Un partenariat stratégique noué avec Eracent permet à Sopra Steria d'anticiper les exigences réglementaires et de transformer la gestion des vulnérabilités en avantage concurrentiel.
Fin 2021, la vulnérabilité Log4j a exposé une majorité des logiciels mondiaux à une exploitation potentielle, révélant une question cruciale : que contient réellement votre logiciel ? Chez Sopra Steria, cette question a déclenché une série d’interrogations qui ont conduit à la mise en place d’une approche pionnière à grande échelle.
Il y a trois ans, l'entreprise s'est en effet associée au spécialiste américain Eracent pour déployer un système de gestion SBOM-HQ™ (Software Bill of Material) de niveau Enterprise : non pas comme mesure réactive, mais comme anticipation stratégique aux règlements européens comme plus tard au Cyber Resilience Act européen attendu pour décembre 2027.
« C'est contre-intuitif de dire qu'un logiciel vieillit », explique Alban Noguès, Directeur Technique pour le Groupe Sopra Steria. « Mais les composants logiciels (les librairies, les dépendances) vieillissent. Entre le moment où nous sortons un logiciel et aujourd'hui, des hackers ou les équipes de maintenance découvrent des vulnérabilités. C'est ça le vieillissement : devenir exposé à des risques exogènes. »
Du projet à l'entreprise : un défi d'échelle
Des outils SBOM open source existent, mais ils sont conçus pour des projets individuels, peu adaptés à des opérations à l'échelle de 51 000 collaborateurs répartis sur plusieurs pays et plusieurs milliers de projets informatiques. Le groupe Sopra Steria, en tant qu'éditeur et intégrateur, avait besoin de visibilité sur les logiciels qu'il développe (dont des références mondiales telles que HR Access, ou la suite Real Estate) et sur les logiciels tiers qu'il intègre.
« Ce que nous avons construit répond aux besoins depuis le niveau projet jusqu'à la gouvernance d'entreprise », souligne Alban Noguès. « Quand je représentais le dashboard de suivi chez une de nos grosses filiales logicielles, je pouvais présenter l'état complet d'exposition aux risques de l'ensemble de l'entreprise ».
Et pour accompagner le groupe, Eracent s'est imposé comme partenaire idéal grâce à IT-Pedia®, sa base de données propriétaire contenant plus de plus de 10 millions de composants logiciels et matériels référencés. Adossée à cela, l’entreprise a développé une capacité à appliquer aux logiciels open source la même rigueur qu’à leurs homologues commerciaux. Le partenariat inclut des points hebdomadaires et quatre releases annuelles intégrant les retours utilisateurs.
Le déploiement initial a pris six mois. Aujourd'hui, une entité moyenne peut être déployée en deux mois. Et la plateforme SBOM-HQ™ surveille actuellement en temps réel 1 500 actifs logiciels avec 75 utilisateurs sur nos entités logicielles, avec un pic à plus de 4 000 actifs en simultanés pour presque 500 utilisateurs.
Les résultats sont probants : durant les 18 premiers mois, Sopra Steria a éradiqué un nombre significatif des vulnérabilités critiques de son portefeuille logiciel. Mais l'impact va au-delà de la mitigation des risques à l’instant t. Cela permet d’avoir un historique de la couverture des risques dans le temps mais aussi d’anticiper plutôt que de subir les correctifs de vulnérabilités, ainsi que de « massifier » les actions correctives, c’est-à-dire de traiter une vulnérabilité au niveau d’un ensemble de composants plutôt qu’un composant après l’autre.
Cette capacité défensive s'accompagne d'un argument commercial offensif : « Quand vous montrez aux clients qu'ils utilisent une version de 15 ans avec des vulnérabilités documentées, alors que la version plus récente corrige tout, vous développez un argument pragmatique très puissant. »
Le CRA en ligne de mire
Le Cyber Resilience Act, prévu pour décembre 2027, exigera des correctifs gratuits pendant cinq ans avec des pénalités de 1 à 2,5% du CA annuel en cas de manquement. L'implémentation SBOM-HQ™ positionne donc Sopra Steria en avance de phase.
« Pour un groupe de notre taille, nous devons nous préparer maintenant », avertit l’expert. « Le CRA suit le même schéma que le RGPD : maitriser ses actifs et communiquer les failles rapidement est obligatoire. »
Au-delà de la conformité, la plateforme facilite la rationalisation du portefeuille. « Pour des logiciels mis en production sans montée de version depuis un certain temps », note Alban Noguès. « L'analyse SBOM a ouvert des conversations transparentes avec les clients sur les montées de version nécessaires. Et nos partenaires apprécient cette honnêteté. »
Trois enseignements clés
Le partenariat Sopra Steria-Eracent offre un modèle pour transformer la gestion des vulnérabilités :
Penser au niveau Enterprise : La sécurité logicielle nécessite une visibilité et une gouvernance à l'échelle corporate, pas seulement des solutions projet.
Privilégier le partenariat : La cocréation avec des fournisseurs apportant intelligence spécialisée et évolution continue est plus efficace que l'achat ponctuel d'outils.
Anticiper la réglementation : Se préparer aujourd'hui aux exigences futures crée des avantages concurrentiels en termes de risques réduits et de crédibilité renforcée.
« Le sujet n'est pas sexy », admet Noguès. « Mais une fois que vous comprenez comment cela transforme la gestion du cycle de vie logiciel, vous réalisez que ce n'est pas seulement une question de risques ou de pénalités. Il s’agit de construire la confiance qui sous-tend chaque transaction logicielle. »
À propos du partenariat
Sopra Steria a déployé la plateforme Eracent Cyber Security Management SBOM-HQ™ (module SBOM Manager) en mode SaaS en 2022. La solution s'appuie sur ITpedia (plus de 10 millions de composants référencés) et évolue via des releases trimestrielles informées par les retours de Sopra Steria et les exigences réglementaires émergentes.
Pour en savoir plus à propos d’Eracent et SBOM-HQ™ : SBOM-HQ | Analyze SBOMs for Security and Compliance