. Ils imposent aux fabricants de produits numériques des obligations renforcées en matière de transparence et de gestion des composants. Le SBOM n’y est pas encore rendu systématiquement obligatoire, mais il s’impose de facto comme l’outil de référence pour répondre à ces exigences.
Deux formats standards se sont imposés dans l’industrie pour structurer ces documents : SPDX, développé sous l’égide de la Linux Foundation, et CycloneDX, porté par l’OWASP (l’organisation internationale dédiée à la sécurité des applications web). Ces formats permettent une interopérabilité entre les outils et les organisations, condition indispensable à une adoption à grande échelle.
Une révolution culturelle autant que technique
Adopter le SBOM, c’est accepter un changement de paradigme : passer d’une culture du secret, « ce qui est dans mon logiciel ne regarde que moi », à une culture de la transparence et de la responsabilité.
Pour les éditeurs de logiciels, cela représente un effort réel : il faut outiller les processus de développement pour générer et maintenir ces inventaires automatiquement, les tenir à jour à chaque mise à jour, et les communiquer aux clients. Des spécialisés commencent à s’intégrer directement dans les pipelines de développement pour automatiser ce travail.
Alexandreest notre rédacteur senior, spécialisé dans les reportages vidéo et les interviews exclusives. Avec une formation en communication et une passion pour les histoires humaines, il apporte une dimension visuelle et émotive à nos contenus.
À lire également
Sommeil agité ? 6 plantes d’intérieur méconnues pour assainir l’air de votre chambre
60 ans et plus : découvrez l’astuce SNCF méconnue qui remplace la carte à 49 €