L’américain Keysight Technologies, en collaboration avec le canadien Cybeats, un spécialiste en cybersécurité, lance avec SBOM Manager, un logiciel de gestion, au sens large du terme, de la nomenclature des logiciels intégrés dans un produit. Objectif affiché : permettre aux entreprises de mieux respecter leurs obligations réglementaires au niveau de la cybersécurité avec une précision, une confiance et une cohérence accrues tout au long du cycle de vie du produit.

Concrètement, Keysight va désormais intégrer et commercialiser les solutions SBOM Studio et SBOM Consumer de Cybeats sous sa plateforme SBOM Manager. La solution qui en résulte se présente comme une approche unifiée de génération, de gestion et d'utilisation des nomenclatures logicielles (SBOM, Software Bill of Materials) pour les produits numériques (*).

L’idée est de simplifier la génération de nomenclatures logicielles, l'analyse des vulnérabilités et le partage sécurisé des données afin notamment de garantir la conformité à la loi européenne sur la cyber-résilience (CRA, Cyber Resilience Act) et plus largement aux exigences internationales en matière de cybersécurité.

Cette association réunit la gestion du cycle de vie des SBOM et des vulnérabilités de Cybeats avec l'expertise de Keysight en analyse binaire, génération de SBOM, validation et assurance de la sécurité.

Keysight indique à ce niveau qu’à l'échelle mondiale, les réglementations en matière de cybersécurité convergent vers une exigence commune : les fabricants doivent comprendre, gérer et divulguer les composants de leurs produits numériques, notamment les logiciels et les microprogrammes.

Ainsi, des réglementations telles que le CRA de l’Union Européenne, le décret présidentiel américain 14028, les exigences de cybersécurité de la FDA pour les dispositifs médicaux et les cadres émergents en Asie font des SBOM une condition essentielle à l'accès au marché, à l'approbation réglementaire et à la confiance des utilisateurs.

On rappellera ici que le règlement européen relatif aux risques de cybersécurité (CRA) qui entrera en vigueur en 2026, impose aux fabricants de produits numériques connectés de mettre en œuvre une gestion des risques de cybersécurité, de tenir à jour leurs SBOM et de signaler les vulnérabilités exploitées qui doivent être identifiées sous 24 heures. Le non-respect de ces exigences peut entraîner des sanctions, des retards d'approbation, des rappels de produits ou des restrictions d'accès au marché.

En centralisant la génération précise des SBOM pour les produits numériques, la veille continue sur les vulnérabilités, le partage sécurisé, l'assurance qualité des données, la priorisation et la visibilité côté utilisateur sur une plateforme unique, Keysight estilme pouvoir aider les organisations à réduire les risques réglementaires, à améliorer leur réactivité face aux vulnérabilités et à renforcer la confiance au sein des chaînes d'approvisionnement numériques mondiales.

Concrètement, la solution procure une visibilité large et précise sur les produits numériques en analysant les logiciels binaires, les microprogrammes, les conteneurs et autres composants intégrés, y compris les dépendances propriétaires profondément intégrées.

Elle met en corrélation en continu les SBOM avec de multiples sources de vulnérabilités faisant autorité, filtre “intelligemment” les vulnérabilités non pertinentes et prend en charge l'utilisation du format standardisé VEX (Vulnerability Exploitability eXchange) qui indique si une vulnérabilité détectée est une source de problème ou non dans un produit.

SBOM Manger assure en outre la gestion de la composition logicielle et indique dans le même temps les risques liés à la chaîne d'approvisionnement.

Les équipes de développement peuvent ainsi se concentrer, selon Keysight, sur les risques significatifs plutôt que d'être submergées par des données brutes de vulnérabilités.

Au-delà, SBOM Manager favorise un partage sécurisé et évolutif des SBOM et des informations de vulnérabilité grâce à un contrôle d'accès fondé sur les "rôles" et à un suivi des versions, aidant ainsi les entreprises à répondre aux exigences de transparence réglementaires.

La validation et la normalisation intégrées à l’outil garantissent ainsi la conformité des SBOM aux normes en constante évolution et aux exigences réglementaires minimales, tandis que la prise en charge des “consommateurs” de SBOM permet aux organisations d'ingérer, de gérer et de “mapper” les SBOM aux actifs numériques déployés, reliant ainsi la transparence directement aux environnements opérationnels réels.

«  Alors que les entreprises innovent au rythme des avancées de l’IA, elles doivent également renforcer leur gouvernance et leurs contrôles, d’autant plus que les produits modernes reposent de plus en plus sur l’open source, les composants tiers et le développement assisté par l’IA, commente Dmitry Raidman, Co-fondateur et CTO de la société CyBeats. La transparence et la responsabilité de la chaîne d’approvisionnement sont désormais primordiales. Pour se conformer aux réglementations mondiales croissantes, les organisations doivent donc être en mesure de générer en continu des nomenclatures de sécurité fiables (SBOM), de les corréler avec des informations exploitables sur les vulnérabilités, d’appliquer VEX pour réduire le bruit et d’automatiser les flux de travail de réponse à grande échelle. »

(*) Une SBOM est une liste exhaustive qui répertorie tous les composants logiciels, leurs dépendances et les métadonnées associées qui participent au fonctionnement d’un produit numérique