Guide CRA
CRA : préparer la cybersécurité des produits numériques sans attendre la dernière minute
Le Cyber Resilience Act pousse les fabricants et distributeurs de produits numériques à mieux démontrer la sécurité tout au long du cycle de vie. Le sujet doit être traité avec les équipes produit, sécurité, juridique et exploitation.
Qualifier le périmètre produit
Avant de rédiger une documentation CRA, il faut savoir quels produits, composants, dépendances et versions sont concernés. Les logiciels embarqués, applications, images, dépendances open source et services associés peuvent créer des obligations différentes.
Une cartographie produit claire facilite ensuite l'analyse des risques, les preuves de sécurité et le traitement des vulnérabilités.
Structurer la gestion des vulnérabilités
Un processus CRA crédible ne repose pas uniquement sur un scan ponctuel. Il doit expliquer comment les vulnérabilités sont détectées, qualifiées, corrigées, communiquées et suivies dans le temps.
La sécurité produit gagne à s'appuyer sur des routines DevSecOps : contrôle des dépendances, scan d'images, revue de configuration, gestion des secrets et traçabilité des corrections.
- inventaire composants
- scan dépendances
- analyse CVE
- décisions de correction
- journal des versions
Construire un dossier de preuves maintenable
La documentation doit rester vivante. Une preuve utile montre un contrôle appliqué sur un périmètre précis, à une date donnée, avec un propriétaire identifié.
Le bon objectif n'est pas de produire un dossier très long, mais un dossier que l'organisation peut maintenir quand le produit évolue.
Questions fréquentes
Le CRA est-il seulement un sujet juridique ?
Non. Le juridique aide à qualifier les obligations, mais les preuves viennent aussi du produit, de l'ingénierie, de la sécurité et de l'exploitation.