Cybersécurité produit et CRA : Garantissez votre conformité, maîtrisez les risques
Le Cyber Resilience Act (CRA) impose de nouvelles exigences européennes pour sécuriser les produits numériques tout au long de leur cycle de vie. Il vise à garantir la sécurité des utilisateurs en imposant aux fabricants des obligations strictes : analyse de risque, gestion des vulnérabilités, conformité technique, traçabilité.
Le CRA impacte directement la conception, fabrication, mise sur le marché et exploitation des produits connectés. Se conformer devient un enjeu stratégique pour accéder au marché européen (marquage CE) et limiter les risques cyber.
SERMA Safety and Security vous accompagne avec une offre modulaire, à la carte ou en pack complet, pour sécuriser vos produits et garantir leur conformité CRA à chaque étape de votre projet.
Notre accompagnement
- Formations et sensibilisations
- Audit et Workshop de maturité, accompagnement réglementaire et juridique
- Analyse de risque produit
- Gouvernance et SBOM / Cybersécurité technique
- Tests d’intrusion (Pentests)
- Marquage CE et conformité produit
- Surveillance et gestion post-marché des vulnérabilités
Formations et sensibilisations
Objectif : Renforcer les compétences et la culture cybersécurité au sein de vos équipes.
Audit et workshop de maturité, accompagnement réglementaire et juridique
Objectif : Identifier vos obligations, évaluer
votre maturité en cybersécurité, initier la mise
en conformité dès la phase amont et établir un
plan d’action structuré pour accompagner votre
progression.
Contenu :
- Cartographie des réglementations et normes sectorielles clés (62443, 303645, ISO 18031, etc.)
- Analyse du rôle économique (fabricant, importateur, distributeur selon Blue Guide)
- Audit de maturité cybersécurité organisationnelle et produit
- Options : rédaction de politiques internes, mise en place d’un registre de conformité
- Accompagnement contractuel (clauses cybersécurité, supply chain)
- Analyse juridique des écarts (état actuel vs exigences futures)
Livrables : Rapport d’audit, recommandations et plan d’action.
dès 2400€ HT
Analyse de risque produit alignée CRA
Objectif : Réaliser l’analyse de risque complète requise par le CRA, couvrant tout le cycle de vie produit, avec traçabilité vers exigences de sécurité et conformité CE.
Contenu :
- Choix de méthode adaptée (EBIOS RM, ISO 27005, ISO 21434, STRIDE)
- Définition du périmètre, cas d’usage, chaînes logistiques
- Cartographie des actifs (sécurité, vie privée, réseau)
- Modélisation des menaces et scénarios d’attaque réalistes
- Évaluation risques (vraisemblance x impacts)
- Critères et décisions d’acceptation du risque
- Plan de traitement (exigences, backlog, jalons, preuves)
- Traçabilité risques → exigences → tests (ICS/IXIT & dossier CE)
- Mise à jour continue selon vulnérabilités, incidents, évolutions produit
Gouvernance et SBOM / Cybersécurité technique
Objectif : Définir et déployer un cycle de vie
produit sécurisé, piloté par les résultats de
l’analyse de risques, avec des outils adaptés à
chaque étape.
Contenu :
- Définition de la stratégie et gouvernance cyber
- Mise en place et gestion de SBOM, VEX, gouvernance open source
- Architecture sécurisée (secure boot, TPM, mises à jour sécurisées, segmentation réseau)
- Développement sécurisé (SAST, SCA, DAST, fuzzing, gestion des secrets, builds signés)
- Validation (tests cryptographiques, fuzzing, validation SBOM/VEX)
Tests d'intrusion (Pentests)
Objectif : Vérifier la robustesse du produit en conditions réelles, selon sa classification et exigences normatives.
Contenu :
- Pentests applicatifs (web, mobile, API)
- Tests réseaux et radio (Wi-Fi, Bluetooth, LoRa, 4G/5G, Modbus, OPC-UA)
- Reverse engineering firmware
- Red Team / exercices de scénarios d’attaque réalistes
- Hardware hacking (JTAG, injection de fautes, canaux auxiliaires)
Marquage CE et conformité produit
Objectif : Accompagner jusqu’à l’obtention du marquage CE et la déclaration UE de conformité.
Contenu :
- Préparation ICS/IXIT (Conformity Statement & Test Cases)
- Dossier technique CRA complet (architecture, SBOM, rapports tests, preuves corrections vulnérabilités)
- Interface avec l’organisme notifié (TÜV, LCIE, etc.)
- Rédaction et support déclaration UE de conformité (DoC)
- Assistance à l’apposition du marquage CE
Surveillance et gestion post-marché des vulnérabilités
Objectif : Mettre en place un PSIRT efficace et gérer les vulnérabilités après commercialisation.
Contenu :
- Mise en place PSIRT (rôles, processus, outillage)
- Politique de divulgation (VDP, bug bounty)
- Veille CVE/KEV corrélée au SBOM
- Gestion des vulnérabilités (triage, scoring, remédiation, communication via VEX)
- Surveillance (télémétrie, IDS/IPS, EDR IoT)
- Gestion des incidents & analyses forensiques