SBOM et supply chain cyber : pourquoi votre PME doit s'y mettre en 2026

Les attaques de supply chain cyber (SolarWinds, Kaseya, MOVEit, XZ Utils) ont prouvé qu'un logiciel n'est sécurisé que tant que son maillon le plus faible l'est. En 2026, le SBOM (Software Bill of Materials) devient un sujet incontournable pour PME aussi.

1. Qu'est-ce qu'un SBOM ?

Un SBOM est l'inventaire détaillé de tous les composants logiciels (libraries, dépendances, modules open source) qui constituent une application. C'est l'équivalent de la liste des ingrédients d'un produit alimentaire, mais pour le code.

Formats standards : SPDX (Linux Foundation), CycloneDX (OWASP), SWID (ISO).

2. Pourquoi c'est devenu critique

• Vulnérabilité Log4Shell (déc 2021) : 1 ligne de log Java a paralysé des milliers d'entreprises mondiales. Sans SBOM, impossible de savoir qui était impacté.
• Backdoor XZ Utils (mars 2024) : un mainteneur malveillant a inséré une porte dérobée dans une lib utilisée par OpenSSH. Détectée par hasard 4 jours avant push généralisé.
• Cyber Resilience Act européen (CRA, applicable 2027) : tous les éditeurs vendant en UE devront fournir SBOM machine-readable + gérer vulnérabilités sur 5 ans.

3. Comment générer un SBOM côté éditeur

• Syft (Anchore) : open source, scanne images Docker / repos, génère SBOM CycloneDX/SPDX
• cdxgen (CycloneDX) : universal, supporte 30+ langages
• npm sbom (intégré npm 11+) : pour projets Node.js
• GitHub Dependency Graph + Dependabot : SBOM auto sur tous repos GitHub
• Trivy (Aqua) : scan vulnérabilités + SBOM en bonus

4. Ce qu'une PME utilisatrice doit demander à ses fournisseurs

Sans être éditeur, votre PME peut exiger :

• Tout fournisseur logiciel critique : SBOM CycloneDX disponible sur demande
• Fréquence de mise à jour : à chaque release majeure + dès qu'une CVE critique est découverte dans une dépendance
• Politique de divulgation des vulnérabilités (security.txt + délai de patch)
• Conformité CRA européen (à partir 2027)
• Pour SaaS : attestation SBOM ou rapport SOC 2 Type II équivalent

5. Plan d'action 90 jours pour PME

Mois 1 — Inventaire

• Lister tous les logiciels critiques (ERP, CRM, applis métier, antivirus, sauvegarde)
• Demander SBOM ou attestation conformité à chaque éditeur
• Évaluer maturité éditeurs (refus = signal d'alerte)

Mois 2 — Surveillance

• Mettre en place veille CVE sur composants identifiés (Snyk, GitHub Advisory, ANSSI CERT-FR)
• Notifications email pour CVE critiques affectant votre stack
• Procédure d'évaluation impact + patch sous 7 jours

Mois 3 — Intégration achats

• Clause SBOM systématique dans nouveaux contrats fournisseurs
• Critère de décision dans les appels d'offre
• Documentation : registre des SBOM + politique vulnérabilités

6. Lien avec NIS2

NIS2 art. 21 impose la « sécurité de la chaîne d'approvisionnement ». Concrètement : auditer les fournisseurs critiques, exiger garanties contractuelles, plan d'action en cas d'incident chez un fournisseur. SBOM = un des outils pour matérialiser cette gouvernance.

Conclusion

Le SBOM n'est plus une exigence technique de niche : il devient le langage commun de la cyber supply chain. Les PME qui s'y mettent en 2026 prennent une avance compétitive et préparent CRA 2027 sans douleur. KOLOSALTech accompagne audit fournisseurs + mise en place gouvernance SBOM + veille CVE.