Exercer la diligence requise à l'égard des composants logiciels (SBOM et chaîne d'approvisionnement)
- S'applique à
- Manufacturer
- Citations sources
- Art. 13(5)Annex I Part I §2Annex VII
- Classes de produits
- DefaultImportant — Class IImportant — Class IICritical
Langage clair
Si le produit utilise du code que le fabricant n'a pas écrit lui-même — bibliothèques open source ou SDK de fournisseurs — la responsabilité de sa sécurité lui incombe tout de même. Il convient d'établir la liste de tous les composants utilisés. Cette liste s'appelle un SBOM. Chaque composant doit être vérifié pour détecter les vulnérabilités connues avant la mise sur le marché, et la liste doit être tenue à jour.
Texte juridique
L'article 13(5) du règlement (UE) 2024/2847 dispose que les fabricants veillent à ce que, dans les cas où un composant logiciel incorporé dans un produit comportant des éléments numériques n'est pas développé par ce fabricant, celui-ci soit en mesure de remplir ses obligations au titre du présent règlement en ce qui concerne ce composant logiciel.
Cette obligation est renforcée par l'Annexe I Partie I §2, qui exige des fabricants qu'ils identifient et documentent les composants, et qu'ils traitent les vulnérabilités dans les composants tiers sans délai injustifié.
L'Annexe VII exige expressément que la documentation technique contienne un SBOM — un inventaire lisible par machine de tous les composants logiciels.
Exigences clés
- SBOM — établir et maintenir une nomenclature des composants logiciels dans un format reconnu (CycloneDX ou SPDX sont les formats standard conformes aux orientations de l'ENISA)
- Vérification des composants — examiner les composants tiers pour détecter les vulnérabilités connues avant leur inclusion
- Surveillance CVE/EUVD — surveiller en continu les composants pour les vulnérabilités nouvellement divulguées pendant toute la durée de support
- Transmission contractuelle — lorsqu'un fournisseur de composants est lui-même un fabricant de produit comportant des éléments numériques, s'assurer que les informations relatives à la gestion des vulnérabilités remontent jusqu'au fabricant
- Aucun composant vulnérable connu — ne pas commercialiser un produit contenant des composants présentant des vulnérabilités exploitables connues (voir également OBL-ART13-06 sur les vérifications au moment de la livraison)
Contenu minimal du SBOM
Conformément aux orientations de l'ENISA et à l'Annexe VII du CRA, le SBOM doit contenir :
- Nom du composant et fournisseur
- Identifiant de version
- Empreinte du composant (pour la vérification d'intégrité)
- Relations de dépendance
- Licence connue
Preuves éventuellement requises
- SBOM au format CycloneDX ou SPDX, géré en configuration
- Résultats d'analyses par composition logicielle (SCA)
- Enregistrements des évaluations de vulnérabilités des composants
- Dispositions contractuelles avec les fournisseurs de composants couvrant la divulgation des vulnérabilités
- Enregistrements de surveillance des CVE et historique des correctifs et mises à jour des composants tiers