La résilience numérique est en haut de l'agenda européen. Avec le Cyber Resilience Act (CRA) et la mise en œuvre de la directive NIS2, l'accent se déplace clairement vers une gestion démontrable des risques logiciels. Les organisations doivent non seulement développer et exploiter des logiciels en sécurité, mais aussi pouvoir justifier des composants utilisés, du suivi des vulnérabilités et de la rapidité d'application des mises à jour.
C'est pourquoi nous introduisons dans 2LRN4 une nouvelle fonctionnalité d'administration : la Software Bill of Materials (SBOM).
Elle est directement disponible via le menu d'administration et est mise à jour automatiquement après chaque mise à jour de la plateforme.
Qu'est-ce qu'une SBOM ?
Une Software Bill of Materials est comparable à une liste d'ingrédients pour logiciel. Tout comme la composition des aliments doit être transparente, une SBOM apporte de la transparence sur les bibliothèques open source, frameworks, paquets externes, versions et dépendances. Dans les SaaS modernes, une grande part du logiciel se compose de briques réutilisables — efficace et innovant, mais avec des dépendances. Lorsqu'une vulnérabilité est découverte dans une bibliothèque très utilisée, les organisations doivent pouvoir répondre vite :
- Utilisons-nous ce composant ?
- Dans quelle version ?
- Est-il déjà patché ?
- Quel est le risque pour nos services ?
- Une SBOM à jour fournit la réponse immédiatement.
Pourquoi est-ce important au regard du CRA ?
Le Cyber Resilience Act impose des exigences plus strictes aux fabricants de produits numériques et de logiciels. Les fournisseurs doivent notamment :
- établir des processus de développement sécurisés démontrables
- surveiller activement les vulnérabilités
- fournir des mises à jour à temps
- être transparents sur les composants utilisés
La SBOM est un outil essentiel à cet égard. Elle vérifie qu'en tant que fournisseurs, nous avons une visibilité sur notre chaîne logicielle et travaillons systématiquement la gestion des vulnérabilités. Pour 2LRN4, cela signifie que nous visons non seulement la conformité, mais aussi ce que le marché attend d'une plateforme sécurité : une transparence maximale sur notre architecture logicielle.
Lien avec NIS2/Cbw
- NIS2 / loi Cybersécurité met l'accent sur :
- une sécurité basée sur le risque
- la sécurité de la chaîne d'approvisionnement
- une gouvernance démontrable
- la responsabilité du management
Pour nos clients soumis à un devoir de diligence renforcé, cela signifie évaluer plus rigoureusement les fournisseurs sur la sécurité logicielle et les risques de chaîne.
Avec la SBOM intégrée à 2LRN4, les administrateurs peuvent :
- obtenir une visibilité directe sur les composants utilisés
- justifier le suivi des vulnérabilités
- démontrer que les mises à jour ont été appliquées
- répondre plus vite aux questions des auditeurs
Cela soutient les équipes techniques mais aussi les RSSI, risk officers et dirigeants responsables.
Mise à jour automatique après chaque update
La SBOM dans 2LRN4 est générée et mise à jour automatiquement après chaque release.
Cela signifie :
- aucune administration manuelle
- pas d'aperçus obsolètes
- information de composants toujours à jour
- connexion directe à notre processus de patch et de mise à jour
Cette automatisation est cruciale. Une SBOM statique perd vite sa valeur. En la couplant dynamiquement à notre processus de release, l'information reste fiable et actuelle.
Pourquoi c'est important pour 2LRN4
- En tant que plateforme de sensibilisation à la sécurité, nous sommes responsables de la résilience numérique de nos clients. Notre développement doit donc suivre les mêmes principes que nous recommandons :
- security by design
- privacy by design
- transparence
- contrôle démontrable
Avec la SBOM, nous démontrons que nous prenons notre chaîne au sérieux. C'est un pas concret vers la conformité structurelle aux règles européennes et cela renforce la confiance sur le marché. Cela soutient aussi notre ambition de positionner 2LRN4 comme une plateforme SaaS mature et durable, conforme à la gouvernance ISO, NIS2 et CRA.
Pourquoi c'est important pour nos clients
Pour nos clients, la SBOM signifie :
1. Moins de pression d'audit
Aux questions sur les composants utilisés, on peut renvoyer directement à la SBOM courante.
2. Analyse de risque plus rapide
Lors de la publication d'une nouvelle vulnérabilité, on identifie vite si elle est pertinente.
3. Soutien à la conformité
La SBOM aide à démontrer la maîtrise des fournisseurs dans NIS2, ISO 27001 ou les cadres de risque internes.
4. Confiance renforcée
La transparence augmente la confiance entre fournisseur et client. Pas besoin de croire sur parole : on peut vérifier.
La SBOM comme partie de la souveraineté numérique
La résilience numérique ne concerne pas que la technique : elle concerne le contrôle. Voir les composants logiciels, c'est voir les dépendances. Essentiel à l'heure où les attaques de chaîne se multiplient et où la régulation européenne met l'autonomie numérique en avant.
Avec l'introduction de la SBOM, nous franchissons une nouvelle étape pour renforcer ce contrôle.
La Software Bill of Materials dans 2LRN4 est plus qu'un ajout technique au menu d'administration. C'est un pas stratégique vers :
- la conformité européenne (CRA et NIS2/Cbw)
- une sécurité de chaîne démontrable
- un développement transparent
- une confiance renforcée dans nos services
Dans une période où réglementation et menaces augmentent simultanément, nous estimons que la transparence n'est plus une option mais une exigence de base. Avec la SBOM, nous la rendons concrète — automatique, à jour et disponible pour chaque administrateur.