Contact us

Cyber Resilience Act : votre guide pratique

La nouvelle réglementation européenne en matière de cybersécurité entre en vigueur en 2027.
Que vous soyez un fabricant de dispositifs américain cherchant à accéder au marché européen ou un fabricant européen gérant un portefeuille existant, le CRA change fondamentalement ce que signifie mettre sur le marché un produit connecté.
Cette page vous guide à travers les quatre phases de la mise en conformité: de la compréhension de la réglementation jusqu’à la maintenance de la conformité sur l’ensemble du cycle de vie du produit.
Cas clients
Contactez-nous

Explorez les 4 étapes de la conformité CRA

1. Périmètre
2. Risk Assessment
3. Implémentation
4. Maintenance

Etape 1 - Périmètre, exigences et échéances

Le CRA s’applique à tout « Produit comportant des éléments numériques » (PDE) mis sur le marché européen, quel que soit le pays d’établissement du fabricant. En pratique : tout dispositif doté d’un processeur connecté à un réseau ou à un autre appareil. Cela couvre aussi bien un simple capteur qu’une passerelle industrielle ou un moniteur médical.

Pour les OEM américains et internationaux : l’accès au marché européen exige désormais une adaptation stratégique. Contrairement au contexte américain — qui repose largement sur des référentiels volontaires (NIST IR 8425, U.S. Cyber Trust Mark) — le CRA est un règlement juridiquement contraignant. Il introduit également une obligation de gestion des vulnérabilités et des exigences post-commercialisation, allant au-delà des initiatives telles que l’Executive Order 14028.

Par défaut (majorité des produits) :
La plupart des produits relèvent de cette catégorie et suivent un processus d’évaluation de conformité par auto-évaluation.

Produits Importants:

  • Class I : Inclut les systèmes de gestion d’identité, les navigateurs et certains composants liés aux réseaux. Ces produits peuvent être évalués sans tierce partie en suivant une norme harmonisée.
  • Class II : Inclut les systèmes d’exploitation (Linux/RTOS), les hyperviseurs et l’infrastructure cryptographique. Ces produits nécessitent obligatoirement une évaluation par un organisme tiers notifié.

    • Produits critiques :
    Cartes à puce, compteurs intelligents, HSM : ces produits requièrent une évaluation externe conforme à un schéma européen de certification en cybersécurité (EUCC).

  • Sécurité par défaut : Surface d’attaque minimale et absence de mots de passe génériques par défaut
  • Contrôle d’accès: Authentification robuste et prévention des accès non autorisés
  • Confidentialité : Chiffrement adapté des données au repos et en transit
  • Intégrité : Mécanismes tels que le Secure Boot pour prévenir l’exécution de code non autorisé
  • Minimisation des données: Traitement des seules données nécessaires à la finalité du produit
  • Gestion des vulnérabilités: Processus d’identification, de gestion et de correction des vulnérabilités tout au long du cycle de vie
  • Développement & livraison sécurisés: Absence de vulnérabilités exploitables connues lors de la mise sur le marché
  • SBOM: Capacité à fournir une nomenclature logicielle (lisible par machine le cas échéant)
  • Mises à jour: Capacité à distribuer des mises à jour de sécurité de manière sûre et fiable
  • Décommissionnement sécurisé: Capacité à effacer ou protéger les données utilisateur en fin de vie
  • Notification d’incidents: Signalement des vulnérabilités activement exploitées aux autorités compétentes dans les délais requis (notification initiale sous 24h)
  • Disponibilité & résilience : Protéger la disponibilité des fonctions essentielles et de base, également après un incident, notamment par des mesures de résilience et d’atténuation contre les attaques par déni de service
  • Protection du réseau: Réduire au minimum l’impact négatif des produits eux-mêmes ou des appareils connectés sur la disponibilité des services fournis par d’autres dispositifs ou réseaux
  • Limitation de la surface d’attaque: Être conçu, développé et produit de manière à limiter les surfaces d’attaque, y compris les interfaces externes
  • Surveillance de la sécurité: Fournir des informations liées à la sécurité en enregistrant et en surveillant les activités internes pertinentes, notamment l’accès ou la modification de données, de services ou de fonctions, avec un mécanisme de désinscription pour l’utilisateur
L’application intégrale est prévue pour décembre 2027. Les obligations de notification des incidents et des vulnérabilités s’appliqueront antérieurement, dès septembre 2026.

De nombreux fabricants sont actuellement focalisés sur la Directive sur les équipements radio (RED) Article 3.3 (obligatoire depuis 2025). Alors que la RED porte sur les interfaces sans fil, le CRA étend des principes de sécurité similaires à l’ensemble des produits comportant des éléments numériques.

À noter : à compter de décembre 2027, le CRA remplacera les exigences en matière de cybersécurité de la RED (l’acte délégué RED). Satisfaire aux exigences RED constitue un point de départ solide, mais le CRA introduit des obligations plus larges et plus strictes, notamment en matière de gestion des vulnérabilités, de sécurité tout au long du cycle de vie et de transparence logicielle (SBOM).

Le CRA en 2 minutes!

Découvrez
nos autres ressources

Etape 2 - Stratégie & Risk Assessment

Le CRA impose une évaluation des risques de cybersécurité documentée. Chez Witekio, nous transformons cette exigence légale en une feuille de route technique en trois étapes, avec une approche pragmatique visant à vous permettre d’atteindre la conformité sans bloquer votre R&D

hardware picture

Cartographie des vecteurs d’attaque

Identification des points d’entrée réalistes (ports physiques, interfaces sans fil, processus de démarrage) basée sur la surface d’attaque réelle de votre produit.
En savoir plus
Difficulty in patching and updating connected devices

Analyse d’impact des contre-mesures

Évaluation de l’efficacité des mécanismes de sécurité (chiffrement, isolation) pour neutraliser ces vecteurs, et mesure de leur impact sur les performances système.
En savoir plus
GUI development

Définition des objectifs de sécurité

Définition d’objectifs mesurables pour le produit (fonctions durcies) et son environnement opérationnel (fabrication, déploiement, mises à jour), garantissant la résilience du dispositif sur le terrain.
En savoir plus

Cyber Resilience Act – Évitez les pénalités et renforcez votre sécurité

Une session technique approfondie co-animée avec EBV Elektronik. Ce webinar explore l’intersection entre la conformité logicielle et matérielle, et propose des stratégies concrètes pour la génération de SBOM et l’analyse automatisée des CVE. Inclut également : un comparatif de fournisseurs matériels (NXP, ST, Infineon, etc.) pour vous aider à sélectionner les composants adaptés aux exigences de sécurité du CRA.

Etape 3 - Security by Design

hardware picture

architecture et sécurité

Le CRA exige l’intégration du Secure Boot, des environnements d’exécution de confiance (TEE) et du stockage de clés sécurisé par matériel. Nous vous accompagnons pour aller plus loin : durcissement des composants critiques, intégration de contrôles de sécurité automatisés et application d’une cryptographie forte dès la première conception, afin que votre architecture soit sécurisée par défaut.
En savoir plus
Difficulty in patching and updating connected devices

Validation & SBOM

La conformité au CRA implique de fournir une nomenclature logicielle (SBOM) pour l’ensemble des composants pertinents. Nous recommandons d’automatiser la génération du SBOM au sein de votre chaîne CI/CD, d’exécuter des validations de sécurité en continu et de contrôler les vulnérabilités connues avant chaque livraison. La conformité devient ainsi une porte de qualité permanente, et non un contrôle de dernière minute avant expédition.
En savoir plus
GUI development

support LTS et OTA

Le CRA impose que les produits disposent d’un mécanisme permettant de distribuer des mises à jour de sécurité tout au long de leur cycle de vie. Notre approche va au-delà de la simple conformité : nous mettons en œuvre des pipelines OTA robustes avec signature des paquets et protections anti-rollback, automatisons le déploiement des correctifs et assurons une surveillance continue des vulnérabilités.
En savoir plus

Explorez
Nos autres ressources

Etape 4 -Maintenance long terme & gestion des CVE

Le CRA oblige les fabricants à assurer le support sécurité pendant toute la durée du cycle de vie du produit, pour une durée alignée sur l’usage attendu du produit (pouvant s’étendre plusieurs années après sa mise sur le marché). Witekio fournit l’infrastructure nécessaire pour absorber cette charge :

hardware picture

Surveillance en continu

Votre SBOM est analysé en permanence par rapport aux bases de données de vulnérabilités. Vous disposez d’une visibilité en temps réel sur les nouvelles vulnérabilités affectées votre pile logicielle.
CVE Scanner
Difficulty in patching and updating connected devices

Triage spécifique au matériel

Toutes les vulnérabilités ne s’appliquent pas à votre produit. Nos ingénieurs évaluent chaque problème dans le contexte de votre configuration spécifique (noyau, matériel, usage) pour ne traiter que les menaces réellement pertinentes.
En savoir plus
GUI development

Gestion des correctifs sur la du

Lorsqu’une correction est nécessaire, nous développons, testons et livrons le correctif approprié. Nos programmes de support long terme (LTS) sont conçus pour maintenir la sécurité et la conformité tout au long de la vie opérationnelle de votre produit.
En savoir plus

Vous ne savez pas par où commencer ?

Si vous en êtes aux premières étapes, un appel d’orientation est le moyen le plus rapide de comprendre ce qui s’applique à votre produit et ce qui ne s’applique pas.
Parlons-en

We transform your device vision into reality

Nous accompagnons vos équipes dans la conception, le développement et l’exploitation de produits innovants, du logiciel embarqué aux applications.
flag_line

4 pays

4 pays

iso_27001_02-1024x704

Certifiés ISO 27001

Certifiés ISO 27001

Avnet_logo

Appartenant à une entreprise du Fortune 500

Appartenant à une entreprise du Fortune 500

Contactez nous