Les SBOM au service de l’assurance ISO 27001, NIS2 et DORA
Il est 07 h 42, un vendredi, lorsqu’Amelia, RSSI d’une FinTech en forte croissance, reçoit l’alerte qu’aucun responsable sécurité ne souhaite voir.
Un paquet open source largement utilisé présente une vulnérabilité critique d’exécution de code à distance. L’outil d’analyse de la composition logicielle indique que le composant pourrait se trouver dans le service d’authentification, peut-être dans la facturation, et éventuellement dans un wrapper d’API tiers utilisé par le flux de paiement. L’ingénierie a besoin de temps pour confirmer. Le juridique demande si le délai de notification NIS2 a commencé à courir. Le responsable du programme DORA demande si le service concerné soutient une fonction critique ou importante pour une entité financière. Les ventes demandent si cela bloquera un renouvellement. Le conseil d’administration pose la question la plus simple et la plus difficile : « Sommes-nous exposés ? »
Sans nomenclature logicielle, la réponse honnête est souvent : « Nous ne le savons pas encore. »
En 2026, cette réponse n’est pas seulement une lacune technique. C’est une faiblesse de gouvernance, un risque contractuel, une exposition en audit et, pour les entités réglementées, un problème de résilience. Les SBOM sont passés d’une bonne pratique d’hygiène DevSecOps à des éléments de preuve destinés au conseil d’administration pour l’assurance de la chaîne d’approvisionnement logicielle, le fonctionnement des contrôles ISO/IEC 27001:2022, la gestion des risques de cybersécurité NIS2, la gouvernance des tiers TIC au titre de DORA, la responsabilité au sens du GDPR et la diligence raisonnable des clients.
L’enjeu n’est pas seulement de générer un fichier SBOM. L’enjeu est de démontrer que les composants logiciels sont identifiés, approuvés, surveillés, cotés en fonction du risque, corrigés, encadrés contractuellement et rattachés à des responsables identifiés. C’est là que la bibliothèque de politiques Clarysec, Zenith Blueprint : feuille de route d’audit en 30 étapes et Zenith Controls : guide de conformité croisée transforment un livrable de développeur en éléments de preuve de conformité défendables.
Pourquoi les SBOM sont désormais des éléments de preuve d’assurance de la chaîne d’approvisionnement logicielle
Un SBOM est un inventaire des composants logiciels, comprenant les paquets open source, les bibliothèques commerciales, les versions, les sources, les licences et les relations de dépendance. Un SBOM utile permet de répondre à quatre questions qui intéressent désormais les autorités de régulation, les clients et les conseils d’administration :
- Que contient notre logiciel ?
- Où est-il déployé ?
- Est-il vulnérable, non maintenu, non conforme aux licences ou non approuvé ?
- Qui est responsable de la remédiation, de l’atténuation ou de l’acceptation du risque ?
Ces questions correspondent directement aux attentes juridiques et réglementaires actuelles.
NIS2 s’applique à de nombreuses entités moyennes et grandes dans des secteurs essentiels et importants, notamment les infrastructures numériques, les fournisseurs de services d’informatique en nuage, les prestataires de services de centres de données, les prestataires de services managés, les prestataires de services de sécurité managés, les places de marché en ligne, les moteurs de recherche, les plateformes de réseaux sociaux et certains prestataires numériques. Elle peut également s’appliquer sur la base d’une désignation nationale et d’une transposition sectorielle. Pour les entités entrant dans son champ d’application, NIS2 exige que les organes de direction approuvent les mesures de gestion des risques de cybersécurité et en supervisent la mise en œuvre. L’article 21 couvre notamment la sécurité de la chaîne d’approvisionnement, l’acquisition sécurisée, le développement et la maintenance sécurisés, le traitement et la divulgation des vulnérabilités, la gestion des incidents, la continuité d’activité, la gestion des actifs, le contrôle d’accès, la cryptographie, l’évaluation de l’efficacité et l’hygiène cyber.
DORA, applicable depuis le 17 janvier 2025, établit un cadre uniforme de résilience opérationnelle numérique de l’UE pour les entités financières. Il couvre la gestion des risques TIC, la notification des incidents liés aux TIC, les tests de résilience, la gestion des risques liés aux prestataires tiers de services TIC, les accords contractuels et la supervision des prestataires tiers critiques de services TIC. DORA attend des entités financières qu’elles identifient les actifs TIC, les fonctions métier soutenues par les TIC, les dépendances, les interconnexions, les vulnérabilités, les scénarios de risque, les changements et les processus soutenus par des tiers.
GDPR ajoute une couche liée à la protection de la vie privée. Si un composant vulnérable affecte des systèmes traitant des données à caractère personnel, la question devient de savoir si ces données ont pu être consultées, altérées, perdues, divulguées ou autrement compromises. Les responsables du traitement et les sous-traitants ont besoin d’éléments de preuve montrant qu’ils peuvent identifier les systèmes affectés, les flux de données, les sous-traitants ultérieurs et l’impact d’une violation.
NIST CSF 2.0 renforce le même modèle opérationnel à travers GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND et RECOVER. Ses résultats relatifs à la chaîne d’approvisionnement attendent des responsabilités fournisseur, une criticité, des exigences contractuelles, une diligence raisonnable, une surveillance, une planification des incidents et des dispositions de fin de relation.
Lorsque le conseil d’administration d’Amelia demande si la FinTech est exposée, une organisation appuyée par des SBOM peut répondre avec des éléments de preuve :
- Quels produits et quelles versions contiennent le composant vulnérable
- Quels environnements déployés sont affectés
- Quels clients, régions, fonctions et flux de données sont concernés
- Quel fournisseur ou responsable interne est redevable
- Quels contrôles compensatoires sont actifs
- Si des seuils NIS2, DORA, GDPR ou contractuels peuvent être déclenchés
- Quel correctif, quelle mesure d’atténuation, quelle exception ou quelle acceptation du risque a été approuvé
C’est la différence entre une liste de composants et un système de contrôle.
ISO 27001:2022 constitue l’ossature de la gouvernance des SBOM
ISO/IEC 27001:2022 constitue une base solide pour la gouvernance des SBOM, car il s’agit d’une norme de système de management, et non d’une simple liste de contrôle technique. Ses clauses exigent que les organisations définissent le contexte, les parties intéressées, le périmètre, l’engagement de la direction, la politique, les rôles, l’appréciation des risques, le traitement des risques, les objectifs, l’évaluation des performances, l’audit interne, la revue de direction et l’amélioration continue.
Les programmes SBOM échouent lorsqu’ils restent en dehors du SMSI. L’ingénierie peut générer des fichiers, mais personne ne fait appliquer les SLA de remédiation des vulnérabilités, les obligations des fournisseurs, la conservation des éléments de preuve, l’acceptation du risque ou les règles de divulgation aux clients. ISO 27001 corrige cela en intégrant les SBOM au système de gestion des risques de l’organisation.
Selon les clauses 4.1 à 4.4, l’organisation détermine les enjeux internes et externes, les exigences des parties intéressées, les obligations légales et réglementaires, les attentes contractuelles et le domaine d’application du SMSI. Pour l’assurance SBOM, le périmètre doit inclure explicitement :
- Les produits et services fournis aux clients
- Les environnements de production cloud et SaaS
- Les pipelines CI/CD, les référentiels de code source et les registres d’artefacts
- Les composants logiciels open source et commerciaux
- Le développement externalisé et les partenaires d’intégration
- Les prestataires tiers TIC et les sous-traitants
- Les exigences de sécurité des clients au titre de DORA, NIS2, GDPR et des contrats
Les clauses 5.1 à 5.3 font du risque lié à la chaîne d’approvisionnement logicielle un sujet de direction. La direction doit aligner les objectifs de sécurité sur l’orientation métier, fournir les ressources, attribuer les responsabilités et communiquer la politique. Les clauses 6.1.2 et 6.1.3 transforment les constats issus des SBOM en éléments de preuve d’appréciation des risques et de traitement des risques. Un composant critique vulnérable dans un service d’authentification exposé à Internet n’est pas seulement un ticket. C’est un scénario de risque affectant la confidentialité, l’intégrité, la disponibilité, les engagements contractuels, les obligations de notification réglementaire et la résilience opérationnelle.
Les contrôles de l’Annexe A de ISO/IEC 27001:2022 les plus pertinents pour l’assurance SBOM sont les suivants :
| Contrôle de l’Annexe A ISO/IEC 27001:2022 | Pourquoi il est important pour les SBOM | Éléments de preuve attendus par les auditeurs |
|---|---|---|
| A.5.7 Renseignement sur les menaces | Les flux de vulnérabilités et le renseignement sur l’exploitation aident à prioriser le risque composant | Sources de renseignement sur les menaces, alertes SCA, enregistrements d’analyse |
| A.5.9 Inventaire des informations et autres actifs associés | Les logiciels, services, référentiels et composants nécessitent une visibilité d’inventaire | Inventaire des actifs, inventaire logiciel, enregistrements de propriété |
| A.5.19 Sécurité de l’information dans les relations avec les fournisseurs | Les logiciels et prestataires de services externes introduisent un risque de dépendance | Appréciations des risques fournisseurs, classification des fournisseurs, diligence raisonnable |
| A.5.20 Prise en compte de la sécurité de l’information dans les accords avec les fournisseurs | Les contrats doivent imposer des obligations de sécurité et des éléments de preuve | Clauses contractuelles, SLA, droits d’audit, délais de notification |
| A.5.21 Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC | Les SBOM soutiennent la visibilité sur les dépendances logicielles et TIC | SBOM, registres des dépendances, revues des risques liés à la chaîne d’approvisionnement |
| A.5.22 Surveillance, revue et gestion des changements des services fournisseurs | Le risque fournisseur évolue lorsque les composants ou les sous-traitants changent | Revues fournisseurs, avis de changement, éléments de preuve mis à jour |
| A.5.23 Sécurité de l’information pour l’utilisation des services cloud | Les dépendances SaaS et cloud nécessitent une gouvernance du cycle de vie | Registres cloud, éléments de preuve sur le partage des responsabilités, plans de sortie |
| A.8.8 Gestion des vulnérabilités techniques | Les SBOM permettent d’identifier rapidement les composants vulnérables | Résultats SCA, tickets de vulnérabilité, SLA de remédiation |
| A.8.25 Cycle de vie de développement sécurisé | Les composants approuvés et surveillés font partie de l’ingénierie sécurisée | Normes de programmation sécurisée, approbations de dépendances, points de contrôle de pipeline |
| A.8.26 Exigences de sécurité des applications | L’utilisation des composants doit être alignée sur les exigences de sécurité | Traçabilité des exigences, enregistrements de revue de conception |
| A.8.29 Tests de sécurité en développement et en acceptation | SCA, SAST, DAST et tests d’intrusion valident le risque logiciel | Plans de test, résultats d’analyse, exceptions, éléments de preuve de retest |
| A.8.32 Gestion des changements | Les mises à niveau de composants et les correctifs d’urgence doivent être maîtrisés | Tickets de changement, approbations, plans de retour arrière, revues après changement |
Clarysec cartographie ces relations à l’aide des attributs ISO/IEC 27002:2022 dans Zenith Controls. Par exemple, Zenith Controls traite le contrôle 5.21 de ISO/IEC 27002:2022, « Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC », comme préventif, protégeant la confidentialité, l’intégrité et la disponibilité, aligné sur le concept cybersécurité Identify, et opérant dans les domaines de la gouvernance, de l’écosystème et de la protection. Il traite le contrôle 8.25, « Cycle de vie de développement sécurisé », comme préventif et aligné sur Protect. Il traite le contrôle 8.8, « Gestion des vulnérabilités techniques », comme préventif et aligné sur Identify et Protect, en reliant la gestion des vulnérabilités à la gouvernance, à l’écosystème, à la protection et à la défense.
Cette traduction est importante, car les examinateurs ne posent pas tous les mêmes questions. Un auditeur ISO peut demander si le risque composant figure dans la Déclaration d’applicabilité. Un examinateur DORA peut demander si un composant soutient une fonction critique ou importante. Un client peut demander si les vulnérabilités non résolues dépassent les SLA contractuels. Les mêmes éléments de preuve SBOM peuvent soutenir ces trois attentes, à condition d’être correctement gouvernés.
La couche de politiques Clarysec pour des SBOM exploitables en audit
Un programme SBOM fiable a besoin d’un langage de politique. Les développeurs doivent savoir ce qui doit être consigné. Les achats doivent savoir ce que les fournisseurs doivent fournir. La sécurité doit savoir quels constats déclenchent une escalade. La conformité doit savoir quels éléments de preuve doivent être conservés.
Pour les organisations plus petites, la Politique de développement sécurisé - PME crée le contrôle SBOM minimal viable :
Le DG ou un développeur désigné doit maintenir une liste de tous les composants externes utilisés, incluant : 6.6.2.1 Version et source 6.6.2.2 Vulnérabilités connues ou statut d’application des correctifs 6.6.2.3 Date de dernière mise à jour ou de dernière revue
Cette exigence est simple, mais puissante. Elle établit la visibilité des versions, la traçabilité des sources, le statut des vulnérabilités et la cadence de revue.
La Politique relative aux exigences de sécurité des applications - PME ajoute une revue du cycle de vie :
Tout outil tiers, module d’extension ou bibliothèque de code externe utilisé dans une application doit être consigné et revu annuellement au regard de son impact sécurité et de son statut d’application des correctifs.
La Politique de gestion des vulnérabilités et des correctifs - PME relie les SBOM à la remédiation :
Les développeurs doivent surveiller et mettre à jour les bibliothèques tierces (par exemple, les paquets open source)
Pour les environnements d’entreprise, la Politique de développement sécurisé relève le niveau d’exigence :
L’utilisation de code open source ou tiers doit être approuvée, suivie et validée au moyen de :
Elle rend également l’analyse obligatoire :
Tous les composants tiers doivent faire l’objet d’analyses de vulnérabilités avant le déploiement et pendant l’exécution au moyen d’outils automatisés.
Le développement externalisé doit appliquer le même niveau d’exigence. La Politique de développement externalisé exige :
L’utilisation sécurisée de bibliothèques open source, soumise à une analyse des vulnérabilités et à approbation
Les contrats fournisseurs doivent prévoir des droits opposables d’accès aux éléments de preuve. La Politique de sécurité des tiers et des fournisseurs - PME exige des clauses contractuelles couvrant la confidentialité, les obligations de sécurité, les délais de notification des violations, les droits d’audit, les restrictions de sous-traitance et la résiliation sécurisée :
Les contrats doivent inclure des clauses obligatoires couvrant : 5.3.1 Confidentialité et non-divulgation 5.3.2 Obligations de sécurité de l’information 5.3.3 Délais de notification des violations de données (par exemple, sous 24 à 72 heures) 5.3.4 Droits d’audit ou disponibilité des éléments de preuve de conformité 5.3.5 Restrictions relatives à toute sous-traitance ultérieure sans approbation 5.3.6 Conditions de résiliation, y compris le retour sécurisé ou la destruction sécurisée des données
Pour les clients d’entreprise, la Politique de sécurité des tiers et des fournisseurs inclut :
Droits d’auditer, d’inspecter et de demander des éléments de preuve de sécurité
Si un fournisseur SaaS, un partenaire de développement externalisé ou un fournisseur de logiciel commercial refuse de fournir des éléments de preuve de sécurité, le statut des vulnérabilités, des engagements de notification ou un accès pour audit, votre assurance de la chaîne d’approvisionnement logicielle comporte un angle mort.
La Politique de gestion des risques de dépendance vis-à-vis des fournisseurs transforme la concentration des dépendances en risque de résilience mesurable :
Registre des dépendances fournisseurs : le VMO doit tenir à jour un registre de tous les fournisseurs critiques, incluant des informations telles que les services/produits fournis ; le caractère fournisseur unique du fournisseur ; les fournisseurs alternatifs disponibles ou la substituabilité ; les conditions contractuelles en vigueur ; et une évaluation de l’impact en cas de défaillance ou de compromission du fournisseur. Le registre doit identifier clairement les fournisseurs à forte dépendance (par exemple, ceux pour lesquels aucune alternative rapide n’existe).
Ce registre doit être relié aux SBOM. Si une bibliothèque critique provient d’un fournisseur unique, soutient un flux client réglementé et ne dispose d’aucun substitut rapide, ce n’est pas seulement un paquet. C’est une dépendance de résilience.
Du fichier SBOM au contrôle opérationnel en un sprint
Un programme SBOM pragmatique doit commencer par une ligne de produit et un environnement de production. Ne cherchez pas à inventorier toute l’entreprise dès le premier jour. Si la FinTech d’Amelia commence par son flux d’intégration client et de paiement, l’équipe peut créer un modèle d’éléments de preuve répétable avant de passer à l’échelle.
Étape 1 : définir le périmètre SBOM dans le SMSI
Créez une déclaration de périmètre liée au domaine d’application de votre SMSI et aux facteurs réglementaires :
- Produit : plateforme SaaS d’intégration client et de paiement
- Environnement : production UE
- Référentiels : auth-service, billing-service, payment-api, reporting-api, frontend-app
- Systèmes de build : fournisseur Git, plateforme CI/CD, registre de conteneurs
- Déploiement : cluster Kubernetes, base de données managée, stockage d’objets
- Données : données de compte, journaux d’authentification, métadonnées de facturation, références de paiement
- Clients : entités financières de l’UE et clients commerciaux
- Facteurs réglementaires : ISO 27001:2022, assurance client NIS2, diligences préalables relatives aux tiers TIC DORA, responsabilité sécurité GDPR
Cela s’aligne sur la logique de périmètre de la clause 4 de ISO 27001 et sur la définition de profil NIST CSF.
Étape 2 : générer et stocker les SBOM au moment du build
Configurez les pipelines CI/CD pour générer un SBOM pour chaque livrable de build, y compris les images de conteneurs. Des formats standards tels que CycloneDX et SPDX sont couramment utilisés. Stockez chaque SBOM dans un référentiel d’éléments de preuve contrôlé, lié à l’identifiant de build, au hash de commit, à l’enregistrement de déploiement et à la version de mise en production.
| Champ d’élément de preuve SBOM | Pourquoi il est important |
|---|---|
| Nom du composant | Identifie la dépendance logicielle |
| Version | Détermine l’exposition aux vulnérabilités connues |
| Source ou registre de paquets | Soutient la revue de provenance |
| Licence | Soutient la revue juridique et contractuelle |
| Dépendance directe ou transitive | Aide à prioriser la responsabilité de remédiation |
| Vulnérabilités connues | Relie l’inventaire à la gestion des vulnérabilités |
| Statut du correctif ou de la correction | Montre l’avancement du traitement |
| Emplacement de déploiement | Relie le risque composant à l’impact métier |
| Responsable de service | Attribue la responsabilité |
| Date de dernière revue | Prouve la surveillance continue |
Cela soutient directement l’exigence de la Politique de développement sécurisé - PME visant à maintenir la version, la source, les vulnérabilités connues ou le statut d’application des correctifs et la date de revue.
Étape 3 : enrichir les données SBOM avec l’exploitabilité et le contexte métier
Ne vous arrêtez pas à une liste de paquets. Ajoutez le contexte de risque opérationnel :
- Le composant est-il vulnérable ?
- La fonction vulnérable est-elle accessible ?
- Le service est-il exposé à Internet ?
- Le service traite-t-il des données à caractère personnel ?
- Soutient-il une fonction critique ou importante pour un client DORA ?
- Un correctif est-il disponible ?
- Existe-t-il un contrôle compensatoire ?
- L’acceptation du risque a-t-elle été approuvée par le propriétaire du risque ?
Une CVE critique dans un paquet utilisé uniquement pour les tests est différente d’une CVE critique dans un service d’authentification en production. Les clauses d’appréciation et de traitement des risques de ISO 27001 permettent de rendre cette distinction défendable.
Étape 4 : relier les SBOM aux contrôles fournisseurs et de développement externalisé
Si un composant est fourni par un fournisseur commercial ou un partenaire de développement externalisé, mettez à jour l’enregistrement fournisseur :
| Champ d’élément de preuve fournisseur | Pourquoi il est important |
|---|---|
| Nom du fournisseur et service | Identifie la responsabilité |
| Composant ou artefact fourni | Relie le fournisseur à l’exposition logicielle |
| Niveau de criticité | Soutient une diligence raisonnable fondée sur les risques |
| Clause de notification des vulnérabilités | Soutient la préparation aux incidents |
| Droits d’audit ou droits d’accès aux éléments de preuve | Soutient l’assurance et les demandes clients |
| Restrictions applicables aux sous-traitants | Réduit le risque de dépendance cachée |
| Options de sortie ou de substitution | Soutient la résilience et la gestion du risque de concentration |
| Date de revue annuelle | Prouve la surveillance continue |
Cela soutient la sécurité de la chaîne d’approvisionnement au titre de l’article 21 de NIS2 et les attentes de l’article 28 de DORA concernant la stratégie de gestion des risques liés aux tiers TIC, la diligence raisonnable, les mesures contractuelles de protection, les registres d’information, la planification des audits, les droits de résiliation et les stratégies de sortie.
Étape 5 : définir les règles de remédiation et les éléments de preuve
Rattachez les SLA de remédiation à l’impact métier, et pas seulement aux scores CVSS.
| Scénario | Réponse cible | Éléments de preuve requis |
|---|---|---|
| Composant critique vulnérable dans un service de production exposé à Internet | Triage immédiat, plan d’atténuation ou de correction sous 24 heures | Ticket de vulnérabilité, appréciation des risques, décision d’atténuation |
| Vulnérabilité élevée dans un service interne traitant des données à caractère personnel | Revue du risque et plan de remédiation dans le SLA défini | Ticket, revue d’impact sur les données, élément de preuve de correctif |
| Dépendance transitive vulnérable sans correctif disponible | Contrôle compensatoire ou acceptation du risque approuvée | Enregistrement d’exception, approbation du responsable, date de revue |
| Composant fourni par un fournisseur avec statut inconnu | Demande d’éléments de preuve fournisseur et escalade | Communication fournisseur, référence de clause contractuelle, mise à jour de la diligence raisonnable |
C’est ici que les SBOM deviennent utiles pour NIS2, DORA et GDPR. Un workflow de remédiation doit tenir compte du potentiel d’incident significatif, de l’impact d’un incident majeur lié aux TIC, des critères de violation de données à caractère personnel, des obligations contractuelles de notification et de l’impact sur la résilience opérationnelle.
Étape 6 : ajouter un point de contrôle de mise en production
Avant le déploiement, exigez que le pipeline ou le processus de changement confirme que :
- Le SBOM a été généré avec succès
- Aucune vulnérabilité critique non approuvée ne subsiste
- Les nouveaux composants tiers sont approuvés
- La politique de licence est respectée
- SCA, SAST, DAST ou tout autre test requis est terminé
- Le ticket de changement est lié
- Le plan de retour arrière est documenté pour les mises en production à haut risque
Cela relie le développement sécurisé A.8.25, les tests de sécurité A.8.29 et la gestion des changements A.8.32 dans un workflow unique vérifiable en audit.
Étape 7 : constituer le dossier d’éléments de preuve de mise en production
Pour chaque mise en production, conservez :
- Le fichier SBOM
- L’identifiant de build et le hash de commit
- La sortie de l’analyse SCA
- L’enregistrement de triage des vulnérabilités
- Les exceptions approuvées
- L’approbation du changement
- L’enregistrement de déploiement
- Les résultats des tests
- Les éléments de preuve fournisseur, le cas échéant
- L’enregistrement d’incident ou de problème si la mise en production a remédié à une vulnérabilité
Lorsqu’un auditeur demande comment les bibliothèques tierces sont gérées en production, l’équipe d’Amelia ne fouille pas dans des fils Slack. Elle ouvre le dossier d’éléments de preuve de mise en production.
Cartographie de conformité croisée : un programme SBOM, plusieurs obligations
La valeur opérationnelle d’un programme SBOM augmente lorsqu’il est cartographié une seule fois puis réutilisé dans plusieurs référentiels. L’approche de conformité croisée de Clarysec évite le travail en double en traduisant les mêmes éléments de preuve dans différents langages d’assurance.
| Référentiel ou réglementation | Ce qui est attendu | Comment les éléments de preuve SBOM aident |
|---|---|---|
| ISO/IEC 27001:2022 | SMSI fondé sur les risques, contrôles fournisseurs, développement sécurisé, gestion des vulnérabilités, tests, gestion des changements | Montre un inventaire contrôlé des composants, le traitement des risques, les éléments de preuve de SoA, la remédiation, les tests et la propriété |
| NIS2 | Mesures approuvées par le conseil, sécurité de la chaîne d’approvisionnement, développement et maintenance sécurisés, traitement des vulnérabilités, gestion des incidents, gestion des actifs | Identifie les vulnérabilités propres aux fournisseurs, l’exposition produit, les services affectés, les actions de remédiation et l’impact incident |
| DORA | Documentation des actifs et dépendances TIC, connaissance des vulnérabilités, tests de résilience, registres des tiers TIC, mesures contractuelles de protection | Relie les composants logiciels aux fonctions soutenues par les TIC, aux services critiques, aux tiers, aux tests, aux plans de sortie et aux éléments de preuve d’audit |
| GDPR | Intégrité, confidentialité, sécurité et responsabilité pour le traitement des données à caractère personnel | Aide à identifier si des composants vulnérables affectent des systèmes traitant des données à caractère personnel |
| NIST CSF 2.0 | GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER et résultats de gestion des risques liés à la chaîne d’approvisionnement | Soutient la diligence raisonnable fournisseur, la surveillance, la planification des incidents, le rétablissement, les profils cibles et les plans de lacunes |
| COBIT 2019 et pratiques d’audit ISACA | Objectifs de gouvernance, propriété des processus, conception des contrôles, assurance et qualité des éléments de preuve | Soutient la propriété traçable, la supervision par la direction, la remédiation mesurable et l’auditabilité |
La notification des incidents NIS2 peut s’accélérer lorsque l’exploitation cause, ou est susceptible de causer, une perturbation opérationnelle grave, une perte financière ou un dommage matériel ou immatériel considérable. NIS2 prévoit une notification par étapes, incluant une alerte précoce dans les 24 heures suivant la prise de connaissance, une notification d’incident dans les 72 heures et un rapport final dans le mois suivant la notification d’incident. Les SBOM aident à déterminer si le composant concerné est présent, si les services clients sont affectés et si un impact transfrontalier est plausible.
DORA utilise un cycle de vie structuré des incidents TIC comprenant la détection, l’enregistrement, la classification, l’analyse de la cause racine, l’escalade, les plans de communication, l’escalade vers l’organe de direction et la notification réglementaire des incidents majeurs liés aux TIC. Les éléments de preuve SBOM soutiennent la classification, car ils relient un composant vulnérable aux clients affectés, à l’indisponibilité, à la diffusion géographique, aux pertes de données, à la criticité du service et à l’impact économique.
NIST CSF 2.0 ajoute un langage utile pour l’assurance client. Zenith Controls mappe A.5.21 aux résultats de gouvernance de la chaîne d’approvisionnement tels que GV.SC-05, dans lesquels les exigences de cybersécurité pour les fournisseurs sont établies, communiquées et intégrées aux contrats et autres accords. Exiger des SBOM, la divulgation des vulnérabilités, des éléments de preuve d’audit et des délais de remédiation devient un contrôle contractuel, et non une demande ad hoc.
Comment le Zenith Blueprint séquence les travaux
Le Zenith Blueprint transforme le langage des contrôles en feuille de route de mise en œuvre.
Dans la phase de gestion des risques, l’étape 14 relie le développement sécurisé, les contrôles CI/CD, l’analyse des dépendances, la gestion des changements, la gestion des incidents et la formation des développeurs. Dans la phase Controls in Action, l’étape 20 est explicite concernant les composants tiers et open source :
Ce contrôle s’applique également aux composants tiers et open source. S’appuyer sur des bibliothèques externes est une pratique courante, mais chaque inclusion constitue une décision de confiance. Les développeurs doivent évaluer les dépendances selon leur réputation, leur fréquence de maintenance, les vulnérabilités connues et les restrictions de licence. Des outils tels que les SBOM (Software Bill of Materials) deviennent indispensables pour suivre ce qui est intégré dans votre stack.
L’étape 21 présente les tests de sécurité comme dépendants du contexte et recommande des tests en couches pour les systèmes critiques pour l’activité ou exposés à Internet, y compris l’analyse de la composition logicielle pour les bibliothèques tierces, l’analyse statique et dynamique, les tests d’intrusion, la validation de la modélisation des menaces, les tests de cas d’usage abusif, le fuzzing et les tests exploratoires manuels.
L’étape 23 traite les accords fournisseurs, notamment les obligations de confidentialité, les responsabilités de contrôle d’accès, les mesures techniques et organisationnelles, les délais de notification des incidents, le droit d’audit, les contrôles des sous-traitants et les dispositions de fin de contrat.
| Phase et étape du Zenith Blueprint | Pertinence pour les SBOM | Résultat pratique |
|---|---|---|
| Phase de gestion des risques, étape 14 | Traiter le risque lié aux composants logiciels au moyen de politiques et de références réglementaires croisées | Politique de développement sécurisé, approbation des dépendances, règles de remédiation |
| Phase Controls in Action, étape 20 | Traiter chaque composant tiers comme une décision de confiance | SBOM, inventaire des composants, contrôles de licence et de vulnérabilités |
| Phase Controls in Action, étape 21 | Valider le risque logiciel par des tests en couches | SCA, SAST, DAST, éléments de preuve de tests d’intrusion |
| Phase Controls in Action, étape 23 | Transformer les attentes fournisseurs en conditions contractuelles | Clauses SBOM, droits d’audit, obligations de notification |
La leçon pratique est simple. Les SBOM ont leur place dans la gestion des risques, le développement sécurisé, les tests, la gouvernance des fournisseurs, la réponse aux incidents et le reporting de direction.
Le regard de l’audit : ce que testeront les différents examinateurs
Un programme SBOM mature doit résister à différents styles d’audit.
Un auditeur ISO 27001:2022 commencera par le SMSI. Il demandera si le risque lié à la chaîne d’approvisionnement logicielle est dans le périmètre, si les exigences des parties intéressées incluent NIS2, les clients DORA, GDPR et les contrats, si le risque composant fait partie de la méthodologie de risque, si la Déclaration d’applicabilité inclut les contrôles pertinents de l’Annexe A et si les politiques sont mises en œuvre dans la durée. Il pourra échantillonner une mise en production et la retracer depuis la politique jusqu’au pipeline, au SBOM, à l’analyse de vulnérabilités, à l’approbation du changement, au déploiement et à la surveillance post-mise en production.
Un examinateur DORA ou un client financier se concentrera sur la résilience opérationnelle et le risque lié aux tiers TIC. Il pourra demander quels composants soutiennent le service utilisé par l’entité financière, si ce service soutient une fonction critique ou importante, comment les actifs et dépendances TIC sont documentés, si les vulnérabilités sont surveillées, si les tests annuels couvrent les systèmes critiques et si les contrats incluent l’assistance, les droits d’audit, la notification des incidents, la localisation des données, la sous-traitance et les conditions de résiliation.
Un évaluateur NIST CSF recherchera des résultats. Sous GOVERN, il testera la gouvernance juridique, réglementaire, contractuelle, de la vie privée et de la chaîne d’approvisionnement. Sous IDENTIFY, il attendra une visibilité sur les actifs, les logiciels et les services. Sous PROTECT, il testera le développement sécurisé et les contrôles de pipeline. Sous DETECT et RESPOND, il examinera les alertes de vulnérabilité, l’analyse, l’escalade et les communications. Sous RECOVER, il demandera comment la compromission d’un composant affecte la restauration et les communications clients.
Un auditeur de type COBIT ou ISACA se concentrera sur la gouvernance, la responsabilité, la propriété des risques, la conception des contrôles et la fiabilité des éléments de preuve. Il pourra tester si les SBOM sont complets, si les tickets de vulnérabilité sont clôturés conformément à la politique, si les exceptions expirent, si les éléments de preuve fournisseur sont à jour et si la direction reçoit un reporting pertinent.
Échecs courants des programmes SBOM à éviter
Les programmes SBOM échouent généralement pour des raisons prévisibles.
Le premier échec consiste à générer des SBOM sans les stocker comme éléments de preuve contrôlés. Si le fichier est écrasé à chaque build et ne peut pas être relié à une mise en production, il constitue un élément de preuve d’audit faible.
Le deuxième échec consiste à séparer les SBOM de la gestion des vulnérabilités. Une liste de composants sans triage, propriété, remédiation ou acceptation du risque ne prouve pas le fonctionnement du contrôle.
Le troisième échec consiste à exclure les dépendances transitives. Les vulnérabilités se cachent souvent sous la couche des dépendances directes.
Le quatrième échec consiste à laisser le développement externalisé en dehors du processus. Si un fournisseur livre du code sans divulgation des composants, éléments de preuve d’analyse ou enregistrements d’approbation, la chaîne d’approvisionnement logicielle comporte un angle mort non maîtrisé.
Le cinquième échec consiste à signer des contrats fournisseurs sans droits d’accès aux éléments de preuve. Les achats signent l’accord, l’ingénierie consomme le service, puis la sécurité découvre qu’il n’existe aucun droit d’audit, aucune obligation de divulgation des vulnérabilités, aucune restriction applicable aux sous-traitants et aucun support de sortie.
Le sixième échec consiste à ne pas cartographier les composants aux services métier. Un paquet vulnérable signifie peu tant que vous ne savez pas s’il affecte l’authentification, les paiements, le reporting, les données patients, l’administration cloud, l’intégration client ou un flux financier réglementé.
Le septième échec consiste à masquer à la direction les vulnérabilités critiques non résolues. NIS2 et DORA rendent tous deux explicite la responsabilité de la direction. Le risque critique lié aux composants doit être visible dans les instances de gouvernance, et non enfoui dans les backlogs d’ingénierie.
À quoi ressemble un programme efficace en 2026
Un programme SBOM exploitable en audit présente des caractéristiques visibles.
Une politique approuvée exige que les composants tiers et open source soient approuvés, suivis, analysés et revus. Le pipeline CI/CD génère automatiquement les SBOM. Les analyses SCA s’exécutent avant le déploiement et, le cas échéant, pendant l’exécution. Les vulnérabilités critiques déclenchent une escalade définie. Les exceptions ont des responsables, des dates d’expiration, des contrôles compensatoires et une acceptation du risque.
Les contrats fournisseurs incluent des obligations de sécurité, des délais de notification des violations, des droits d’audit, des contrôles de sous-traitance et des dispositions de résiliation. Les fournisseurs critiques sont revus au moins une fois par an. Les risques de dépendance fournisseur et de concentration sont visibles. Les équipes de développement externalisé suivent les mêmes règles de développement sécurisé et d’approbation des composants que les équipes internes.
Le reporting de direction relie le risque technique à l’impact métier :
- Composants critiques vulnérables par produit
- Exposition par client ou service réglementé
- Remédiations ouvertes au-delà du SLA
- Composants sans source approuvée
- Bibliothèques non prises en charge ou en fin de vie
- Lacunes dans les éléments de preuve fournisseur
- Exceptions en attente de renouvellement ou de clôture
- Incidents liés à des vulnérabilités de composants
C’est à ce moment que les SBOM cessent d’être un livrable justificatif de conformité et deviennent un outil de management.
Transformer les SBOM en éléments de preuve de conformité défendables
La prochaine fois qu’une alerte sur un composant critique arrive à 07 h 42, la réponse ne doit pas être : « Il nous faut deux heures pour savoir où il se trouve. »
Elle doit être : « Voici le composant affecté, voici les services, voici les clients, voici la cotation du risque, voici le plan de remédiation et voici les éléments de preuve. »
Clarysec peut vous aider à concevoir ce système de contrôle. Nous aidons les organisations à définir le périmètre SBOM dans le SMSI, à cartographier les contrôles de l’Annexe A ISO 27001:2022 avec NIS2, DORA, GDPR, NIST CSF 2.0 et les attentes d’audit de type COBIT, à mettre en œuvre des politiques de développement sécurisé et de gestion des fournisseurs, à constituer des dossiers d’éléments de preuve de mise en production et à préparer une assurance exploitable en audit à l’aide de Zenith Controls et du Zenith Blueprint.
Prêt à transformer votre chaîne d’approvisionnement logicielle, d’une source d’incertitude en une démonstration de résilience ?
Téléchargez les politiques Clarysec pertinentes, utilisez le Zenith Blueprint pour séquencer la mise en œuvre, et utilisez Zenith Controls pour cartographier vos éléments de preuve à travers ISO 27001:2022, NIS2, DORA et les exigences d’assurance client. Contactez Clarysec pour commencer par une évaluation ciblée de préparation SBOM et construire un programme d’assurance de la chaîne d’approvisionnement logicielle pratique et exploitable en audit.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
