Qu'est-ce que Cyber Resilience Act ?
Le Cyber Resilience Act (CRA) est un règlement européen qui définit des exigences de cybersécurité pour les produits comportant des éléments numériques (logiciels, matériels connectés, composants) vendus dans l'Union européenne. Il impose aux fabricants, importateurs et distributeurs de garantir la sécurité de leurs produits tout au long de leur cycle de vie. Le CRA exige la sécurité dès la conception (security by design), la gestion des vulnérabilités, la fourniture d'un SBOM (Software Bill of Materials), le signalement des vulnérabilités activement exploitées sous 24 heures, et le marquage CE pour la mise sur le marché.
Points clés
- Exigences de sécurité dès la conception (security by design) et configuration sécurisée par défaut
- Gestion des vulnérabilités obligatoire pendant toute la durée de support du produit (minimum 5 ans)
- SBOM (Software Bill of Materials) obligatoire pour chaque produit
- Signalement des vulnérabilités activement exploitées à l'ENISA sous 24 heures
- Classification en produits par défaut, importants (classe I et II) et critiques, avec des procédures d'évaluation de conformité différentes
Pourquoi Zaxyr
Zaxyr aide les fabricants de produits numériques à suivre leurs obligations CRA. La plateforme automatise la gestion des SBOM, le suivi des vulnérabilités, la documentation technique et la préparation du marquage CE. Le mapping vers ISO 27001 et NIS2 permet une approche cohérente entre la sécurité produit et la sécurité organisationnelle.