Cyber Resilience Act - Regulation (EU) 2024/2847

Preparez votre produit numerique pour le CRA avant les jalons 2026-2027

CRAReady aide les fabricants, editeurs SaaS et importateurs qui vendent dans l'UE a cadrer les obligations CRA: perimetre produit, securite par conception, SBOM, traitement des vulnerabilites, declaration UE et notification des incidents.

Lancer le diagnostic Voir les modeles

Contenu base sur les pages officielles Commission europeenne, EUR-Lex et ENISA. Ne remplace pas un avis juridique.

Diagnostic CRA produit

Estimez en 5 minutes votre niveau de preparation. Le score pondere identifie les ecarts qui bloquent un dossier de conformite: role economique, evidences, SBOM, processus de disclosure, documentation technique et support securite.

01

Classer le produit

Confirmez si le produit est un produit comportant des elements numeriques, son usage prevu et le role de fabricant, importateur ou distributeur.

02

Tracer les composants

Constituez un SBOM par version, reliez dependances, composants tiers, licences, proprietaires et statut de support.

03

Organiser le vulnerability handling

Documentez reception, triage, correction, communication coordonnee, preuves et capacite de notification Article 14.

04

Assembler le dossier

Preparez documentation technique, evaluation de conformite, declaration UE et consignes de securite pour utilisateurs.

1Le role economique est-il documente pour chaque produit vendu dans l'UE ?

Fabricant, mandataire, importateur et distributeur n'ont pas les memes obligations.

2Avez-vous un inventaire produit-version avec usage prevu, interfaces et donnees traitees ?

Le perimetre conditionne l'analyse de risque et la documentation technique.

3Un SBOM machine-readable existe-t-il pour les versions actives ?

CycloneDX ou SPDX, signe ou rattache a la release, facilite la reaction CVE.

4Les vulnerabilites sont-elles surveillees, qualifiees et corrigees avec SLA ?

Inclure dependances, composants embarques, images conteneur et services distants lies au produit.

5Votre equipe peut-elle notifier ENISA/CSIRT en 24h et 72h ?

La chaine d'astreinte, les seuils et les informations minimales doivent etre pretes avant septembre 2026.

6Les exigences de securite by design sont-elles mappees a des preuves ?

Authentification, mises a jour, configuration secure by default, confidentialite, journalisation et durcissement.

7La documentation technique CRA est-elle versionnee avec le produit ?

Elle doit rester coherente avec architecture, risques, tests, support securite et declaration UE.

8Les utilisateurs recoivent-ils des instructions de securite claires ?

Configuration, mises a jour, duree de support, contact vulnerability disclosure et limitations d'usage.

9La declaration UE de conformite est-elle preparee pour les canaux de vente ?

Importateurs et marketplaces demanderont des preuves coherentes avec le marquage CE.

Checklist SBOM et vulnerability handling

Un programme CRA exploitable relie chaque version produit a ses composants, vulnerabilites connues, decisions de triage, correctifs et notifications.

SBOM par release

Generer CycloneDX/SPDX pour application, image, firmware, dependances et composants tiers; conserver hash, date et proprietaire.

Source de verite CVE

Surveiller NVD, advisories fournisseurs, GitHub Security Advisories, OSV et bulletins des composants critiques.

Triage documente

Qualifier exploitabilite, exposition UE, severite, versions affectees, contournement et decision de correction.

SLA correctif

Definir SLA par severite, preuve de test, publication advisory et canal de mise a jour securise.

Disclosure coordonnee

Publier security.txt, contact, cle PGP optionnelle, politique de reception et accusé de reception.

Notification Article 14

Preparer alerte 24h, notification 72h, rapport final 14 jours apres correctif ou un mois pour incident severe.

Modeles prets a adapter

Textes courts pour lancer le dossier. Remplacez les champs entre crochets, validez avec legal/compliance et gardez l'historique par version produit.

Declaration UE

Declaration UE de conformite CRA

Trame pour produit logiciel, SaaS ou materiel connecte mis a disposition sur le marche UE.

Nous, [fabricant], declarons sous notre seule responsabilite que [produit/version] est conforme aux exigences applicables du Regulation (EU) 2024/2847. Usage prevu: [usage]. Documentation technique: [reference]. Normes/specifications appliquees: [liste]. Contact securite: [email]. Signature: [nom, fonction, date].

Notification 24h

Alerte initiale ENISA/CSIRT

Premier message quand une vulnerabilite activement exploitee ou un incident severe est connu.

Produit: [nom/version]. Type: [vulnerabilite exploitee/incident severe]. Heure de prise de connaissance: [UTC]. Etats membres concernes connus: [liste]. Indices d'acte malveillant: [oui/non/inconnu]. Mesures immediates: [containment]. Contact crise: [nom/email/telephone].

Notification 72h

Notification complete

Complements techniques, premiere evaluation et mesures pour utilisateurs.

Nature: [CVE/incident]. Versions affectees: [liste]. Impact initial: [confidentialite/integrite/disponibilite]. Correctifs ou mitigations deja pris: [details]. Actions recommandees aux utilisateurs: [patch/configuration]. Sensibilite des informations: [niveau].

Rapport final

Rapport apres correctif

Cloture du traitement avec cause, impact, correctif et prevention.

Resume: [incident/vulnerabilite]. Cause racine: [analyse]. Chronologie: [dates UTC]. Severite et impact reel: [details]. Correctif disponible: [version/lien/hash]. Communication utilisateurs: [date/canal]. Mesures preventives: [backlog et proprietaires].

Calendrier CRA 2026-2027

Les jalons ci-dessous guident la preparation operationnelle. Les dates officielles confirment une entree en application progressive avant l'application generale.

  1. Organismes d'evaluationLes dispositions relatives a la notification des organismes d'evaluation de conformite commencent a s'appliquer.
  2. Reporting Article 14Les fabricants doivent pouvoir reporter vulnerabilites activement exploitees et incidents severes via la plateforme unique.
  3. IndustrialisationStabiliser SBOM, security updates, dossier technique, tests de securite, declaration UE et workflows importateur.
  4. Application generaleLes obligations principales CRA s'appliquent aux produits comportant des elements numeriques mis sur le marche UE.
  5. Certificats existantsCertains certificats ou decisions d'approbation peuvent rester valides jusqu'a cette date si non expires avant.

Pages SEO FR/EN

Guides crawlables pour capter les requetes de preparation CRA par role et livrable.

Sources officielles suivies

Besoin d'un cadrage CRA produit ?

Envoyez votre type de produit, marche UE vise, nombre de versions actives et niveau SBOM actuel. Reponse avec plan d'audit court.

Demander un audit CRA
Emplacement AdSense pret a activer Emplacement affiliation: outils SBOM, SCA, formation secure product lifecycle Tracking et publicite a activer uniquement avec consentement RGPD et variables d'environnement.