SBOM for AI : le G7 et l'ANSSI fixent le passeport de traçabilité que les DPO et RSSI doivent désormais exiger

Le groupe de travail cybersécurité du G7, piloté par le BSI allemand en concertation avec l'ANSSI, a publié le 27 mai 2026 « SBOM for AI – Minimum Elements », un référentiel qui structure en sept clusters tout ce qu'un fournisseur d'IA doit désormais documenter sur ses modèles, ses données d'entraînement et son infrastructure. Présenté comme volontaire, ce cadre va vite devenir le standard de marché — et la grille de lecture des appels d'offres dès 2026.

Ce qui s'est passé

Le groupe de travail cybersécurité du G7, sous la houlette du Bundesamt für Sicherheit in der Informationstechnik (BSI) allemand et en concertation avec l'ANSSI en France, a publié le document Software Bill of Materials (SBOM) for Artificial Intelligence – Minimum Elements. Le texte transpose au monde plus opaque des systèmes d'IA la logique du SBOM classique, déjà connue des RSSI pour cartographier les dépendances logicielles. L'objectif assumé : lever l'opacité de la supply chain algorithmique, qu'il s'agisse de grands modèles de langage, de systèmes RAG ou d'agents autonomes.

Le référentiel structure les exigences minimales en sept catégories à fournir dans un format lisible par machine :

• Métadonnées : auteur du SBOM, version, outils utilisés, horodatage, signature numérique globale.
• Propriétés au niveau système : architecture globale, flux de données internes, interactions entre modules.
• Modèles : nom, version, architecture (Transformer, etc.) et surtout hash cryptographique des poids — la condition pour vérifier qu'un modèle n'a pas été modifié entre Hugging Face et la production.
• Datasets : provenance, composition, présence de données personnelles (PII), licences d'entraînement, de fine-tuning et de validation.
• Infrastructure : frameworks (PyTorch, bibliothèques d'optimisation), passerelle vers le HBOM matériel (GPU, TPU).
• Propriétés de sécurité : filtres d'entrée/sortie, chiffrement au repos, protections contre les prompt injections.
• KPI : précision, robustesse initiale, protocoles de monitoring du data drift en production.

Pourquoi c'est important

La nomenclature ressemble à une simple liste, mais elle est juridiquement explosive. Le SBOM classique tracé jusqu'au composant logiciel reste aveugle aux risques propres à l'IA : empoisonnement des données d'entraînement, exfiltration via prompt, altération des poids lors du transfert depuis une plateforme publique. Or ces risques tombent directement sous l'article 32 du RGPD, qui exige des mesures « adaptées au risque », et sous le Cyber Resilience Act, dont les obligations pleines de security by design entrent en vigueur le 11 décembre 2027 — sujet déjà décortiqué par l'ENISA et le NCSC à ESET World 2026.

Le SBOM for AI vient surtout combler une faille bien identifiée par la doctrine 2026 : la responsabilité du responsable de traitement sur ses sous-traitants, dont les LLM tiers, qui s'étend désormais à la traçabilité des modèles eux-mêmes. C'est l'angle exact pris par le Future of Privacy Forum dans son analyse d'avril, et celui que notre méthode d'audit IA des sous-traitants formalise en pratique opérationnelle.

Ce que ça change pour les organisations

Le document est, sur le papier, volontaire. En pratique, l'adoption par les agences étatiques du G7 et l'ANSSI en fait le futur standard de fait. Trois conséquences concrètes :

1. Gouvernance des risques tiers : un SBOM for AI certifié va devenir une pièce contractuelle exigée dans tout appel d'offres intégrant de l'IA. Les DPA (Data Processing Agreements) devront être révisés pour intégrer cette obligation documentaire, au même titre que les preuves de chiffrement et de localisation des données.
2. Automatisation des audits : à court terme, les scanners de vulnérabilités ingéreront ces fichiers (via les extensions SPDX ou CycloneDX) pour générer des alertes équivalentes aux CVE logicielles classiques — mais portant cette fois sur des failles modèles.
3. Anticipation réglementaire : le SBOM for AI fournit une grille pour préparer les obligations de transparence de l'AI Act et du CRA, ce qui réduit le coût de mise en conformité au moment du contrôle. Pour mémoire, les systèmes haut risque de l'annexe III bénéficient d'un report partiel à décembre 2027 dans le cadre de l'omnibus numérique — mais l'enregistrement et la documentation, eux, restent sans dérogation.

Concrètement, pour un DPO ou un RSSI, trois actions à inscrire au backlog 2026 :

• intégrer une clause « SBOM for AI conforme aux minimum elements G7/BSI » dans tous les contrats fournisseurs IA en renouvellement ;
• exiger systématiquement le hash cryptographique des poids du modèle déployé, et le vérifier à chaque mise à jour ;
• coupler la cartographie SBOM avec NIS 2 pour aligner contrôles cybersécurité et conformité IA dans une même cartographie de risque.

Ce que Leto pense de cette décision

Bonne nouvelle pour les DPO : enfin un référentiel qui parle le langage des fournisseurs, et pas seulement celui des autorités. Mauvaise nouvelle : sans contrainte juridique directe, ce sont les acheteurs qui devront porter l'effort. Les organisations qui exigeront un SBOM for AI dès leurs prochains renouvellements de contrat prendront deux ans d'avance sur le CRA et l'AI Act. Les autres apprendront à le faire au moment du contrôle — c'est-à-dire trop tard. Et il faut le redire : un SBOM reste un instantané. Il ne dispense pas d'auditer dynamiquement les sous-traitants en production, ni de tester la résistance des modèles aux attaques comportementales.

Sources : Silicon.fr – Le G7 numérique lance le standard « SBOM for AI »