The G7 cybersecurity working group, led by Germany’s BSI and in concert with France’s ANSSI, has published a “Software Bill of Materials for Artificial Intelligence – Minimum Elements” to bring traceability to AI systems and pierce the opacity of the algorithmic supply chain. While traditional SBOMs are becoming familiar to CIOs, AI introduces unique risks: a classic SBOM logs software dependencies but cannot detect poisoned training data, model weight tampering, prompt injection vulnerabilities, or data exfiltration risks—flaws hidden inside large language models or RAG architectures rather than code.

The framework demands machine-readable documentation across seven categories, forming a technical passport for any AI system:

• Metadata: authorship, version, tooling, timestamp, and a digital signature to guarantee integrity.
• System-level properties: overall architecture, data flows, intended domain, and interactions between agents and vector databases.
• Models: name, version, architecture (e.g., Transformer), and a cryptographic hash of weights to verify that deployed models haven’t been altered after download from platforms like Hugging Face.
• Dataset properties: provenance, composition, presence of PII, and licensing for training, fine-tuning, and validation data—shielding enterprises from copyright liability.
• Infrastructure: execution frameworks (PyTorch) and, bridging to Hardware Bill of Materials, required hardware (GPU, TPU) for low-level security auditing.
• Security properties: built-in countermeasures such as input/output filters, encryption at rest, and prompt injection defenses.
• KPIs: initial accuracy, robustness metrics, and monitoring protocols for model drift in production.

Though presented as voluntary recommendations, endorsement by G7 agencies and ANSSI positions this as a de facto market standard. For CISOs and CIOs, the impact is threefold: third-party risk governance will soon demand certified SBOMs for AI in procurement; the machine-readable format (extending SPDX or CycloneDX) will let vulnerability scanners automatically flag model-level flaws, much like CVEs; and the document provides a technical blueprint to comply with the European AI Act and Cyber Resilience Act’s transparency mandates.

Limitations remain: an SBOM is a static inventory and cannot guarantee resilience against dynamic behavioral attacks. Experts stress pairing it with active security audits and threat frameworks like MITRE ATLAS or the OWASP Top 10 for LLMs. The era of enterprise AI as a “black box” is ending—vendors and model providers must now build in transparency.

Le groupe de travail sur la cybersécurité du G7, sous la houlette de l’office fédéral allemand de la sécurité des technologies de l’information (BSI) et en concertation avec l’ANSSI en France, vient de publier   » Software Bill of Materials (SBOM) for Artificial Intelligence – Minimum Elements « .

Ce document pose les bases de la traçabilité des systèmes d’IA avec un objectif : lever l’opacité de la supply chain algorithmique.

Alors que les DSI s’habituent à peine au SBOM classique, l’IA bouscule les règles. Un grand modèle de langage (LLM) ou un système RAG ne réagit pas comme du code ordinaire. Ici, les risques ne sont plus seulement logiques mais se cachent dans les poids du modèle, les biais des données d’entraînement ou la sensibilité aux injections de prompts.

Pour un RSSI, savoir qu’une application utilise une version spécifique de Python ou de TensorFlow est nécessaire, mais insuffisant. Si le modèle d’IA sous-jacent a été entraîné avec des données empoisonnées (data poisoning), s’il est sujet à l’exfiltration de données sensibles ou si ses poids numériques ont été altérés lors de son transfert depuis une plateforme publique comme Hugging Face, le SBOM classique reste aveugle..

Avec le SBOM for AI, l’objectif ne se limite plus à inventorier des lignes de code. Il s’agit désormais de tracer l’ensemble du cycle de vie d’un système d’intelligence artificielle (des données d’entraînement jusqu’au modèle déployé) afin de sécuriser la chaîne d’approvisionnement numérique.

Les 7 « clusters » techniques : ce que doit contenir le passeport d’une IA

Le référentiel structure les exigences minimales en 7 grandes catégories d’informations. Pour être pleinement exploitable par les outils de cartographie automatisés du marché, l’ensemble de ces données doit être généré dans un format lisible par machine (machine-readable).

> Les Métadonnées (Metadata)

C’est la carte d’identité du document lui-même : auteur du SBOM, version, outils de génération utilisés, horodatage précis (timestamp) et surtout une signature numérique globale. Cette signature garantit l’intégrité de la nomenclature tout au long de sa distribution.

> Les Propriétés au Niveau Système (System Level Properties)

Une IA moderne est rarement un modèle isolé ; elle s’intègre dans un écosystème d’agents et de bases de données vectorielles. Ce cluster exige de documenter l’architecture globale, les flux de données internes, le domaine d’application prévu et les interactions entre les différents modules.

> Les Modèles

C’est le cœur du réacteur. Le fournisseur doit renseigner le nom, la version et l’architecture du modèle (ex. Transformer). Surtout, le guide impose la présence d’un hash cryptographique des poids (weights). Sans ce hash, impossible pour une entreprise de vérifier que le modèle déployé sur ses serveurs n’a pas été discrètement modifié ou corrompu.

> Les propriétés des ensembles de données (Dataset Properties)

Le framework exige une transparence stricte sur les données ayant servi à l’entraînement, au réglage fin (fine-tuning) et à la validation. Il documente la provenance des données, leur composition, la présence éventuelle de données personnelles (PII) et les types de licences associées, protégeant ainsi l’entreprise des risques juridiques liés au droit d’auteur.

> L’infrastructure

Ce volet liste l’environnement d’exécution de l’IA (frameworks comme PyTorch, bibliothèques d’optimisation). Fait notable : le document jette un pont vers le HBOM (Hardware Bill of Materials) en demandant la spécification des architectures matérielles requises (GPU, TPU), indispensables pour auditer la sécurité des couches basses.

> Les propriétés de Sscurité (Security Properties)

Le fournisseur doit déclarer les contre-mesures cyber nativement intégrées : présence de filtres d’entrée/sortie, protocoles de chiffrement des données au repos et mécanismes de protection spécifiques contre les prompt injections.

> Les indicateurs clés de performance (KPI)

Enfin, le passeport inclut les métriques d’évaluation initiales (précision, robustesse) ainsi que les protocoles prévus pour monitorer la dérive des modèles (data drift) en production.

Quel impact pour les DSI et les RSSI ?

Bien que ce guide soit présenté comme un recueil de recommandations volontaires, son adoption par les agences étatiques du G7 et l’ANSSI en fait le futur standard de fait du marché.

Pour les directions informatiques, l’impact sera multiple. D’abord sur la gouvernance des risques tiers. A l’image des exigences de conformité actuelles, les DSI devraient rapidement imposer la fourniture d’un SBOM for AI certifié dans leurs appels d’offres dès lors qu’un outil intègre de l’intelligence artificielle.

Le cadre doit aussi faciliter l’automatisation des audits de sécurité. À court terme, l’objectif est de permettre aux scanners de vulnérabilités d’ingérer ces fichiers (notamment via des extensions des formats SPDX ou CycloneDX ) afin de générer des alertes automatiques lorsqu’une faille est détectée sur un modèle d’IA. A l’image des CVE dans le monde logiciel traditionnel.

Enfin, ce référentiel sert également d’outil d’anticipation réglementaire. Il fournit une grille de lecture technique pour préparer les entreprises aux obligations de transparence imposées par l’AI Act européen et par le Cyber Resilience Act.

Le SBOM ne fait pas tout

Si la communauté des RSSI salue la publication de ce cadre indispensable pour l’inventaire des actifs, plusieurs experts rappellent une limite inhérente à l’exercice.

Un SBOM liste ce qui est présent à un instant T (la liste des composants), mais il ne garantit pas à lui seul l’étanchéité dynamique d’un système face à des cyberattaques comportementales.

La cartographie devra donc impérativement être couplée à des audits de sécurité actifs et à des frameworks de menaces contextualisés, à l’instar du MITRE ATLAS ou de OWASP Top 10 pour les LLM.

Avec ce document, le G7 et l’ANSSI fixent les règles du jeu : l’ère de la « boîte noire » de l’IA en entreprise touche à sa fin. Les éditeurs et les fournisseurs de modèles vont devoir apprendre la transparence.

The post G7 numérique : « SBOM for AI », un référentiel pour sécuriser la chaîne d’approvisionnement de l’IA appeared first on Silicon.fr.