Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Tests totaux:
485,773,462
737,046
130,956

Conformité au Règlement sur la cyber-résilience

The EU Cyber Resilience Act sets binding cybersecurity requirements for products with digital elements. Learn how ImmuniWeb supports its secure-by-design and vulnerability-handling obligations.

Temps de lecture:8 min. Mise à jour:8 juillet 2025
Conformité au Règlement sur la cyber-résilience
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
EU Cyber Resilience Act Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.

Conformité au Règlement sur la cyber-résilience

Qu’est-ce que la loi européenne sur la cyber-résilience?

La CRA est le premier règlement horizontal de l'UE sur la cybersécurité des produits. Elle s'applique aux «produits comportant des éléments numériques» – logiciels et matériels, ainsi que leurs solutions de traitement de données à distance – mis sur le marché de l'UE, quel que soit le lieu d'établissement du fabricant.

Les fabricants doivent satisfaire aux exigences essentielles de cybersécurité énoncées à l’annexe I, procéder à une évaluation de la conformité, apposer le marquage CE, fournir une liste de composants logiciels (SBOM) lisible par machine, mettre en œuvre la divulgation coordonnée des vulnérabilités et fournir des mises à jour de sécurité pendant toute la période de maintenance.

See how ImmuniWeb supports CRA secure-by-design and vulnerability handling- testing your products with digital elements for exploitable vulnerabilities. Request a demoor run a free Community Edition test.

Qui doit se conformer au CRA de l'UE?

La CRA s'applique à:

  • Fabricants de produits avec des éléments numériques (logiciel et matériel) mis sur le marché de l'UE.
  • Les importateurs et distributeurs mettant ces produits sur le marché de l'UE.
  • Les fabricants hors UE dont les produits accèdent au marché de l’UE (portée extraterritoriale).

Les logiciels et composants web/mobiles concernés doivent être développés de manière sécurisée et testés pour détecter les vulnérabilités.

Exigences clés de l’ARC pour la sécurité des applications

The Annex I essential requirements drive application-security work:

  • Aucune vulnérabilité exploitable connue: les produits doivent être mis sur le marché sans vulnérabilités exploitables connues.
  • Secure by design: concevoir, développer et produire des produits pour garantir un niveau approprié de cybersécurité.
  • Gestion des vulnérabilités: identifier et documenter les vulnérabilités, y remédier sans délai, et effectuer des tests et des revues réguliers de la sécurité du produit.
  • Security updates & reporting:provide security updates over the support period; report actively exploited vulnerabilities and severe incidents (from 11 September 2026).

Les exigences de sécurité du CRA en détail

Aucune vulnérabilité exploitable connue & Secure by Design

Les produits comportant des éléments numériques doivent être mis sur le marché sans vulnérabilité exploitable connue et sécurisés par conception. Les tests d’intrusion et l’analyse des vulnérabilités du logiciel et de ses composants web et mobiles identifient les vulnérabilités exploitables qui doivent être éliminées avant la mise sur le marché.

Gestion des vulnérabilités et tests réguliers

L'Annexe I impose aux fabricants d'identifier et de documenter les vulnérabilités, ainsi que d'effectuer régulièrement des tests et des revues de la sécurité des produits. Le scanning continu et les tests d'intrusion périodiques — avec un suivi des corrections — opérationnalisent cette exigence tout au long de la période de support.

Risques courants des applications Web et mobiles à remédier

The vulnerabilities the CRA expects you to remove from products map closely to the OWASP Top 10 for web and mobile components:

  • Broken Access Control — users reaching data or actions they should not.
  • Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
  • Injection — Injection SQL, de commande ou autre via des entrées non validées.
  • Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
  • Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
  • Composants vulnérables et obsolètes — bibliothèques et frameworks non patchés.
  • Identification & Authentication Failures — weak login, session or credential handling.
  • Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
  • Échecs de la journalisation et de la surveillance de la sécurité — attaques non détectées.
  • Server-Side Request Forgery (SSRF) — the server tricked into making malicious requests.

Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.

Comment atteindre la conformité CRA avec ImmuniWeb

  1. Inventaire des produits et composants. Répertoriez les produits, applications et API exposés à Internet avec ImmuniWeb Discovery.
  2. Testez les vulnérabilités exploitables avec On-Demand et Neuron avant la mise sur le marché.
  3. Test mobile components with MobileSuite and Neuron Mobile.
  4. Gérer les vulnérabilités grâce à des scans réguliers et une remédiation suivie.
  5. Secure development with Continuous in CI/CD across the support period.
  6. Re-test after updates and on a recurring basis.

Comment ImmuniWeb vous aide à assurer la conformité CRA de l’UE

ImmuniWeb soutient les exigences de la CRA en matière de secure-by-design et de vulnerability-handling grâce à des tests produisant des preuves prêtes pour la conformité.

Exigence Ce que cela nécessite Produits ImmuniWeb
No known exploitable vulnerabilities Éliminer les vulnérabilités exploitables avant la publication. On-Demand, Neuron
Vulnerability handling Identifier, documenter et tester régulièrement la sécurité du produit. Neuron, On-Demand, Discovery
Secure development / support period Sécuriser le SDLC ; tester tout au long de la période de support. Continuous, MobileSuite

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing; Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface of your products and components - together producing evidence for CRA conformity.

EU CRA vs Cadres internationaux

Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:

Framework Perspective sécurité des applications Comment ImmuniWeb s'aligne
EU CRA Sécurité par conception + gestion des vulnérabilités pour les produits Tests d’intrusion Web/mobile + scans + ASM
EU NIS 2 Mesures organisationnelles de gestion des risques Les mêmes tests couvrent les deux
Loi européenne sur l’IA Cybersécurité des IA à haut risque Securing apps and components around AI
ISO/IEC 27001 Annexe A: contrôles techniques Tests comme preuve de contrôle

Tests d'intrusion vs scans de sécurité

Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.

Liste de contrôle de conformité (Sécurité des applications)

  • Inventaire des produits comportant des éléments numériques et de leurs composants
  • Produits testés et exempts de vulnérabilités connues exploitables
  • Pratiques de conception sécurisée documentées
  • Processus de gestion des vulnérabilités avec tests réguliers en place
  • Security updates provided across the support period
  • Reporting workflow ready for the 11 September 2026 obligations
  • Preuves de conformité et SBOM maintenues

Why EU CRA Compliance Matters

Après le 11 décembre 2027, les produits ne respectant pas la conformité CRA ne pourront plus être légalement mis sur le marché de l'UE, et la non-conformité pourra entraîner des amendes allant jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial. À partir du 11 septembre 2026, les fabricants devront déjà signaler les vulnérabilités activement exploitées et les incidents graves dans des délais serrés.

Les vulnérabilités exploitables dans les logiciels et leurs composants web et mobiles étant précisément ce que cible la CRA, des tests démontrables constituent l'un des moyens les plus directs de satisfaire aux exigences essentielles et de protéger l'accès au marché de l'UE.

Foire aux questions

  • Q
    Qu'est-ce que l'EU Cyber Resilience Act?
    A
    Regulation (EU) 2024/2847, the EU's horizontal product-cybersecurity law for products with digital elements, in force since 10 December 2024.
  • Q
    Quand le CRA s’applique-t-il?
    A
    Les obligations de déclaration s’appliquent à compter du 11 septembre 2026, et les principales obligations (sécurité dès la conception, évaluation de la conformité, marquage CE) à compter du 11 décembre 2027.
  • Q
    Qui doit se conformer au CRA?
    A
    Les fabricants, importateurs et distributeurs qui placent sur le marché de l’UE des produits comportant des éléments numériques, y compris les fabricants non européens.
  • Q
    Quelles sont les exigences du règlement CRA en matière de sécurité?
    A
    Des produits exempts de vulnérabilités exploitables connues, une ingénierie secure-by-design, une gestion des vulnérabilités avec des tests réguliers et des mises à jour de sécurité tout au long de la période de support.
  • Q
    Comment ImmuniWeb aide-t-il à respecter la conformité CRA?
    A
    En testant les logiciels et leurs composants web et mobiles afin de détecter les vulnérabilités exploitables et en supportant la gestion continue des vulnérabilités tout au long de la période de support.
  • Q
    What are the penalties under the CRA?
    A
    Jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial annuel, ainsi que la perte d’accès au marché UE pour les produits non conformes.
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
EU Cyber Resilience Act Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.
Parlez à un expert