logo
Glossaire SBOM

Qu’est-ce qu’un SBOM (Software Bill of Materials) ?

Un Software Bill of Materials (SBOM) est un inventaire détaillé des composants qui constituent un logiciel, y compris les bibliothèques tierces et open-source, ainsi que la version des frameworks. C’est comme une liste d’ingrédients à l’intérieur de l’application.

En suivant chaque composant à l’intérieur de l’application, l’équipe de développement peut rapidement détecter lorsque de nouvelles vulnérabilités sont découvertes.

Pourquoi le SBOM est important en cybersécurité

Les applications modernes sont construites en combinant des centaines ou des milliers de dépendances tierces et de bibliothèques open-source pour accélérer le développement. Si l’une d’elles présente des vulnérabilités, cela mettra toute l’application en danger.

Un SBOM aide l’équipe de développement à :

  • Identifier les vulnérabilités plus tôt en cartographiant les composants affectés
  • Améliorer la conformité avec des normes comme NIST, ISO, ou Executive Order 14028 aux États-Unis
  • Améliorer la sécurité de la chaîne d’approvisionnement en assurant la transparence dans la composition logicielle
  • Construire la confiance avec les clients et partenaires en montrant quels composants sont inclus

Éléments clés d’un SBOM

Un SBOM approprié inclut généralement :

  • Nom du composant (par exemple, lodash)
  • Version (par exemple, 4.17.21)
  • Informations sur la licence (open source ou propriétaire)
  • Fournisseur (projet ou vendeur qui le maintient)
  • Relations (comment les composants dépendent les uns des autres)

Exemple en pratique : La violation Apache Struts (Equifax, 2017)

En 2017, un attaquant a exploité une vulnérabilité critique dans le framework Apache Struts (CVE-2017-5638), qui était utilisé dans les applications web d’Equifax (agence américaine multinationale de crédit à la consommation). Le correctif de cette vulnérabilité était disponible, mais Equifax n’a pas réussi à l’appliquer à temps.

En raison du manque de visibilité sur toutes les dépendances et bibliothèques à l’intérieur de leur application, la faille dans la bibliothèque Struts est passée inaperçue, ce qui a conduit à l’une des plus grandes violations de données de l’histoire, avec plus de 147 millions de données personnelles exposées.

Si un SBOM avait été en place, Equifax aurait pu rapidement :

  • Identifier que leurs applications utilisaient la version vulnérable d’Apache Struts
  • Prioriser l’application du correctif dès que la vulnérabilité a été divulguée
  • Réduire le temps dont les attaquants disposaient pour exploiter la faiblesse

Ce cas nous montre le rôle critique d’un SBOM pour maintenir la sécurité des composants logiciels, aidant les organisations à agir plus rapidement face aux vulnérabilités nouvellement divulguées

Termes associés

Prochaines étapes

Prêt à sécuriser vos applications ? Choisissez votre voie à suivre.

Commencer l'essai gratuit

Essayez Plexicus sans risque pendant 14 jours

Voir les tarifs

Tarification transparente pour les équipes de toutes tailles

Rejoindre la communauté

Rejoignez notre communauté mondiale

Lire la documentation

Lisez notre documentation complète

Rejoignez plus de 500 entreprises qui sécurisent déjà leurs applications avec Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready