Dans un effort coordonné pour renforcer la cybersécurité des infrastructures et systèmes critiques, les agences gouvernementales des États-Unis et de plusieurs pays alliés ont annoncé de nouvelles directives préconisant l'adoption généralisée des nomenclatures de logiciels (SBOM). Cette initiative vise à améliorer la transparence des chaînes d'approvisionnement en logiciels, atténuant ainsi les risques de sécurité et réduisant les coûts associés.

Les SBOM servent d'enregistrements formels détaillant les composants, modules et bibliothèques qui constituent un logiciel, agissant ainsi comme un inventaire. Grâce aux SBOM, les organisations peuvent acquérir une compréhension complète de l'origine du logiciel et de sa sécurité. Cette transparence est particulièrement cruciale pour les logiciels déployés dans des infrastructures critiques où la sécurité publique pourrait être compromise par des vulnérabilités.

Ces directives soulignent que la gestion de ces risques de sécurité passe par une transparence accrue. Étant donné que de nombreux systèmes remplissant des fonctions cruciales dépendent fortement des logiciels, il est impératif de comprendre leur composition et leurs dépendances précises. Les SBOM permettent aux organisations d'améliorer leurs pratiques de gestion des risques en offrant une meilleure visibilité sur les dépendances logicielles et en simplifiant ainsi les processus de gestion des vulnérabilités et de conformité des licences.

Pour maximiser leur utilité, les SBOM doivent être présentés dans un format exploitable par les machines et partagé tout au long de la chaîne d'approvisionnement. Cette fonctionnalité permet aux organisations d'identifier et de corriger efficacement les vulnérabilités, réduisant ainsi considérablement les délais de réponse. Lorsque toutes les entités de la chaîne d'approvisionnement ont accès à un SBOM pour un logiciel spécifique, la gestion des vulnérabilités devient plus agile, réduisant ainsi la dépendance envers les fournisseurs en amont pour la communication des risques potentiels.

De plus, l'intégration des SBOM devrait réduire les coûts de gestion des composants, minimiser les temps d'arrêt liés aux réponses aux vulnérabilités et diminuer le temps nécessaire à l'identification des problèmes liés aux composants logiciels obsolètes. La surveillance post-déploiement via les SBOM joue également un rôle essentiel en identifiant les composants vulnérables, en permettant une mise en œuvre rapide des correctifs et en garantissant le respect des conditions de licence.

L'adoption des SBOM s'inscrit dans le cadre des principes de sécurité dès la conception, qui visent à intégrer les considérations de sécurité tout au long du cycle de vie du produit. L'automatisation est reconnue comme essentielle à la génération, à la gestion et à l'utilisation des SBOM, améliorant la précision et la rapidité de la transparence logicielle.

Ces orientations s'inscrivent dans un contexte mondial où les menaces de cybersécurité continuent d'évoluer et de s'intensifier. En favorisant un environnement de responsabilité partagée et de transparence proactive, les SBOM représentent une étape stratégique pour renforcer la sécurité de la chaîne d'approvisionnement logicielle. En produisant et en maintenant des SBOM, les organisations contribuent non seulement à leur gestion interne des risques, mais améliorent également le paysage sécuritaire de leur écosystème élargi, composé de producteurs, de décideurs et d'opérateurs. Cet engagement commun souligne le rôle essentiel des SBOM dans la sécurisation des infrastructures essentielles à la sécurité nationale et internationale.