HBOM pour la conformité CRA : guide de la nomenclature des composants matériels

Alors que le SBOM (Software Bill of Materials) attire le plus d'attention, les produits comportant des éléments numériques ont souvent des composants matériels significatifs, chacun contenant potentiellement un firmware avec ses propres vulnérabilités. Le HBOM (Hardware Bill of Materials) offre une visibilité sur ces composants physiques et leurs logiciels embarqués.

Ce guide explique le HBOM dans le contexte CRA.

Info : Les HBOMs ne sont pas encore obligatoires sous le CRA, mais sont fortement recommandés pour les produits avec une complexité matérielle significative. Le firmware des composants matériels est considéré comme du logiciel sous le CRA.

Qu'est-ce que le HBOM ?

Définition

Une Nomenclature des Composants Matériels (HBOM) est un inventaire structuré des composants physiques d'un produit, incluant généralement :

• Identification des composants (références, fabricants)
• Versions/révisions matérielles
• Versions firmware (embarquées dans les composants)
• Attributs pertinents pour la sécurité
• Informations sur la chaîne d'approvisionnement

HBOM vs. BOM traditionnelle

BOM TRADITIONNELLE (Fabrication) :
Focus : Production et approvisionnement
Contenu : Pièces, quantités, fournisseurs, coûts
Usage : Fabrication, inventaire, achats

HBOM (Orientée sécurité) :
Focus : Sécurité et transparence
Contenu : Composants, firmware, attributs de sécurité
Usage : Gestion des vulnérabilités, sécurité de la chaîne d'approvisionnement

CHEVAUCHEMENT :
Les deux listent les composants physiques
Le HBOM ajoute des informations pertinentes pour la sécurité
Le HBOM lie au contenu firmware/logiciel

HBOM vs. SBOM

SBOM :
- Composants logiciels
- Bibliothèques et dépendances
- Composants du système d'exploitation
- Code applicatif

HBOM :
- Composants matériels
- Puces et modules
- Firmware dans les composants
- Fonctionnalités de sécurité physique

RELATION :
┌─────────────────────────────────────────────┐
│ Transparence Complète du Produit            │
│                                             │
│  ┌─────────────┐    ┌─────────────┐        │
│  │    SBOM     │    │    HBOM     │        │
│  │             │    │             │        │
│  │ Application │    │ PCB         │        │
│  │ Bibliothèques│◄──►│ Puces       │        │
│  │ OS          │    │ Modules     │        │
│  │ Firmware*   │    │ Firmware*   │        │
│  └─────────────┘    └─────────────┘        │
│                                             │
│  *Le firmware apparaît dans les deux. C'est │
│   du logiciel s'exécutant sur du matériel  │
└─────────────────────────────────────────────┘

Pourquoi le HBOM est important pour le CRA

Exigences CRA et matériel

Bien que le CRA se concentre sur les « produits comportant des éléments numériques », ces produits sont souvent des appareils matériels :

Définition CRA Article 3(1) :

« 'produit comportant des éléments numériques' désigne un produit logiciel ou matériel et ses solutions de traitement de données à distance... »

Le Matériel Contient du Logiciel :

• Les microcontrôleurs ont un firmware
• Les puces réseau ont du code embarqué
• Les modules de sécurité ont un logiciel cryptographique
• Les capteurs peuvent avoir un firmware de traitement

Exigence de suivi des vulnérabilités

Le CRA exige des fabricants de :

• Ne pas avoir de vulnérabilités exploitables connues
• Gérer les vulnérabilités dans les composants du produit
• Fournir des mises à jour de sécurité

Pour les produits matériels, cela signifie :

• Suivre les vulnérabilités dans le firmware des composants
• Savoir ce qui se trouve dans votre matériel
• Être capable de mettre à jour ou d'atténuer les vulnérabilités des composants

Traçabilité de la chaîne d'approvisionnement

L'Article 13(5) du CRA exige une diligence raisonnable pour les composants :

« les fabricants font preuve de diligence raisonnable lorsqu'ils intègrent dans des produits comportant des éléments numériques des composants obtenus auprès de tiers, de sorte que ces composants ne compromettent pas la cybersécurité du produit comportant des éléments numériques »

Le HBOM soutient cela en documentant :

• Quels composants sont dans votre produit
• Qui les fournit
• Quelles versions de firmware sont présentes
• Quelles fonctionnalités de sécurité ils ont

Que inclure dans le HBOM

Informations de base sur les composants

STRUCTURE D'ENTRÉE DE COMPOSANT HBOM

IDENTIFICATION :
- Type de composant (MCU, module radio, capteur, etc.)
- Nom du fabricant
- Référence / Modèle
- Révision matérielle

INFORMATIONS FIRMWARE :
- Version du firmware
- Fournisseur du firmware (si différent du HW)
- Capacité de mise à jour
- Statut de vulnérabilité connu

ATTRIBUTS DE SÉCURITÉ :
- Support du démarrage sécurisé
- Module de sécurité matériel
- Résistance à l'altération
- Capacités cryptographiques
- ID unique / numéro de série

CHAÎNE D'APPROVISIONNEMENT :
- Fournisseur direct
- Pays d'origine (si connu)
- Statut de fin de vie

Catégories de composants à suivre

CATÉGORIES DE COMPOSANTS HBOM

TRAITEMENT :
- Processeur principal / MCU
- Co-processeurs
- FPGA / logique programmable
- Processeurs d'application

CONNECTIVITÉ :
- Modules WiFi
- Modules Bluetooth
- Modems cellulaires
- Contrôleurs Ethernet
- Radios LoRa / Zigbee / Thread

SÉCURITÉ :
- TPM / Éléments sécurisés
- Modules de sécurité matériel
- Accélérateurs crypto
- Mémoire sécurisée

STOCKAGE :
- Mémoire Flash
- EEPROM
- Contrôleurs de carte SD

CAPTEURS :
- Capteurs environnementaux
- Capteurs de mouvement
- Capteurs biométriques
- Capteurs d'imagerie

ALIMENTATION :
- Circuits de gestion d'alimentation
- Gestion de batterie

INTERFACE :
- Contrôleurs d'affichage
- Contrôleurs USB
- Codecs audio

Conseil : Commencez par les composants à haut risque (processeurs, éléments sécurisés, modules de communication) avant de cataloguer chaque composant passif.

Considérations de profondeur

NIVEAUX DE PROFONDEUR HBOM

NIVEAU 1 : Composants Majeurs
- Processeur principal
- Modules de connectivité
- Éléments de sécurité
- Composants avec firmware mis à jour

NIVEAU 2 : Composants Secondaires
- Circuits intégrés de support
- Capteurs
- Puces mémoire
- Gestion d'alimentation

NIVEAU 3 : Composants Passifs/Simples
- Typiquement PAS dans le HBOM
- Résistances, condensateurs
- Connecteurs simples
- Composants non programmables

RECOMMANDATION POUR LE CRA :
Focus sur le Niveau 1 (critique)
Inclure le Niveau 2 si faisable
Le Niveau 3 est rarement pertinent pour la sécurité

Options de format HBOM

CycloneDX HBOM

CycloneDX supporte nativement les composants matériels :

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "serialNumber": "urn:uuid:...",
  "version": 1,
  "metadata": {
    "component": {
      "type": "device",
      "name": "Smart Sensor Pro",
      "version": "2.0"
    }
  },
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "version": "Rev 3",
      "manufacturer": {
        "name": "Espressif Systems"
      },
      "description": "Module SoC WiFi+BT",
      "properties": [
        {
          "name": "firmware-version",
          "value": "4.4.1"
        },
        {
          "name": "secure-boot",
          "value": "supported"
        }
      ]
    }
  ]
}

SPDX HBOM

SPDX peut également représenter le matériel :

SPDXVersion: SPDX-2.3
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: Smart-Sensor-Pro-HBOM
DocumentNamespace: https://example.com/hbom/ssp-2.0

PackageName: ESP32-WROOM-32E
SPDXID: SPDXRef-MCU
PackageVersion: Rev3
PackageSupplier: Organization: Espressif Systems
PackageDownloadLocation: NOASSERTION
FilesAnalyzed: false
PackageComment: Module WiFi+BT principal, firmware v4.4.1

SBOM+HBOM unifié

La meilleure pratique est souvent une nomenclature unifiée :

{
  "bomFormat": "CycloneDX",
  "specVersion": "1.5",
  "components": [
    {
      "type": "device",
      "name": "ESP32-WROOM-32E",
      "description": "Module matériel"
    },
    {
      "type": "firmware",
      "name": "ESP-IDF",
      "version": "4.4.1",
      "description": "Firmware sur ESP32"
    },
    {
      "type": "library",
      "name": "mbedtls",
      "version": "2.28.0",
      "description": "Bibliothèque TLS dans le firmware"
    }
  ],
  "dependencies": [
    {
      "ref": "ESP32-WROOM-32E",
      "dependsOn": ["ESP-IDF"]
    },
    {
      "ref": "ESP-IDF",
      "dependsOn": ["mbedtls"]
    }
  ]
}

Création et maintenance du HBOM

Création initiale du HBOM

PROCESSUS DE CRÉATION HBOM

ÉTAPE 1 : INVENTORIER LE MATÉRIEL
- Examiner le schéma / BOM de l'ingénierie
- Identifier les composants programmables
- Noter les composants avec firmware

ÉTAPE 2 : RASSEMBLER LES INFORMATIONS
- Fiches techniques des fabricants
- Références et révisions
- Versions firmware des fournisseurs
- Informations sur les fonctionnalités de sécurité

ÉTAPE 3 : ÉVALUER LA PERTINENCE SÉCURITÉ
- Le composant a-t-il un firmware ?
- Le firmware peut-il être mis à jour ?
- Gère-t-il des fonctions de sécurité ?
- Est-il connecté au réseau ?

ÉTAPE 4 : STRUCTURER LES DONNÉES
- Choisir le format (CycloneDX recommandé)
- Saisir les informations des composants
- Lier au SBOM du firmware si applicable
- Documenter les attributs de sécurité

ÉTAPE 5 : VALIDER
- Recouper avec la BOM ingénierie
- Vérifier les versions firmware
- Confirmer les informations fournisseurs

Maintenance continue

PROCESSUS DE MAINTENANCE HBOM

DÉCLENCHEUR : Révision Matérielle
- Mettre à jour les entrées de composants
- Noter les changements de version
- Mettre à jour les versions firmware

DÉCLENCHEUR : Mise à Jour Firmware
- Mettre à jour la version firmware dans le HBOM
- Lier au SBOM mis à jour pour le firmware
- Suivre les changements de statut CVE

DÉCLENCHEUR : Fin de Vie du Composant
- Marquer le statut du composant
- Documenter le plan de remplacement
- Évaluer l'impact sécurité

DÉCLENCHEUR : Vulnérabilité Découverte
- Vérifier le HBOM pour les composants affectés
- Évaluer l'exploitabilité
- Planifier la remédiation

REVUE RÉGULIÈRE :
- Vérification trimestrielle de l'exactitude du HBOM
- Revue annuelle de la chaîne d'approvisionnement
- Surveillance de la fin de vie des composants

Support outillage

OPTIONS D'OUTILLAGE HBOM

COMMERCIAL :
- Finite State (analyse firmware/matériel)
- Cybellum (focus automobile)
- Exein (sécurité embarquée)

OPEN SOURCE :
- CycloneDX CLI (validation de format)
- Outillage SBOM (nombreux supportent les types matériels)

INTÉGRATION :
- Systèmes PLM (Product Lifecycle Management)
- Intégration ERP pour les données BOM
- CI/CD pour le SBOM firmware

HBOM pour des types de produits spécifiques

Appareils IoT

FOCUS HBOM APPAREILS IoT

COMPOSANTS CRITIQUES :
- MCU/SoC principal (firmware !)
- Module de connectivité (WiFi, BT, cellulaire)
- Élément sécurisé (si présent)
- Capteurs avec capacité de traitement

EXEMPLE D'ENTRÉE :
Composant : Nordic nRF52840
Type : SoC BLE
Firmware : Zephyr RTOS 3.2.0
Démarrage sécurisé : Oui
Lien SBOM : /sbom/nrf52840-firmware-v3.2.0.json

Équipement industriel

FOCUS HBOM ÉQUIPEMENT INDUSTRIEL

COMPOSANTS CRITIQUES :
- PLC/contrôleur principal
- Modules de communication (PROFINET, EtherNet/IP)
- Processeur IHM
- Contrôleur de sécurité (si séparé)
- Modules E/S avec intelligence

CONSIDÉRATIONS PARTICULIÈRES :
- Composants à long cycle de vie
- Suivi des composants hérités
- Impact sur la certification de sécurité
- Alignement sur IEC 62443

Électronique grand public

FOCUS HBOM ÉLECTRONIQUE GRAND PUBLIC

COMPOSANTS CRITIQUES :
- Processeur d'application
- Connectivité (WiFi, BT)
- Codecs audio/vidéo
- Éléments de sécurité
- Contrôleurs de stockage

CONSIDÉRATIONS DE VOLUME :
- Changements d'approvisionnement des composants
- Fournisseurs multiples possibles
- Suivi des révisions à grande échelle

Intégration du HBOM à la conformité CRA

Dans le dossier technique

SECTION HBOM DU DOSSIER TECHNIQUE

SECTION : Inventaire des composants (HBOM)

OBJECTIF :
Documenter les composants matériels à pertinence
sécurité, en soutien de la gestion des vulnérabilités
et des exigences de diligence raisonnable
sur la chaîne d'approvisionnement.

CONTENU :
1. Document HBOM (format CycloneDX)
2. Résumé de l'évaluation sécurité des composants
3. Suivi des versions firmware
4. Documentation de la chaîne d'approvisionnement

RÉFÉRENCES CROISÉES :
- Lien vers le SBOM des composants firmware
- Lien vers les évaluations sécurité fournisseurs
- Lien vers les registres de suivi des vulnérabilités

Gestion des vulnérabilités

HBOM DANS LE FLUX DE VULNÉRABILITÉS

1. VULNÉRABILITÉ ANNONCÉE
   (p. ex. CVE dans le firmware ESP32)

2. VÉRIFIER LE HBOM
   - Quels produits utilisent l'ESP32 ?
   - Quelles versions firmware ?
   - Combien d'unités affectées ?

3. ÉVALUER L'IMPACT
   - La vulnérabilité est-elle exploitable dans notre usage ?
   - Quel est le niveau de risque ?
   - Des atténuations sont-elles disponibles ?

4. REMÉDIATION
   - Mise à jour firmware si disponible
   - Atténuation par configuration
   - Notification client

5. METTRE À JOUR LES ENREGISTREMENTS
   - Mettre à jour la version firmware du HBOM
   - Mettre à jour le statut de vulnérabilité
   - Documenter la remédiation

Diligence raisonnable sur la chaîne d'approvisionnement

HBOM POUR LA DILIGENCE RAISONNABLE

EXIGENCES FOURNISSEURS :
- Demander le HBOM des composants aux fournisseurs
- Exiger un SBOM firmware pour les modules
- Établir un accord de notification des vulnérabilités

INSPECTION À RÉCEPTION :
- Vérifier que le composant correspond au HBOM
- Contrôler la version firmware
- Valider les fonctionnalités de sécurité

GESTION DES CHANGEMENTS :
- Changement de composant fournisseur → mise à jour HBOM
- Qualification de seconde source → entrée HBOM
- Notification de fin de vie → mise à jour statut HBOM

Liste de contrôle HBOM

LISTE DE CONTRÔLE D'IMPLÉMENTATION HBOM

INVENTAIRE :
[ ] Tous les composants programmables identifiés
[ ] Versions firmware documentées
[ ] Fonctionnalités de sécurité notées
[ ] Fournisseurs enregistrés

FORMAT :
[ ] Format standard choisi (CycloneDX recommandé)
[ ] Schéma validé
[ ] Lié au SBOM si applicable
[ ] Contrôlé en version

PROCESSUS :
[ ] Processus de création documenté
[ ] Déclencheurs de mise à jour définis
[ ] Responsabilité assignée
[ ] Calendrier de revue établi

INTÉGRATION :
[ ] Inclus dans le dossier technique
[ ] Lié à la gestion des vulnérabilités
[ ] Partie des exigences fournisseurs
[ ] Accessible pour les audits

MAINTENANCE :
[ ] Changements de composants suivis
[ ] Mises à jour firmware reflétées
[ ] Statut de fin de vie surveillé
[ ] Revues régulières d'exactitude

Défis courants

Défi : disponibilité des données fournisseurs

Problème : les fournisseurs ne fournissent pas d'informations détaillées sur les composants.

Solutions :

• Inclure les exigences HBOM dans les contrats fournisseurs
• Demander des SBOMs pour les modules avec firmware
• Utiliser les fiches techniques disponibles publiquement
• Documenter les limitations connues

Défi : variations de composants

Problème : sources de composants ou révisions multiples en production.

Solutions :

• Suivre toutes les variantes dans le HBOM
• Utiliser des plages de versions lorsque approprié
• Lier le HBOM aux enregistrements de production
• Rapprochement régulier

Défi : visibilité du firmware

Problème : impossibilité de déterminer la version firmware des composants reçus.

Solutions :

• Exiger un marquage de version firmware
• Mettre en place un processus d'inspection à réception
• Travailler avec les fournisseurs sur la visibilité
• Accepter et documenter les limitations

Ressources clés

RESSOURCES HBOM

STANDARDS :
Spécification CycloneDX : https://cyclonedx.org
Spécification SPDX : https://spdx.dev

ORIENTATION :
NTIA SBOM (inclut le matériel) : https://ntia.gov/sbom
Ressources SBOM CISA : https://cisa.gov/sbom

OUTILS :
CycloneDX Tool Center : https://cyclonedx.org/tool-center/
Finite State : https://finitestate.io

Comment CRA Evidence aide

CRA Evidence supporte la gestion HBOM :

• BOM unifié : Gérez SBOM et HBOM ensemble
• Suivi des composants : Suivez les composants matériels à travers les produits
• Liaison firmware : Liez le matériel aux SBOMs firmware
• Corrélation des vulnérabilités : Associez les CVE aux composants matériels
• Intégration dossier technique : Incluez le HBOM dans la documentation de conformité

Commencez votre conformité CRA sur craevidence.com.

Articles connexes

• SBOM pour la Conformité CRA : Guide Complet du Software Bill of Materials -- Apprenez à créer et gérer des SBOMs, le complément obligatoire de votre HBOM.
• Dossier Technique CRA : Que Inclure et Comment le Préparer -- Comprenez comment le HBOM s'intègre dans votre documentation technique CRA globale.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.