HBOM pour la Conformité CRA : Guide de la Nomenclature des Composants Matériels
Comprendre les Nomenclatures des Composants Matériels (HBOM) pour la conformité CRA. Couvre ce qu'il faut inclure, les options de format, le suivi des firmwares et l'intégration avec votre stratégie SBOM.
In this article
Alors que le SBOM (Software Bill of Materials) attire le plus d'attention, les produits avec éléments numériques ont souvent des composants matériels significatifs, chacun contenant potentiellement un firmware avec ses propres vulnérabilités. Le HBOM (Hardware Bill of Materials) offre une visibilité sur ces composants physiques et leurs logiciels embarqués.
Ce guide explique le HBOM dans le contexte CRA.
Info : Les HBOMs ne sont pas encore obligatoires sous le CRA, mais sont fortement recommandés pour les produits avec une complexité matérielle significative. Le firmware des composants matériels est considéré comme du logiciel sous le CRA.
Résumé
- HBOM = inventaire des composants matériels de votre produit
- Le CRA n'exige pas explicitement le HBOM, mais le matériel a un firmware = logiciel
- Le firmware des composants nécessite un suivi des vulnérabilités (exigence CRA)
- Le HBOM aide à tracer la chaîne d'approvisionnement à des fins de sécurité
- CycloneDX supporte à la fois SBOM et HBOM dans un format unifié
- Considérez le HBOM pour les produits à complexité matérielle significative
Qu'est-ce que le HBOM ?
Définition
Une Nomenclature des Composants Matériels (HBOM) est un inventaire structuré des composants physiques d'un produit, incluant généralement :
- Identification des composants (références, fabricants)
- Versions/révisions matérielles
- Versions firmware (embarquées dans les composants)
- Attributs pertinents pour la sécurité
- Informations sur la chaîne d'approvisionnement
HBOM vs. BOM Traditionnelle
BOM TRADITIONNELLE (Fabrication) :
Focus : Production et approvisionnement
Contenu : Pièces, quantités, fournisseurs, coûts
Usage : Fabrication, inventaire, achats
HBOM (Orientée sécurité) :
Focus : Sécurité et transparence
Contenu : Composants, firmware, attributs de sécurité
Usage : Gestion des vulnérabilités, sécurité de la chaîne d'approvisionnement
CHEVAUCHEMENT :
Les deux listent les composants physiques
Le HBOM ajoute des informations pertinentes pour la sécurité
Le HBOM lie au contenu firmware/logiciel
HBOM vs. SBOM
SBOM :
- Composants logiciels
- Bibliothèques et dépendances
- Composants du système d'exploitation
- Code applicatif
HBOM :
- Composants matériels
- Puces et modules
- Firmware dans les composants
- Fonctionnalités de sécurité physique
RELATION :
┌─────────────────────────────────────────────┐
│ Transparence Complète du Produit │
│ │
│ ┌─────────────┐ ┌─────────────┐ │
│ │ SBOM │ │ HBOM │ │
│ │ │ │ │ │
│ │ Application │ │ PCB │ │
│ │ Bibliothèques│◄──►│ Puces │ │
│ │ OS │ │ Modules │ │
│ │ Firmware* │ │ Firmware* │ │
│ └─────────────┘ └─────────────┘ │
│ │
│ *Le firmware apparaît dans les deux. C'est │
│ du logiciel s'exécutant sur du matériel │
└─────────────────────────────────────────────┘
Pourquoi le HBOM est Important pour le CRA
Exigences CRA et Matériel
Bien que le CRA se concentre sur les « produits avec éléments numériques », ces produits sont souvent des appareils matériels :
Définition CRA Article 3(1) :
« 'produit avec éléments numériques' désigne un produit logiciel ou matériel et ses solutions de traitement de données à distance... »
Le Matériel Contient du Logiciel :
- Les microcontrôleurs ont un firmware
- Les puces réseau ont du code embarqué
- Les modules de sécurité ont un logiciel cryptographique
- Les capteurs peuvent avoir un firmware de traitement
Exigence de Suivi des Vulnérabilités
Le CRA exige des fabricants de :
- Ne pas avoir de vulnérabilités exploitables connues
- Gérer les vulnérabilités dans les composants du produit
- Fournir des mises à jour de sécurité
Pour les produits matériels, cela signifie :
- Suivre les vulnérabilités dans le firmware des composants
- Savoir ce qui se trouve dans votre matériel
- Être capable de mettre à jour ou d'atténuer les vulnérabilités des composants
Traçabilité de la Chaîne d'Approvisionnement
L'Article 13(5) du CRA exige une diligence raisonnable pour les composants :
« Les fabricants exercent une diligence raisonnable lors de l'intégration de composants provenant de tiers... »
Le HBOM soutient cela en documentant :
- Quels composants sont dans votre produit
- Qui les fournit
- Quelles versions de firmware sont présentes
- Quelles fonctionnalités de sécurité ils ont
Que Inclure dans le HBOM
Informations de Base sur les Composants
STRUCTURE D'ENTRÉE DE COMPOSANT HBOM
IDENTIFICATION :
- Type de composant (MCU, module radio, capteur, etc.)
- Nom du fabricant
- Référence / Modèle
- Révision matérielle
INFORMATIONS FIRMWARE :
- Version du firmware
- Fournisseur du firmware (si différent du HW)
- Capacité de mise à jour
- Statut de vulnérabilité connu
ATTRIBUTS DE SÉCURITÉ :
- Support du démarrage sécurisé
- Module de sécurité matériel
- Résistance à l'altération
- Capacités cryptographiques
- ID unique / numéro de série
CHAÎNE D'APPROVISIONNEMENT :
- Fournisseur direct
- Pays d'origine (si connu)
- Statut de fin de vie
Catégories de Composants à Suivre
CATÉGORIES DE COMPOSANTS HBOM
TRAITEMENT :
- Processeur principal / MCU
- Co-processeurs
- FPGA / logique programmable
- Processeurs d'application
CONNECTIVITÉ :
- Modules WiFi
- Modules Bluetooth
- Modems cellulaires
- Contrôleurs Ethernet
- Radios LoRa / Zigbee / Thread
SÉCURITÉ :
- TPM / Éléments sécurisés
- Modules de sécurité matériel
- Accélérateurs crypto
- Mémoire sécurisée
STOCKAGE :
- Mémoire Flash
- EEPROM
- Contrôleurs de carte SD
CAPTEURS :
- Capteurs environnementaux
- Capteurs de mouvement
- Capteurs biométriques
- Capteurs d'imagerie
ALIMENTATION :
- Circuits de gestion d'alimentation
- Gestion de batterie
INTERFACE :
- Contrôleurs d'affichage
- Contrôleurs USB
- Codecs audio
Conseil : Commencez par les composants à haut risque (processeurs, éléments sécurisés, modules de communication) avant de cataloguer chaque composant passif.
Considérations de Profondeur
NIVEAUX DE PROFONDEUR HBOM
NIVEAU 1 : Composants Majeurs
- Processeur principal
- Modules de connectivité
- Éléments de sécurité
- Composants avec firmware mis à jour
NIVEAU 2 : Composants Secondaires
- Circuits intégrés de support
- Capteurs
- Puces mémoire
- Gestion d'alimentation
NIVEAU 3 : Composants Passifs/Simples
- Typiquement PAS dans le HBOM
- Résistances, condensateurs
- Connecteurs simples
- Composants non programmables
RECOMMANDATION POUR LE CRA :
Focus sur le Niveau 1 (critique)
Inclure le Niveau 2 si faisable
Le Niveau 3 est rarement pertinent pour la sécurité
Options de Format HBOM
CycloneDX HBOM
CycloneDX supporte nativement les composants matériels :
{
"bomFormat": "CycloneDX",
"specVersion": "1.5",
"serialNumber": "urn:uuid:...",
"version": 1,
"metadata": {
"component": {
"type": "device",
"name": "Smart Sensor Pro",
"version": "2.0"
}
},
"components": [
{
"type": "device",
"name": "ESP32-WROOM-32E",
"version": "Rev 3",
"manufacturer": {
"name": "Espressif Systems"
},
"description": "Module SoC WiFi+BT",
"properties": [
{
"name": "firmware-version",
"value": "4.4.1"
},
{
"name": "secure-boot",
"value": "supported"
}
]
}
]
}
SBOM+HBOM Unifié
La meilleure pratique est souvent un BOM unifié combinant logiciel et matériel avec leurs dépendances.
Création et Maintenance du HBOM
Création Initiale du HBOM
PROCESSUS DE CRÉATION HBOM
ÉTAPE 1 : INVENTORIER LE MATÉRIEL
- Examiner le schéma / BOM de l'ingénierie
- Identifier les composants programmables
- Noter les composants avec firmware
ÉTAPE 2 : RASSEMBLER LES INFORMATIONS
- Fiches techniques des fabricants
- Références et révisions
- Versions firmware des fournisseurs
- Informations sur les fonctionnalités de sécurité
ÉTAPE 3 : ÉVALUER LA PERTINENCE SÉCURITÉ
- Le composant a-t-il un firmware ?
- Le firmware peut-il être mis à jour ?
- Gère-t-il des fonctions de sécurité ?
- Est-il connecté au réseau ?
ÉTAPE 4 : STRUCTURER LES DONNÉES
- Choisir le format (CycloneDX recommandé)
- Saisir les informations des composants
- Lier au SBOM du firmware si applicable
- Documenter les attributs de sécurité
ÉTAPE 5 : VALIDER
- Recouper avec la BOM ingénierie
- Vérifier les versions firmware
- Confirmer les informations fournisseurs
Maintenance Continue
PROCESSUS DE MAINTENANCE HBOM
DÉCLENCHEUR : Révision Matérielle
- Mettre à jour les entrées de composants
- Noter les changements de version
- Mettre à jour les versions firmware
DÉCLENCHEUR : Mise à Jour Firmware
- Mettre à jour la version firmware dans le HBOM
- Lier au SBOM mis à jour pour le firmware
- Suivre les changements de statut CVE
DÉCLENCHEUR : Fin de Vie du Composant
- Marquer le statut du composant
- Documenter le plan de remplacement
- Évaluer l'impact sécurité
DÉCLENCHEUR : Vulnérabilité Découverte
- Vérifier le HBOM pour les composants affectés
- Évaluer l'exploitabilité
- Planifier la remédiation
REVUE RÉGULIÈRE :
- Vérification trimestrielle de l'exactitude du HBOM
- Revue annuelle de la chaîne d'approvisionnement
- Surveillance de la fin de vie des composants
Liste de Contrôle HBOM
LISTE DE CONTRÔLE D'IMPLÉMENTATION HBOM
INVENTAIRE :
[ ] Tous les composants programmables identifiés
[ ] Versions firmware documentées
[ ] Fonctionnalités de sécurité notées
[ ] Fournisseurs enregistrés
FORMAT :
[ ] Format standard choisi (CycloneDX recommandé)
[ ] Schéma validé
[ ] Lié au SBOM si applicable
[ ] Contrôlé en version
PROCESSUS :
[ ] Processus de création documenté
[ ] Déclencheurs de mise à jour définis
[ ] Responsabilité assignée
[ ] Calendrier de revue établi
INTÉGRATION :
[ ] Inclus dans le dossier technique
[ ] Lié à la gestion des vulnérabilités
[ ] Partie des exigences fournisseurs
[ ] Accessible pour les audits
MAINTENANCE :
[ ] Changements de composants suivis
[ ] Mises à jour firmware reflétées
[ ] Statut de fin de vie surveillé
[ ] Revues régulières d'exactitude
Comment CRA Evidence Aide
CRA Evidence supporte la gestion HBOM :
- BOM unifié : Gérez SBOM et HBOM ensemble
- Suivi des composants : Suivez les composants matériels à travers les produits
- Liaison firmware : Liez le matériel aux SBOMs firmware
- Corrélation des vulnérabilités : Associez les CVE aux composants matériels
- Intégration dossier technique : Incluez le HBOM dans la documentation de conformité
Commencez votre conformité CRA sur app.craevidence.com.
Articles Connexes
- SBOM pour la Conformité CRA : Guide Complet du Software Bill of Materials -- Apprenez à créer et gérer des SBOMs, le complément obligatoire de votre HBOM.
- Dossier Technique CRA : Que Inclure et Comment le Préparer -- Comprenez comment le HBOM s'intègre dans votre documentation technique CRA globale.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.
Sujets traités dans cet article
Articles connexes
Les caméras intelligentes sont-elles des produits...
Les caméras de sécurité connectées sont classifiées comme Produits...
11 minCybersecurity Act 2 de l'UE : Interdictions dans la...
Le 20 janvier 2026, l'UE a proposé de remplacer entièrement le Cybersecurity...
12 minClassification des produits CRA : Votre produit est-il...
Guide pratique pour déterminer la catégorie CRA de votre produit. Inclut des...
6 minDoes the CRA apply to your product?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d’application du Cyber Resilience Act de l’UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.