Formation Cyber Resilience Act et sécurité produit logiciel

Réglementation · Sécurité produit

Conformité CRA et sécurité produit logiciel

Formation d'une journée pour aider les éditeurs, fabricants et équipes produit à comprendre le Cyber Resilience Act et à construire un plan d'action opérationnel : périmètre produit, exigences de cybersécurité, gestion des vulnérabilités, SBOM, documentation et reporting.

Le CRA arrive vite : les premières obligations commencent dès 2026.

Les obligations de signalement des vulnérabilités activement exploitées et des incidents graves s'appliquent à partir du 11 septembre 2026. Pour les éditeurs et fabricants concernés, attendre 2027 serait trop tard : il faut dès maintenant cadrer le périmètre produit, les preuves de sécurité, la gestion des vulnérabilités et les procédures de reporting.

Session et tarif

Format : 1 jour (7 heures), en présentiel ou distanciel.

Tarif : sur devis pour les sessions intra-entreprise (TVA non applicable, art. 293 B du CGI).

Financement : prise en charge OPCO possible sous réserve d'acceptation, organisme certifié Qualiopi.

Pour organiser une session, adapter le programme à vos produits ou obtenir un devis : formulaire de contact.

Public cible

Dirigeants d'éditeurs logiciels, CTO, responsables produit, RSSI, responsables conformité, DevSecOps, tech leads et équipes chargées de la sécurité produit.

Objectifs pédagogiques

  • Identifier les produits et composants susceptibles d'entrer dans le périmètre du Cyber Resilience Act.
  • Comprendre les exigences de cybersécurité applicables aux produits comportant des éléments numériques.
  • Structurer une démarche de sécurité produit : analyse de risques, secure by design, durcissement, documentation.
  • Mettre en place une gestion des vulnérabilités compatible avec les obligations de reporting à partir du 11 septembre 2026.
  • Construire une feuille de route pragmatique jusqu'à l'application générale des obligations au 11 décembre 2027.

Programme de la journée

  1. Comprendre le CRA : logique du règlement, acteurs concernés, produits comportant des éléments numériques, exclusions et responsabilités.
  2. Classifier ses produits : catégorie par défaut, produits importants, produits critiques, impacts sur l'évaluation de conformité.
  3. Exigences de sécurité produit : secure by design, configuration sûre par défaut, moindre privilège, journalisation, mise à jour et documentation utilisateur.
  4. Gestion des vulnérabilités : point de contact sécurité, divulgation coordonnée, triage, correctifs, advisory, conservation des preuves.
  5. SBOM et composants tiers : inventaire des dépendances, open source, SCA, capacité de correction rapide et traçabilité des versions livrées.
  6. Reporting 2026 : vulnérabilités activement exploitées, incidents graves, délais 24h/72h, SRP ENISA, CERT-FR pour les fabricants établis en France.
  7. Atelier de feuille de route : matrice d'écart, priorités 30/90 jours, livrables attendus et gouvernance produit.

Livrables pédagogiques

  • Support de formation et synthèse des obligations CRA.
  • Checklist de cadrage produit : périmètre, classification, preuves à collecter.
  • Modèle de plan d'action sécurité produit et gestion des vulnérabilités.
  • Attestation de fin de formation.

Informations pratiques

Transparence sur l'action de formation : durée, public, modalités, évaluation, accessibilité et financement.

Durée
1 jour (7 heures).
Modalités d'organisation
Présentiel ou distanciel (visioconférence). Basé à Toulouse, interventions possibles sur toute la France. Adaptation possible en intra-entreprise à partir de vos produits et processus existants.
Nombre de participants
Session recommandée jusqu'à 10 participants pour conserver un format interactif.
Prérequis
Aucun prérequis technique avancé. Une connaissance de votre produit, de votre cycle de développement ou de vos obligations conformité facilite les ateliers.
Méthodes pédagogiques et supports
Apports structurés, exemples concrets, atelier de cartographie des écarts, quiz, support remis à l'issue de la formation.
Évaluation des acquis
Quiz et mise en application sur une feuille de route CRA adaptée à un cas produit.
Accessibilité
Formation adaptable aux personnes en situation de handicap. Nous contacter pour étudier les besoins spécifiques.
Financement
Organisme certifié Qualiopi au titre des actions de formation. Prise en charge possible par votre OPCO sous réserve d'acceptation ; prévoir en général un délai d'instruction d'environ 30 jours.
Suivi qualité
Questionnaire de satisfaction à chaud ; analyse des retours pour amélioration continue.

Références réglementaires

Cette formation s'appuie notamment sur le règlement (UE) 2024/2847, les informations de mise en œuvre publiées par l'Union européenne et les éléments opérationnels communiqués par l'ANSSI.

Demander un devis Lire le guide CRA

← Toutes les formations