Guide CRA
CRA : préparer la cybersécurité des produits numériques sans attendre la dernière minute
Le Cyber Resilience Act est entré en vigueur le 10 décembre 2024. Les obligations de signalement des vulnérabilités exploitées et incidents sévères s'appliquent à partir du 11 septembre 2026, avant l'application principale des obligations le 11 décembre 2027. Le sujet doit être traité avec les équipes produit, sécurité, juridique et exploitation.
Qualifier le périmètre produit
Avant de rédiger une documentation CRA, il faut savoir quels produits, composants, dépendances et versions sont concernés. Les logiciels embarqués, applications, images, dépendances open source et services associés peuvent créer des obligations différentes.
Une cartographie produit claire facilite ensuite l'analyse des risques, les preuves de sécurité et le traitement des vulnérabilités.
Structurer la gestion des vulnérabilités
Un processus CRA crédible ne repose pas uniquement sur un scan ponctuel. Il doit expliquer comment les vulnérabilités sont détectées, qualifiées, corrigées, communiquées et suivies dans le temps.
La sécurité produit gagne à s'appuyer sur des routines DevSecOps : contrôle des dépendances, scan d'images, revue de configuration, gestion des secrets et traçabilité des corrections.
- inventaire composants
- scan dépendances
- analyse CVE
- décisions de correction
- journal des versions
Construire un dossier de preuves maintenable
La documentation doit rester vivante. Une preuve utile montre un contrôle appliqué sur un périmètre précis, à une date donnée, avec un propriétaire identifié.
Le bon objectif n'est pas de produire un dossier très long, mais un dossier que l'organisation peut maintenir quand le produit évolue.
Questions fréquentes
Le CRA est-il seulement un sujet juridique ?
Non. Le juridique aide à qualifier les obligations, mais les preuves viennent aussi du produit, de l'ingénierie, de la sécurité et de l'exploitation.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'AM Cyber.