Aller au contenu principal

Cyber Resilience Act (CRA)

Le Cyber Resilience Act impose la cybersécurité aux produits numériques vendus dans l’UE : sécurité dès la conception, SBOM, correctifs gratuits, marquage CE.

Le Cyber Resilience Act, règlement européen 2024/2847, impose des exigences de cybersécurité à tous les « produits comportant des éléments numériques » mis sur le marché de l’Union : logiciels, objets connectés, composants, qu’ils soient européens ou non. C’est un changement de paradigme : la sécurité cesse d’être un argument commercial pour devenir une condition d’accès au marché, matérialisée par le marquage CE, comme la sécurité électrique avant elle.

Concrètement, les fabricants doivent concevoir leurs produits de façon sécurisée, livrer sans vulnérabilité connue exploitable, établir et maintenir une SBOM, fournir des correctifs de sécurité gratuits pendant la durée de support, et notifier les vulnérabilités activement exploitées sous 24 heures. Le calendrier est progressif : entré en vigueur fin 2024, le règlement rend l’obligation de notification applicable dès septembre 2026 et l’essentiel des exigences en décembre 2027.

Notre page pilier sur le Cyber Resilience Act détaille qui est concerné, les catégories de produits critiques et le chemin de mise en conformité, dans lequel l’analyse de composition logicielle, la SCA, joue un rôle central.

Termes liés

Les définitions posent le vocabulaire, mais rien ne remplace un état des lieux concret. Si vous voulez savoir ce que ces concepts donnent sur votre propre périmètre, notre plateforme EASM cartographie votre surface d’attaque externe à partir d’un simple nom de domaine, et notre équipe répond sous 24 heures via la page contact.

    Cyber Resilience Act : définition | own2pwn