Publier la liste des composants tiers stratégiques de notre solution avec leur juridiction de gouvernance#
De quoi s’agit-il concrètement#
Cet engagement consiste à publier sur votre site, dans un format accessible aux clients et aux prospects, la liste nominative des composants tiers stratégiques de votre solution — c’est-à-dire les composants dont la défaillance, la bascule de licence ou le retrait bloquerait votre produit ou imposerait un effort majeur d’adaptation. Pour chaque composant, vous indiquez son nom, son éditeur ou la fondation qui le gouverne, sa juridiction de gouvernance, son modèle (single-vendor open source, fondation neutre multi-vendor, propriétaire fermé), et idéalement la version de licence en vigueur ainsi que l’historique récent.
Le format peut prendre plusieurs formes : page web simple, tableau structuré, document inclus dans un Profil de souveraineté plus large (en particulier le domaine 1), document SBOM (Software Bill of Materials) au format CycloneDX ou SPDX. La précision attendue est suffisante pour qu’un acheteur puisse évaluer son exposition propre via votre solution.
L’engagement ne demande pas l’exhaustivité — il vise les composants stratégiques, pas chaque bibliothèque transitive. Une liste de 10 à 30 composants est typique pour un produit SaaS de complexité moyenne.
Pourquoi cet engagement compte#
Cet engagement est l’incarnation directe de la thèse 6 du manifeste : « la souveraineté technologique d’un logiciel se mesure sur sa chaîne entière. » Sans visibilité sur les composants, vos clients ne peuvent pas évaluer leur propre exposition. Or la chaîne se propage : si votre solution dépend de Redis, et que votre client utilise votre solution, votre client dépend lui aussi de Redis — même s’il n’en a pas directement conscience. La transparence sur les composants permet à vos clients d’intégrer votre solution dans leur propre cartographie de souveraineté.
L’engagement renforce naturellement pub-001-publish-sovereignty-profile (le domaine 1 du Profil porte précisément cette information) et pub-004-qualify-commercial-discourse (la qualification honnête des composants suppose qu’ils soient nommés). Ensemble, ces trois engagements forment un noyau cohérent de transparence.
Il anticipe également les exigences réglementaires en cours dans l’Union européenne. Le Cyber Resilience Act et la directive NIS 2 imposent une visibilité sur la chaîne d’approvisionnement logicielle dans une logique de cybersécurité. Publier la liste des composants stratégiques en avance de phase prépare votre conformité tout en valorisant la démarche au-delà de la conformité.
Exemple concret de mise en œuvre#
Un éditeur SaaS français de 28 personnes, qui propose une plateforme de gestion de tickets pour les services de maintenance industrielle, prend cet engagement en juin 2026 avec un horizon de 9 mois. L’équipe technique inventorie les composants stratégiques en partant de la chaîne d’exécution : base de données (PostgreSQL 16, fondation distribuée), cache (Valkey 7.2.4, Linux Foundation), file de messages (RabbitMQ, Broadcom depuis 2024), recherche (PostgreSQL full-text en première ligne, OpenSearch en option pour les clients à fort volume), orchestration (Kubernetes via OVHcloud Managed Kubernetes), authentification (Keycloak, Red Hat / IBM), monitoring (Grafana sous AGPL depuis avril 2024, Grafana Labs Inc.), CI/CD (GitLab CE auto-hébergé), registre de conteneurs (Harbor auto-hébergé qui mirrore Docker Hub).
L’inventaire produit une liste de 24 composants stratégiques, publiée dans une page dédiée du site avec un tableau structuré. Pour chaque composant, la juridiction et le modèle sont indiqués, ainsi qu’un commentaire pédagogique court sur les évolutions récentes de licence quand elles sont pertinentes (par exemple, mention du rachat RabbitMQ par Broadcom). La page est aussi disponible au format JSON pour intégration automatisée. La direction commerciale intègre la référence à cette page dans les propositions commerciales et les réponses aux questionnaires de référencement.
Anti-pattern à éviter#
Une liste sans qualification de juridiction (juste les noms de composants) rate la moitié de l’engagement. Une liste exhaustive de toutes les bibliothèques transitives au format technique illisible noie l’information utile. Une liste interne classée « confidentielle » ne tient pas l’engagement de publication. La valeur tient à la concision (10 à 30 composants stratégiques), à la qualification (juridiction et modèle), et à l’accessibilité (page web lisible).
Indicateurs de réussite#
À l’horizon de 9 mois, vous pouvez raisonnablement considérer cet engagement tenu si une page publique du site liste les composants stratégiques avec leur juridiction et leur modèle de gouvernance, si la liste est mise à jour annuellement ou à chaque changement substantiel, et si la référence à la liste est intégrée à votre Profil de souveraineté et à vos supports commerciaux. Un format machine-lisible (JSON, CycloneDX) en parallèle de la page web augmente la valeur d’usage.
→ Documenté dans le dossier#
Catégorie dans le schéma JSON : publication. Horizon par défaut : 9 mois. Applicable à : entreprises.