Guide CRA

CRA : préparer la cybersécurité des produits numériques sans attendre la dernière minute

Le Cyber Resilience Act est entré en vigueur le 10 décembre 2024. Les obligations de signalement des vulnérabilités exploitées et incidents sévères s'appliquent à partir du 11 septembre 2026, avant l'application principale des obligations le 11 décembre 2027. Le sujet doit être traité avec les équipes produit, sécurité, juridique et exploitation.

6 min Mis à jour : Mai 2026

Qualifier le périmètre produit

Avant de rédiger une documentation CRA, il faut savoir quels produits, composants, dépendances et versions sont concernés. Les logiciels embarqués, applications, images, dépendances open source et services associés peuvent créer des obligations différentes.

Une cartographie produit claire facilite ensuite l'analyse des risques, les preuves de sécurité et le traitement des vulnérabilités.

Structurer la gestion des vulnérabilités

Un processus CRA crédible ne repose pas uniquement sur un scan ponctuel. Il doit expliquer comment les vulnérabilités sont détectées, qualifiées, corrigées, communiquées et suivies dans le temps.

La sécurité produit gagne à s'appuyer sur des routines DevSecOps : contrôle des dépendances, scan d'images, revue de configuration, gestion des secrets et traçabilité des corrections.

  • inventaire composants
  • scan dépendances
  • analyse CVE
  • décisions de correction
  • journal des versions

Construire un dossier de preuves maintenable

La documentation doit rester vivante. Une preuve utile montre un contrôle appliqué sur un périmètre précis, à une date donnée, avec un propriétaire identifié.

Le bon objectif n'est pas de produire un dossier très long, mais un dossier que l'organisation peut maintenir quand le produit évolue.

Questions fréquentes

Le CRA est-il seulement un sujet juridique ?

Non. Le juridique aide à qualifier les obligations, mais les preuves viennent aussi du produit, de l'ingénierie, de la sécurité et de l'exploitation.

Sources publiques

Références utilisées sans copie de contenu

Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'AM Cyber.