Exigences SBOM sous le Cyber Resilience Act de l'UE : Guide Pratique

La nomenclature logicielle (SBOM) est devenue une pierre angulaire de la securite moderne de la chaine d'approvisionnement logicielle. Sous le Cyber Resilience Act de l'UE (CRA), les SBOMs ne sont pas seulement une bonne pratique - c'est une exigence reglementaire. Ce guide explique ce que les fabricants doivent savoir sur la conformite SBOM sous le CRA.

Ce que dit le CRA sur les SBOMs

Le CRA fait reference aux SBOMs dans plusieurs domaines cles :

Annexe I : Exigences Essentielles

"Les fabricants identifient et documentent les vulnerabilites et les composants contenus dans les produits, notamment en etablissant une nomenclature logicielle dans un format couramment utilise et lisible par machine."

Cela signifie :

• Les SBOMs sont obligatoires, pas optionnels
• Ils doivent etre dans un format lisible par machine (pas de PDF ou tableurs)
• Ils doivent couvrir tous les composants, y compris les dependances transitives

Annexe VII : Documentation Technique

Le dossier technique doit inclure des informations SBOM permettant :

• Le suivi des vulnerabilites au niveau des composants
• L'identification des fournisseurs
• La verification de la conformite des licences
• La planification de fin de vie

Formats SBOM Acceptes

Le CRA exige des formats "couramment utilises et lisibles par machine". En pratique, cela signifie :

Les deux formats sont acceptes, mais CycloneDX est de plus en plus prefere pour les cas d'usage securite grace a son support natif pour :

• Vulnerability Exploitability eXchange (VEX)
• Avis de securite
• Graphes de dependances

BSI TR-03183 : La Norme Allemande

L'Office federal allemand pour la securite de l'information (BSI) a publie TR-03183, qui fournit des exigences detaillees de qualite SBOM allant au-dela du minimum CRA. Les exigences cles comprennent :

Champs Obligatoires

• Nom et version du composant
• Informations fournisseur/fabricant
• Identifiants uniques (PURL, CPE)
• Relations de dependance
• Informations de licence

Indicateurs de Qualite

TR-03183 definit des niveaux de qualite :

Bien que TR-03183 soit une norme allemande, elle devient la reference de qualite de facto pour la conformite CRA dans toute l'UE.

Erreurs SBOM Courantes a Eviter

Conseil : Utilisez CycloneDX pour les cas d'usage axes sur la securite (support VEX natif) ou SPDX pour la conformite des licences. Les deux formats sont acceptes sous le CRA.

1. Arbres de Dependances Incomplets

De nombreux outils ne capturent que les dependances directes. Le CRA exige des dependances transitives - les composants dont dependent vos dependances.

Votre Produit
├── Bibliotheque A (directe) ✓
│   ├── Bibliotheque B (transitive) ← Souvent manquante !
│   └── Bibliotheque C (transitive) ← Souvent manquante !
└── Bibliotheque D (directe) ✓

2. Informations de Version Manquantes

Un SBOM sans informations de version precises est presque inutile pour la correspondance des vulnerabilites. Assurez-vous que chaque composant a :

• Numeros de version exacts (pas de plages)
• Valeurs de hash pour les composants binaires
• Identifiants PURL lorsque possible

3. SBOMs Obsoletes

Un SBOM genere au moment de la compilation mais jamais mis a jour cree un faux sentiment de securite. Implementez :

• Integration CI/CD pour la generation automatique de SBOM
• Controle de version pour les artefacts SBOM
• Detection reguliere des ecarts entre les builds

4. Ignorer le Firmware et le Materiel

Pour les produits avec des composants embarques, n'oubliez pas d'inclure :

• Versions et composants du firmware
• Nomenclature materielle (HBOM) le cas echeant
• Composants bootloader et kernel

Gestion du Cycle de Vie SBOM

Avertissement : Un SBOM genere une seule fois lors de la compilation ne suffit pas. Le CRA exige une maintenance continue du SBOM — mettez a jour votre SBOM a chaque version du produit.

Une pratique SBOM conforme necessite une gestion continue :

Generation

Code Source → Systeme de Build → Generation SBOM → Validation

Integrez la generation SBOM dans votre pipeline CI/CD en utilisant des outils comme :

• Syft (CycloneDX/SPDX)
• Trivy (CycloneDX)
• cdxgen (CycloneDX)

Validation

Avant publication, validez votre SBOM :

• Conformite au schema (CycloneDX/SPDX valide)
• Completude (tous les composants inclus)
• Precision (les versions correspondent a la realite)

Stockage et Acces

Les SBOMs doivent etre :

• Stockes de maniere securisee avec controles d'acces
• Conserves pendant la periode de support du produit (minimum 5 ans sous CRA)
• Accessibles pour l'evaluation de conformite
• Disponibles pour les clients en aval (pour les produits B2B)

Surveillance Continue

Liez votre SBOM aux bases de donnees de vulnerabilites :

• NVD (National Vulnerability Database)
• OSV (Open Source Vulnerabilities)
• GitHub Advisory Database
• CISA KEV (vulnérabilités exploitées connues)

Etapes Pratiques pour Commencer

1. Auditez votre etat actuel : Generez-vous des SBOMs aujourd'hui ? Quel format ? Quelle couverture ?

2. Choisissez votre format : CycloneDX pour le focus securite, SPDX pour la conformite des licences (ou les deux)

3. Automatisez la generation : Integration dans CI/CD, pas de processus manuels

4. Validez la qualite : Verifiez par rapport aux exigences TR-03183

5. Implementez la surveillance : Liez les SBOMs au scan de vulnerabilites

6. Planifiez les mises a jour : Etablissez des processus pour la maintenance SBOM

Comment CRA Evidence Aide

CRA Evidence fournit une gestion SBOM complete :

• Upload & Validation : Support pour CycloneDX et SPDX avec notation de qualite TR-03183
• Scan de Vulnerabilites : Correspondance automatique contre NVD, OSV et autres bases de donnees
• Suivi de Versions : Historique SBOM et detection des ecarts entre versions de produit
• Export : Incluez des SBOMs valides dans votre dossier technique Annexe VII

Bien mettre en place votre pratique SBOM est fondamental pour la conformité CRA. Commencez à développer ces capacités maintenant pour être prêt pour l'échéance 2027.

Guides Associes

Generation : Decouvrez comment automatiser la creation de SBOM dans notre guide de generation SBOM.

Qualite : Comprenez les exigences de qualite SBOM dans notre guide BSI TR-03183.

VEX : Associez votre SBOM a des donnees de vulnerabilites grace aux documents VEX.

Dossier Technique : Decouvrez comment les SBOMs s'integrent dans le dossier technique CRA (Annexe VII).

Cet article est fourni a titre informatif uniquement et ne constitue pas un avis juridique. Pour des conseils de conformite specifiques, consultez un conseiller juridique qualifie.