Guide indépendant du règlement (UE) 2024/2847 · Statut : en vigueur
Cette page est une traduction automatique (IA) qui n'a pas été révisée par un humain.
Parcours de conformité · Accompagnement

Guide CRA pour les développeurs de logiciels

Comment le Cyber Resilience Act s’applique aux produits logiciels ; du développement sécurisé à la gestion des vulnérabilités, aux SBOM et au marquage CE.

S’applique à
Logiciels comportant des éléments numériques
Conformité
Normes ou tierce partie
Période de support
Définie, ≥ utilisation prévue

Étapes de conformité

1

Confirmer le champ d’application et la classe

Art. 2 · 6

La plupart des logiciels mis sur le marché de l’UE avec une connexion de données sont concernés, et de nombreux outils pour développeurs relèvent de la catégorie « importante » de l’annexe III.

  • Lancez le Test rapide CRA pour confirmer le champ d’application
  • Déterminez si votre produit est par défaut, important ou critique
  • Consignez le raisonnement dans votre documentation
Outil pour cette étape
2

Intégrer la sécurité dès la conception

Annex I · I

Concevez et développez le produit pour respecter les propriétés de sécurité essentielles tout au long de son cycle de vie.

  • Livrez une configuration sécurisée par défaut
  • Appliquez l’authentification et le contrôle d’accès
  • Protégez les données par chiffrement en transit et au repos
  • Réduisez la surface d’attaque et les interfaces exposées
Erreur fréquente

Laisser des interfaces de débogage, des identifiants par défaut ou des messages d’erreur détaillés activés dans les versions de production.

Outil pour cette étape
3

Mettre en place la gestion des vulnérabilités

Annex I · II

Mettez en œuvre un processus documenté pour détecter, corriger et divulguer les vulnérabilités pendant toute la période de support.

  • Publiez une politique de divulgation coordonnée des vulnérabilités
  • Fournissez un point de contact pour signaler les problèmes
  • Corrigez les vulnérabilités sans retard injustifié
  • Divulguez les vulnérabilités corrigées une fois une mise à jour disponible
4

Tenir à jour une nomenclature logicielle

Annexe I · II(1)

Tenez à jour un SBOM couvrant au moins les dépendances de premier niveau de votre produit.

  • Générez un SBOM dans un format lisible par machine
  • Suivez les composants et leurs vulnérabilités connues
  • Mettez-le à jour à chaque version
Outil pour cette étape
5

Fournir des mises à jour de sécurité gratuites et rapides

Annex I · I(2)

Fournissez les mises à jour de sécurité séparément des mises à jour de fonctionnalités, gratuitement, pendant la période de support déclarée.

  • Définissez et publiez la période de support
  • Diffusez rapidement les mises à jour de sécurité
  • Distribuez les correctifs par un mécanisme sécurisé
6

Constituer la documentation technique

Annexe VII

Constituez la documentation qui démontre la conformité et tenez-la à disposition de la surveillance du marché.

  • Description du produit et utilisation prévue
  • Évaluation des risques de cybersécurité
  • Justificatifs des normes appliquées
7

Évaluer la conformité et apposer le CE

Art. 32 · 36

Suivez la procédure d’évaluation de la conformité correspondant à votre classe et complétez la déclaration UE de conformité.

  • Auto-évaluez (par défaut) ou faites appel à un organisme notifié (important/critique)
  • Rédigez et signez la déclaration UE de conformité
  • Apposez le marquage CE
Outil pour cette étape
8

Respecter les obligations de signalement et maintenir le produit

Art. 13(8) · 14

À partir de septembre 2026, notifiez les vulnérabilités activement exploitées et les incidents graves, et continuez à maintenir le produit pendant toute sa période de support.

  • Transmettez une alerte précoce à l’ENISA et au CSIRT sous 24 heures
  • Faites suivre d’une notification puis d’un rapport final
  • Informez les utilisateurs concernés le cas échéant
Votre obligation continue

La période de support doit être d’au moins cinq ans (ou la durée de vie prévue du produit, si elle est plus longue), comptée à partir de sa mise sur le marché de l’UE. Pendant toute cette durée, vous devez gérer les vulnérabilités et fournir des mises à jour de sécurité gratuites ; chaque mise à jour doit ensuite rester disponible pendant 10 ans, et le dossier technique et la déclaration UE doivent être conservés pendant 10 ans.

Outils gratuits pour ce rôle

Chaque outil ci-dessous est gratuit et s’ouvre ici dans un panneau latéral, pour ne pas perdre votre place.

GratuitTest rapide CRA

Confirmez si le règlement s'applique et la classification de votre produit.

Ouvrir ici →GratuitMatrice de conformité

Cartographiez chaque obligation des annexes I et VII et suivez votre avancement.

Ouvrir ici →GratuitCalculateur de coûts

Estimez le coût ponctuel et annuel de la mise en conformité.

Ouvrir ici →GratuitAnalyseur de vulnérabilités

Croisez votre SBOM avec le NVD et l'EUVD, et suivez les composants en fin de vie.

Ouvrir ici →GratuitGénérateur de DoC

Générez une déclaration UE de conformité (annexe V) pour votre produit.

Ouvrir ici →GratuitRecherche de classification

Déterminez si votre produit est par défaut, important ou critique, par catégorie.

Ouvrir ici →GratuitPlanificateur de période de support

Définissez votre période de support minimale et repérez les composants arrivant trop tôt en fin de vie.

Ouvrir ici →
Plus d’accompagnement

Autres guides par profil

M

Fabricants

Les obligations que le Cyber Resilience Act impose aux fabricants de produits comportant des éléments numériques ; de l’évaluation des risques au marquage CE et aux obligations après commercialisation.

Lire ce guide →
I

Importateurs et distributeurs

Ce que les opérateurs économiques doivent vérifier avant ; et après ; de mettre un produit comportant des éléments numériques à disposition sur le marché de l’UE.

Lire ce guide →
CE

Comment obtenir le marquage CE

Les étapes pour déclarer la conformité et apposer le marquage CE d’un produit comportant des éléments numériques.

Lire le guide →