Cyber Resilience Act · éditeurs logiciels · sécurité produit

Audit conformité CRA : prouver que votre produit logiciel est sécurisé et maintenable

Le CRA transforme la sécurité en exigence de mise sur le marché. Votre produit doit être conçu, documenté, testé et maintenu avec un dispositif de gestion des vulnérabilités démontrable, pas seulement une politique de sécurité déclarative.

Règlement UE 2024/2847 Reporting 11 septembre 2026 SBOM & dépendances Preuves techniques
Demander mon diagnostic flash

10+ ans d'expérience · 100+ missions · réponse 24-48 h · intervenant unique certifié Qualiopi

Audit sécurité produit logiciel et conformité Cyber Resilience Act

Le déclencheur : passer d'une conformité papier à des preuves produit

Un donneur d'ordre, un investisseur, un assureur ou une autorité de marché peut demander comment votre produit gère les vulnérabilités. L'audit CRA relie vos pratiques AppSec, DevSecOps et support produit aux exigences du règlement, avec une liste d'écarts priorisée.

Produit mis sur le marché

Classification du produit, composants numériques couverts, services distants nécessaires, dépendances tierces et période de support de sécurité.

Vulnérabilités et incidents

Processus de réception, triage, correction, divulgation coordonnée et notification des vulnérabilités activement exploitées.

Preuves vérifiables

SBOM, scans de dépendances, politique de mises à jour, traces de correction, documentation sécurité et résultats de tests offensifs.

Périmètre audité

Sécurité du produit

  • Architecture produit, surfaces d'attaque et flux sensibles
  • Authentification, autorisations, secrets et chiffrement
  • Gestion des dépendances, SBOM, composants open source
  • Chaîne CI/CD, signature, intégrité et distribution des releases
  • Tests offensifs ciblés sur les fonctions critiques

Processus CRA

  • Politique de support sécurité et mises à jour
  • Réception et triage des vulnérabilités signalées
  • Critères de reporting des vulnérabilités activement exploitées
  • Documentation technique et preuves de conformité
  • Plan de remédiation avant mise sur le marché ou audit client

Pour un cadrage réglementaire plus large, consultez aussi l'article Cyber Resilience Act : obligations 2026 pour les créateurs de logiciels ou recevez le guide CRA gratuit.

Livrables

Matrice d'écarts CRA

Exigences couvertes, preuves existantes, écarts et niveau de risque pour le produit audité.

Rapport technique

Findings exploitables, PoC contrôlés, impacts produit, CVSS et recommandations priorisées.

Plan reporting 2026

Critères de décision, rôles, workflow de notification, modèles de communication et traces attendues.

Atelier de restitution

Restitution exécutive et technique pour arbitrer les corrections avant audit client ou mise sur le marché.

Tarif

À partir de 4 500 EUR HT

Audit produit focalisé : documentation, processus vulnérabilités, dépendances et tests ciblés. Périmètre complet ou multi-produits : sur cadrage.

  • Synthèse exécutive + rapport technique
  • Plan de remédiation priorisé
  • Atelier de restitution inclus
  • Retest possible après correction
Demander mon diagnostic flash

ou réserver un appel découverte

FAQ

Le CRA vise les produits comportant des éléments numériques mis sur le marché de l'Union européenne. Certains services distants nécessaires au fonctionnement du produit peuvent entrer dans le périmètre. Un SaaS pur doit être analysé au cas par cas selon son modèle de mise à disposition, ses composants et ses obligations contractuelles.

Le pentest cherche des vulnérabilités exploitables sur un périmètre technique. L'audit CRA vérifie aussi le dispositif produit : exigences essentielles, documentation, gestion des vulnérabilités, composants tiers, support de sécurité, reporting et preuves associées. Un pentest peut être inclus comme preuve technique.

Les obligations de reporting des vulnérabilités activement exploitées et incidents graves s'appliquent à partir du 11 septembre 2026. Le dispositif doit être prêt avant cette date : critères de décision, rôles, modèles de notification, canal de remontée et preuves de traitement.

Non. L'audit fournit une analyse des écarts, des preuves techniques et un plan de remédiation. Le marquage CE et la déclaration de conformité relèvent du fabricant, éventuellement avec un organisme notifié selon la classe du produit.
Demander mon diagnostic flash