Insignary comble l’écart de précision du SBOM avec une clarté au niveau binaire pour le risque réglementaire

Lucas Morel

La plupart des outils d’analyse de la composition logicielle lisent ce que déclarent les développeurs. La plate-forme binaire brevetée d’Insignary Clarity analyse ce qui est réellement construit, expédié et déployé, y compris les composants open source qui n’apparaissent jamais dans aucun manifeste.

Insignary, Inc., dont la technologie brevetée d’empreintes digitales binaires a été citée dans quatre rapports de recherche de Gartner, a annoncé aujourd’hui sa reconnaissance en tant que fournisseur d’échantillons pour l’analyse d’accessibilité dans le cycle de battage publicitaire de Gartner pour l’ingénierie logicielle sécurisée, 2026.

Selon Gartner : « Les composants open source et tiers peuvent contenir une longue liste de vulnérabilités, mais toutes n’ont pas d’impact direct sur votre base de code. L’analyse d’accessibilité aide à trier les vulnérabilités en fonction de leur exploitabilité. »*1

L’urgence est claire dans les recherches indépendantes de l’industrie. Une enquête Venafi réalisée en 2024 auprès de 800 décideurs en matière de sécurité aux États-Unis, au Royaume-Uni, en Allemagne et en France a révélé que 92 % d’entre eux sont préoccupés par le code généré par l’IA, et 63 % ont envisagé de l’interdire purement et simplement en raison des risques de sécurité.*2 La base de données nationale américaine sur les vulnérabilités a enregistré plus de 48 000 CVE en 2025, soit environ 130 chaque jour.

Les assistants de codage IA accélèrent la croissance des dépendances open source non gérées. À mesure que les organisations adoptent ces outils à grande échelle, elles sont confrontées à un défi de plus en plus grand : comprendre quels composants open source entrent dans les logiciels de production, si ces composants sont fiables et comment les risques de sécurité et de conformité qui en résultent sont gérés.

Le problème est structurel. La plupart des outils SCA lisent ce que déclarent les développeurs, et non ce qui s’exécute réellement. Le code généré par l’IA, les bibliothèques de fournisseurs et les binaires tiers contournent fréquemment les gestionnaires de packages et n’apparaissent jamais dans un manifeste.

« Les SBOM deviennent de plus en plus une exigence réglementaire dans le monde. Cependant, la transparence des logiciels est aussi fiable que l’exactitude d’un SBOM lui-même. Vous ne pouvez pas vérifier un SBOM en lisant le manifeste qui l’a créé. Vous vérifiez un SBOM en examinant le logiciel qui a été réellement construit, expédié et déployé. Alors que les réglementations de la chaîne d’approvisionnement en logiciels dépendent de plus en plus des SBOM, la capacité de valider les logiciels au niveau binaire devient essentielle pour les organisations opérant dans des secteurs réglementés, des infrastructures critiques et des environnements logiciels compatibles avec l’IA.  » — Taek Wan Kim, président et chef de la direction, Insignary

CLARTÉ INSIGNAIRE : LE BINAIRE D’ABORD. CONSCIENT DE L’IA.

Insignary Clarity analyse à la fois les sources et les binaires pour créer une nomenclature logicielle (SBOM) complète pour les applications que les équipes créent, les composants tiers qu’elles intègrent et l’infrastructure informatique qui contourne le cycle de vie de développement sécurisé traditionnel.

Les fonctionnalités clés incluent :

  • Binary SCA — identifie les composants open source, les vulnérabilités et les obligations de licence directement à partir des binaires compilés, sans nécessiter de code source ou de manifeste de package.
  • AIBOM Generation – produit une nomenclature IA pour les logiciels contenant du code généré ou assisté par l’IA, couvrant les composants qui contournent les déclarations de dépendance traditionnelles.
  • Analyse d’accessibilité : détermine quelles vulnérabilités divulguées atteignent réellement les chemins de code exécutables, permettant une priorisation basée sur les risques plutôt que le tri brut du nombre de CVE.
  • Alertes continues de vulnérabilité : surveille les SBOM stockés par rapport aux bases de données de vulnérabilités mises à jour et délivre des alertes automatiques lorsque les CVE nouvellement divulgués correspondent aux composants déployés, sans nécessiter une nouvelle analyse.

« Un SBOM est fondamental pour gérer la complexité et la sécurisation des déploiements de logiciels modernes. »*3

RECONNAISSANCE DANS QUATRE RAPPORTS GARTNER

Insignary a été cité dans quatre rapports de recherche de Gartner*, Gartner Hype Cycle for Secure Software Engineering, 2026, Gartner Hype Cycle for Application Security, 2025, Gartner Scale Application Security With AI-Augmented Vulnerability Remediation, 2025 et Gartner 3 Steps for Assessing an Open-Source Software Project, 2025.

SOUTENIR LES EXIGENCES MONDIALES DE LA CHAÎNE D’APPROVISIONNEMENT DE LOGICIELS

Insignary Clarity aide les organisations à répondre aux exigences de sécurité de la chaîne d’approvisionnement logicielle en Amérique du Nord et dans le monde :

  • Décret exécutif américain 14028 et mémorandum OMB M-26-05 — les agences fédérales peuvent désormais vérifier de manière indépendante les SBOM des fournisseurs plutôt que d’accepter un formulaire d’attestation standard, ce qui relève la barre pour tous les logiciels vendus au gouvernement américain.
  • Section 524B de la FDA — chaque soumission préalable à la commercialisation d’un dispositif médical connecté doit inclure un SBOM vérifié en binaire couvrant tous les composants logiciels compilés.
  • Le projet de loi canadien C-8 Critical Cyber ​​Systems Protection Act (CCSPA), en vigueur en juin 2026 — gestion obligatoire des risques de la chaîne d’approvisionnement pour les opérateurs bancaires, de télécommunications, d’énergie et de transport.

Cadres supplémentaires : directives CISA et NSA SBOM, NIST SSDF, Information Security Manual (ISM) de l’Australie, US Connected Vehicle Rule, EU Cyber ​​Resilience Act.

CONFIÉ PAR LES GOUVERNEMENTS ET LES ENTREPRISES MONDIALES

À l’échelle mondiale, BearingPoint – l’une des principales sociétés européennes de conseil en gestion et en technologie et un investisseur stratégique dans Insignary – est le distributeur exclusif de la société dans toute l’Europe. Cybertrust Japan, un autre investisseur stratégique, et son partenaire de revente TechMatrix favorisent l’adoption dans l’ensemble du secteur manufacturier japonais dans le cadre d’une initiative conjointe SBOM. Les clients comprennent des organisations gouvernementales et des leaders mondiaux des secteurs de l’électronique, de la défense, des services financiers, de l’automobile, de la fabrication, de la médecine et d’autres secteurs technologiques.

GARTNER et Hype Cycle sont des marques commerciales de Gartner, Inc. et/ou de ses filiales. Gartner ne soutient aucun fournisseur, produit ou service décrit dans ses publications de recherche et ne conseille pas aux utilisateurs de technologies de sélectionner uniquement les fournisseurs ayant obtenu les notes les plus élevées ou toute autre désignation. Les publications de recherche de Gartner représentent les opinions de l’organisme de recherche de Gartner et ne doivent pas être interprétées comme des déclarations de faits. Gartner décline toute garantie, expresse ou implicite, concernant cette recherche, y compris toute garantie de qualité marchande ou d’adéquation à un usage particulier.

À PROPOS D’INSIGNAIRE

Insignary Inc. est une société de cybersécurité basée à Toronto, spécialisée dans l’analyse de la composition binaire et la sécurité de la chaîne d’approvisionnement logicielle. Sa technologie brevetée permet aux organisations d’identifier les composants logiciels open source, les vulnérabilités et la provenance des logiciels directement à partir des binaires compilés sans avoir besoin d’accéder au code source.

La plateforme phare de la société, Insignary Clarity, fournit des capacités d’analyse binaire et d’analyse de la composition logicielle qui permettent aux organisations de vérifier le contenu des logiciels déployés et de renforcer la gouvernance de la chaîne d’approvisionnement logicielle. Insignary Clarity AIR étend cette capacité au domaine de l’IA en aidant les organisations à identifier, évaluer et gérer les risques associés aux modèles d’IA, aux logiciels générés par l’IA et aux environnements de développement pilotés par l’IA.

La société est au service des entreprises, des gouvernements et des éditeurs de logiciels du monde entier et est soutenue par des investisseurs et partenaires stratégiques, notamment BearingPoint en Europe, Cybertrust Japan et TechMatrix au Japon, ainsi que TMA Solutions. Grâce à son écosystème mondial de partenaires, Insignary soutient les initiatives de sécurité de la chaîne d’approvisionnement logicielle en Amérique du Nord, en Europe et en Asie.

Site web: https://insignary.com/

Rapport complet : Gartner Hype Cycle pour l’ingénierie logicielle sécurisée, 2026

Références :

  1. Gartner, Hype Cycle pour l’ingénierie logicielle sécurisée 2026
  2. Venafi, « Enquête sur le développement de la gestion de l’identité des machines », 2024
  3. Gartner, « Technologies émergentes : une nomenclature logicielle est essentielle à la gestion de la chaîne d’approvisionnement logicielle. »
Contact

Architecte de solutions principal

Jessica DY Lee

Insigne

jessicalee@insignary.com

SécuritéCyberattaquesCybercriminalité