Vulnérabilité produit : un sujet que les Product Managers ne peuvent plus ignorer
À l’ère des produits connectés, des systèmes embarqués et des nouvelles exigences réglementaires. Qu’est-ce qu’une…
Le CRA concerne directement les entreprises qui sélectionnent, intègrent ou déploient des équipements informatiques et réseaux industriels. Le CRA renforce notamment les exigences liées à la sécurité dès la conception, à la gestion des vulnérabilités, à la durée de support, à la documentation technique et au suivi des produits tout au long de leur cycle de vie.
Même s’il s’applique en priorité aux produits mis à disposition sur le marché européen, son impact sera plus large. Il influencera progressivement le choix des équipements, les attentes envers les fournisseurs et les pratiques de documentation.
Découvrez ci-dessous ce que prévoit le CRA, ses enjeux pour les environnements industriels et son influence sur vos futurs choix de produits.
Entrée en vigueur
10 Décembre 2024
La régulation est déjà active au niveau de l'Europe
Obligation de divulgation
11 Septembre 2026
L'obligation de signaler les vulnérabilités et incidents grave rentre en vigueur
Toutes les obligations
11 Décembre 2027
Application complète de l'ensemble des règles de la CRA
Le Cyber Resilience Act vise à renforcer la cybersécurité des produits comportant des éléments numériques commercialisés dans l’Union européenne.
Concrètement, il impose aux fabricants d’intégrer la cybersécurité dès la conception du produit et de la prendre en compte pendant tout son cycle de vie. Elle ne doit plus être considérée comme une option ajoutée après coup.
Ces exigences sont directement liées à l’évaluation de conformité, à la documentation technique et au marquage CE nécessaires avant la mise sur le marché des produits concernés.
Le CRA s’applique notamment aux équipements connectés, aux systèmes embarqués, aux passerelles de communication, aux PC industriels, aux Panel PC, aux routeurs, aux switches et aux plateformes Edge intégrant des fonctions logicielles.
Pour les entreprises qui sélectionnent et achètent ces équipements, cela devrait se traduire par des informations de sécurité plus claires, des durées de support définies et une meilleure prise en charge des vulnérabilités par les fabricants.
Le CRA, un prérequis au marquage CE pour les produits numériques.
Le Cyber Resilience Act s’applique à la plupart des produits matériels et logiciels comportant des éléments numériques commercialisés dans l’Union européenne. Il concerne les produits dont l’usage prévu, ou raisonnablement prévisible, implique une connexion directe ou indirecte à un appareil ou à un réseau, qu’elle soit logique ou physique.
PC industriels, ordinateurs embarqués, Panel PC, systèmes Edge, serveurs industriels, systèmes monocartes et plateformes de contrôle intégrant des fonctions logicielles.
Switches Ethernet industriels, routeurs, passerelles, routeurs cellulaires, solutions d’accès à distance et matériels de communication connectés.
Logiciels de supervision, plateformes SCADA, applications de contrôle-commande, logiciels de gestion d’équipements, solutions de maintenance à distance, outils de configuration, systèmes de gestion de données industrielles et plateformes Edge ou IoT.
Les obligations à anticiper dépendent de votre rôle dans la chaîne de valeur : choix des produits, intégration, développement, commercialisation sous votre propre marque ou mise sur le marché européen.
Dans tous les cas, la cybersécurité, la durée de support, la documentation technique et la gestion des vulnérabilités prennent une place croissante dans le choix des équipements et la préparation des projets.
Votre entreprise peut notamment être amenée à :
Se préparer aux exigences du Cyber Resilience Act implique d’évaluer attentivement le niveau de sécurité des solutions que vous sélectionnez, intégrez et déployez. Integral System vous accompagne dans le choix de solutions informatiques et réseaux disposant de bases de sécurité solides dès leur conception. L’objectif est de faciliter leur intégration dans vos projets et de mieux anticiper les futures exigences de conformité.
Dans le cadre du Cyber Resilience Act, le choix du matériel informatique et de son fabricant devient essentiel. Les fonctions de sécurité intégrées au produit, la durée de support, la disponibilité des mises à jour et la capacité du fabricant à traiter les vulnérabilités auront un impact direct sur la conformité et la pérennité des projets.
Cette vigilance concerne l’ensemble des acteurs de la chaîne de valeur : intégrateurs, OEM, constructeurs de machines, éditeurs de solutions, bureaux d’études, exploitants de sites industriels ou entreprises déployant des équipements connectés.
Un équipement performant sur le plan technique ne suffit plus. Il est également nécessaire de vérifier la politique de cybersécurité du fabricant, ses engagements en matière de support, ses procédures de gestion des vulnérabilités et la documentation qu’il sera capable de fournir.
C’est pourquoi Integral System s’appuie sur des partenaires industriels reconnus, déjà engagés depuis plusieurs mois dans leur préparation au CRA. Ces fabricants travaillent notamment sur la sécurisation de leurs produits, l’évolution de leurs processus de développement, la gestion des mises à jour, la documentation de conformité et le suivi des vulnérabilités tout au long du cycle de vie.
Soumettez gratuitement une image Linux à l'analyse d'Exein Analyzer. À partir du rapport de synthèse généré, nos experts en cybersécurité décrypteront les résultats à vos côtés.
Integral System accompagne ses clients dans la sélection de PC industriels, Panel PC, systèmes embarqués, serveurs, passerelles, routeurs, switches et plateformes Edge adaptés à leurs contraintes techniques, industrielles et réglementaires.
Notre rôle est de vous aider à :
Choisir dès aujourd’hui les bons équipements et les bons partenaires permet de réduire les adaptations futures et de mieux préparer vos projets aux exigences du CRA.
Votre demande de devis ne contient aucun produit.