Cybersecurity Resilience Act (CRA)

Le Cyber Resilience Act (CRA) introduit des exigences obligatoires de cybersécurité pour les produits comportant des éléments numériques vendus sur le marché européen.

Les fabricants doivent démontrer que leurs produits respectent des exigences strictes concernant :

• la sécurité par conception (secure by design)

• la gestion des vulnérabilités

• la transparence des composants logiciels

• la surveillance post-marché

• les mises à jour de sécurité

• la notification des incidents

Red Alert Labs accompagne les organisations tout au long du cycle de conformité CRA, depuis l’analyse initiale jusqu’à la préparation de l’évaluation de conformité et de la certification.

Notre approche

Notre méthodologie s’appuie sur quatre étapes principales.

1. Qualification CRA et analyse réglementaire

Nous analysons le produit afin de déterminer :

• sa classification au regard du CRA

• s’il s’agit d’un produit standard, important ou critique

• le module d’évaluation de conformité applicable

Nous identifions également les obligations réglementaires associées :

• exigences essentielles de cybersécurité

• obligations documentaires

• exigences de gestion des vulnérabilités

• obligations de surveillance post-marché

Livrables

• CRA applicability assessment

• classification produit CRA

• roadmap de conformité

2. Gap analysis sécurité et conformité

Nous réalisons une analyse d’écart entre l’état actuel du produit et les exigences du CRA.

Cette analyse peut inclure :

• analyse de risque et architecture de sécurité

• revue des processus de développement sécurisé

• analyse des mécanismes de gestion des vulnérabilités

• évaluation de la chaîne d’approvisionnement logicielle (SBOM)

• alignement avec les standards harmonisés (ex : EN 18031)

Livrables

• rapport de gap analysis

• liste des actions correctives

• plan de remédiation priorisé

3. Mise en conformité et support technique

Nous accompagnons les équipes techniques dans l’implémentation des mesures nécessaires :

• sécurisation de l’architecture produit

• mise en place de processus de secure development lifecycle

• gestion des vulnérabilités

• génération et gestion des SBOM

• préparation de la documentation technique

Nos experts peuvent également assister dans la mise en œuvre de bonnes pratiques alignées avec :

• ETSI EN 303 645

• EN 18031

• normes ISO pertinentes

• schémas de certification européens

4. Préparation à l’évaluation de conformité

Nous préparons les fabricants à l’évaluation officielle requise pour la mise sur le marché :

• préparation du Technical Documentation File

• support pour la conformity assessment

• préparation à l’évaluation par un Notified Body

• support à la certification ou labelling

Nous pouvons également fournir des services d’évaluation indépendants via nos laboratoires accrédités.

Accélération de la conformité avec CyberPass

Notre plateforme CyberPass permet d’automatiser et de structurer la conformité CRA grâce à :

• la modélisation des exigences réglementaires

• l’alignement automatique avec les standards

• la génération assistée de preuves de conformité

• un scoring de maturité cybersécurité

• un suivi continu de la conformité produit

Cela permet de transformer la conformité CRA en processus continu plutôt qu’une évaluation ponctuelle.

Bénéfices pour les fabricants

✔ Réduction des risques réglementaires
✔ Accélération de l’accès au marché européen
✔ Préparation à la certification
✔ Structuration du processus de cybersécurité produit
✔ Amélioration de la confiance des clients et partenaires