L'ENISA vient de publier son rapport SBOM State of Play 2026», basé sur une enquête menée auprès de 334 organisations (dont 65 % sont basées dans l'UE et 80 % sont directement concernées par la Cyber Resilience Act CRA)). Il s'agit du tableau le plus clair à ce jour de la situation du secteur en matière de transparence de la chaîne d'approvisionnement logicielle, et le constat est plus nuancé que de simplement dire que «tout le monde est partant».
Voici ce qui m'a marqué.
C'est l'ARC qui se charge du gros du travail
Sans surprise, la CRA est le principal moteur de SBOM . 43 % des organisations affirment que la CRA a considérablement accéléré leurs SBOM , tandis que 29 % font état d'une influence modérée. 78 % ont entamé leur SBOM , et 79 % prévoient d'atteindre le niveau de maturité requis d'ici à ce que la CRA soit pleinement applicable en décembre 2027.
Cela signifie qu'environ une entreprise sur cinq s'attend à ne pas respecter le délai, et que 12 % d'entre elles ne sont même pas en mesure d'estimer un délai.
La création de SBOM et leur utilisation sont deux choses différentes
La plupart des entreprises produisent désormais des SBOM. 39 % d'entre elles les génèrent au moment de la compilation, et 74 % ont au moins partiellement automatisé leur génération à chaque version. Mais leur utilisation reste à la traîne :
- 44 % font état d'un écart modéré entre la création des SBOM et leur utilisation effective, et 23 % signalent un écart important. Seuls 7 % ont comblé cet écart.
- 20 % des personnes interrogées ne savent pas si les SBOM sont utilisées au sein de leur organisation, ni comment elles le sont.
- L'ENISA en conclut que les SBOM sont utilisées « principalement à des fins de conformité » plutôt que pour assurer une sécurité active.
Une SBOM inutilisée dans un registre d'artefacts n'est qu'une simple formalité administrative. Les SBOM n'apportent de la valeur ajoutée que lorsqu'elles alimentent la gestion des vulnérabilités et des licences. C'est là que les équipes rencontrent des difficultés. 58 % considèrent la mise en correspondance des vulnérabilités (alignement CPE/PURL, faux positifs) comme un défi majeur, et 60 % signalent des problèmes de qualité des données, tels que des composants ou des identifiants incomplets.
Les fournisseurs n'envoient pas de SBOM
La plupart des entreprises ne reçoivent pas de SBOM de la part de leurs fournisseurs, car la plupart de ces derniers ne leur en envoient pas.
- 39 % des entreprises ne reçoivent jamais de SBOM pour les logiciels commerciaux qu'elles achètent. 39 % d'entre elles n'en reçoivent que rarement. Seules 2 % en reçoivent systématiquement.
- Seuls 10 % ont intégré SBOM obligatoires SBOM la liste des composants logiciels ( SBOM dans leurs contrats avec les fournisseurs (même si 55 % y travaillent actuellement).
- 45 % déclarent que moins d'un quart de leurs fournisseurs répondent à leurs SBOM .
- L'exhaustivité (27 %), la précision des identifiants (17 %) et les références aux vulnérabilités (12 %) constituent les principales lacunes en matière de qualité.
La profondeur aggrave le problème de qualité. 36 % des entreprises ont besoin de SBOM couvrant tous les composants principaux et toutes les dépendances directes, mais seules 29 % en disposent. Pour les SBOM exhaustives, l'écart est de 24 % (besoins) contre 14 % (réalités). Et 45 % ne savent même pas quel niveau de détail leur est fourni.
Étant donné que la plupart des vulnérabilités réelles se cachent dans les dépendances transitives, cela limite directement l'efficacité en matière de sécurité de tout SBOM .
Ce que les données révèlent également
Le rapport met en lumière quelques conclusions supplémentaires qui montrent qu'un secteur qui comprend le problème peine toutefois à passer à l'action.
Qu'est-ce qui fait obstacle ?
- Les inquiétudes l'emportent sur les investissements. Plus de 90 % des entreprises s'inquiètent de la sécurité de leur chaîne d'approvisionnement, mais seules 34 % y consacrent des ressources importantes. Le manque de compétences aggrave le problème, 57 % d'entre elles citant le manque de compétences ou de personnel comme un obstacle.
- Le principal obstacle réside dans l'exhaustivité. 62 % des personnes interrogées estiment qu'il est assez difficile, voire extrêmement difficile, d'atteindre un haut niveau SBOM .
- La guerre des formats n'est pas terminée. CycloneDX devance SPDX (44 % contre 29 %), mais 28 % des utilisateurs recourent encore à des formats propriétaires ou non standard. Cela représente un risque direct en matière de conformité, car la CRA exige un format couramment utilisé et lisible par machine, et les directives du BSI allemand prévoient explicitement l'utilisation de CycloneDX 1.6+ ou SPDX 3.0.1+.
Qui est en tête et quelle est la suite ?
- Les petites entreprises ont discrètement pris une longueur d'avance. Entre 23 et 25 % des micro-entreprises et des petites entreprises déclarent SBOM mûre et automatisée SBOM , contre seulement 4 à 6 % des moyennes et grandes entreprises. Parallèlement, 36 % des grandes entreprises considèrent les SBOM comme une « charge obligatoire ».
- Le marché souhaite disposer d'une implémentation de référence ( ) comprenant des pipelines prêts à l'emploi (26 %), des tests de performance des outils et un guide d'achat (22 %), des tests de conformité (18 %), ainsi qu'un profil décrivant ce à quoi SBOM une SBOM « suffisamment satisfaisante » (31 %).
Concrètement, cela signifie
Les données de l'ENISA indiquent que l'exploitation constituera le principal défi de l'année 2026. Cela implique une génération automatisée à chaque version, des mises à jour continues tout au long de la période de support du produit, des processus de gestion des vulnérabilités réellement liés aux SBOM , ainsi qu'une visibilité sur ce que vos fournisseurs vous livrent. C'est là que l'enquête met en évidence les lacunes les plus importantes, et c'est sur ces points que l'Autorité de régulation des marchés (CRA) exercera la plus forte pression.
Comment Aikido vous Aikido y parvenir
C'est là Aikido entre en jeu : la société va au-delà de la simple conformité en matière de transparence de la chaîne d'approvisionnement pour s'intégrer à vos processus de gestion des vulnérabilités et des licences.
SBOM en un clic, au format approprié
En un seul clic, Aikido des SBOM pour vos référentiels aux formats CycloneDX et SPDX, les deux formats recommandés par les directives de la CRA et du BSI. Cela permet de répondre aux besoins des 28 % d'organisations qui utilisent encore des formats propriétaires et de satisfaire à l'obligation de fournir un « contenu minimal sous forme lisible par machine » ; les fichiers exportés sont prêts à être intégrés à votre documentation technique si une autorité de surveillance du marché vous les demande.
SBOM , y compris les SBOM déclarés par les utilisateurs eux-mêmes
La génération de votre propre SBOM couvre SBOM le code que vous écrivez. Aikido vous permet Aikido d'importer les SBOM que vous recevez de vos fournisseurs (SBOM auto-déclarées), afin que les composants tiers soient intégrés au même système de surveillance des vulnérabilités que vos propres dépendances. Étant donné que 39 % des organisations ne reçoivent jamais de SBOM de la part de leurs fournisseurs et que la plupart de celles qui en reçoivent ne peuvent pas en tirer parti, disposer d'un espace où les SBOM des fournisseurs sont transformées en inventaire surveillé, et continuellement comparées aux vulnérabilités connues, comble le fossé de consommation décrit par l'ENISA.
Protection Aikido : une visibilité là où les SBOM ne suffisent pas
Les SBOM décrivent le contenu de vos produits. Mais votre surface d'attaque inclut également les machines qui développent et compilent ces logiciels. Le déploiement Aikido Protection sur les serveurs de compilation et les postes de travail des développeurs étend cette même approche d'inventaire et de gestion des vulnérabilités à votre environnement de développement, en identifiant les outils, les environnements d'exécution et les paquets installés, ceux qui sont obsolètes ou vulnérables, et en vérifiant si l'environnement produisant vos versions « fiables » est lui-même digne de confiance. attaques de la chaîne d’approvisionnement les pipelines d’intégration continue et les postes de travail des développeurs plutôt que le code lui-même, cela comble une lacune qu’aucune SBOM jamais vous révéler.
Ensemble, ces trois fonctionnalités vous permettent de savoir ce que vous expédiez, ce que vous consommez et dans quel environnement tout cela est fabriqué. Elles fonctionnent en continu, sans ajouter un nouveau tableau de bord que votre équipe ignorera. C'est ça, la sécurité de la chaîne d'approvisionnement : bien plus qu'une simple case à cocher pour la conformité.
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"inLanguage": "en",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb"
},
"mainEntity": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article"
},
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "TechArticle",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "SBOMs in 2026: Everyone's generating them, no one's using them",
"item": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
}
]
},
{
"@type": "TechArticle",
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using#article",
"mainEntityOfPage": {
"@id": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using"
},
"headline": "SBOMs in 2026: Everyone's generating them, no one's using them",
"description": "ENISA's 2026 SBOM Adoption State of Play surveyed 334 organisations and found a consistent gap between generating SBOMs and actually using them. Here is what the data shows and what it means for CRA compliance.",
"datePublished": "2026-06-10T00:00:00Z",
"dateModified": "2026-06-10T00:00:00Z",
"timeRequired": "PT7M",
"inLanguage": "en",
"url": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"canonicalUrl": "https://www.aikido.dev/blog/sboms-in-2026-everyone-generating-no-one-using",
"author": {
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person"
},
"publisher": {
"@id": "https://www.aikido.dev#organization"
},
"image": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/images/blog/sboms-in-2026-cover.png",
"width": 1200,
"height": 630,
"alt": "SBOMs in 2026: Everyone's generating them, no one's using them — Aikido Security"
},
"keywords": [
"SBOM",
"Software Bill of Materials",
"Cyber Resilience Act",
"CRA compliance",
"software supply chain security",
"ENISA",
"CycloneDX",
"SPDX",
"SBOM adoption",
"vulnerability management",
"supply chain transparency",
"open source security",
"SCA",
"dependency scanning",
"Aikido Security",
"SBOM generation",
"SBOM consumption",
"transitive dependencies",
"BSI guidelines",
"EU cybersecurity"
],
"about": [
{
"@type": "DefinedTerm",
"name": "Software Bill of Materials (SBOM)",
"description": "A structured list of all components, libraries, and dependencies included in a software product, used for supply chain transparency and vulnerability management."
},
{
"@type": "DefinedTerm",
"name": "Cyber Resilience Act (CRA)",
"description": "EU regulation requiring manufacturers of products with digital elements to ensure cybersecurity throughout the product lifecycle, including SBOM requirements, fully applicable December 2027."
},
{
"@type": "DefinedTerm",
"name": "CycloneDX",
"description": "An OWASP-maintained SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 1.6 or higher."
},
{
"@type": "DefinedTerm",
"name": "SPDX",
"description": "A Linux Foundation SBOM standard and machine-readable format, explicitly expected by Germany's BSI guideline at version 3.0.1 or higher."
}
],
"mentions": [
{
"@type": "Organization",
"name": "ENISA",
"url": "https://www.enisa.europa.eu",
"description": "European Union Agency for Cybersecurity, publisher of the SBOM Adoption State of Play 2026 report."
},
{
"@type": "Organization",
"name": "BSI",
"url": "https://www.bsi.bund.de",
"description": "Germany's Federal Office for Information Security, which has published SBOM format guidance explicitly requiring CycloneDX 1.6+ or SPDX 3.0.1+."
},
{
"@type": "SoftwareApplication",
"name": "Aikido Device Protection",
"url": "https://www.aikido.dev/protect/device-protection",
"applicationCategory": "SecurityApplication",
"operatingSystem": "Cross-platform",
"description": "Aikido Security's endpoint protection for developer devices and build servers, extending inventory and vulnerability monitoring beyond what SBOMs cover."
},
{
"@type": "SoftwareApplication",
"name": "Aikido SBOM Generator",
"url": "https://www.aikido.dev/use-cases/sbom-generator-create-software-bill-of-materials",
"applicationCategory": "SecurityApplication",
"description": "One-click SBOM generation in CycloneDX and SPDX formats for software repositories, supporting CRA and BSI compliance requirements."
}
],
"citation": [
{
"@type": "CreativeWork",
"name": "SBOM Adoption State of Play 2026",
"author": {
"@type": "Organization",
"name": "ENISA"
},
"url": "https://www.enisa.europa.eu"
}
],
"articleSection": [
"The CRA is doing the heavy lifting",
"Generating SBOMs and using them are two different things",
"Suppliers aren't sending SBOMs",
"What the data also shows",
"What this means in practice",
"How Aikido helps you get there"
],
"proficiencyLevel": "Intermediate"
},
{
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson#person",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@id": "https://www.aikido.dev#organization"
},
"url": "https://www.aikido.dev/authors/nicholas-thomson",
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png",
"width": 200,
"height": 60,
"alt": "Aikido Security logo"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://twitter.com/aikido_security",
"https://github.com/aikido-security"
]
}
]
}
</script>
