Retour aux articles

CRA : transformer son DevSecOps pour rester sur le marché UE

Le Cyber Resilience Act impose de repenser en profondeur les chaînes de développement et de maintenance des produits numériques. Adapter vos pratiques DevSecOps est devenu une condition d’accès durable au marché européen.

Publié le 15 avril 2026

Le CRA, un règlement qui s’invite dans vos pipelines

Avec le Cyber Resilience Act, la cybersécurité n’est plus un « plus produit » mais une obligation réglementaire pour tout produit comportant des éléments numériques mis sur le marché de l’UE.

Concrètement, cela signifie que vos pratiques de développement, d’intégration, de tests, de déploiement et de support doivent démontrer que les exigences essentielles du CRA sont respectées sur tout le cycle de vie.

Intégrer le « security by design & by default »

Le CRA consacre le principe de « security by design & by default » :

  • Les risques cyber doivent être pris en compte dès la phase de conception
  • Les configurations par défaut doivent être sécurisées (pas de mots de passe faibles, services inutiles désactivés, chiffrement activé lorsque pertinent)
  • Les fonctionnalités exposées doivent être limitées au strict nécessaire

Pour vos équipes, cela implique :

  • Des revues d’architecture centrées sur la menace
  • Des user stories intégrant des critères de sécurité
  • Des modèles de conception et de configuration standardisés et durcis

Repenser les tests et la validation

La conformité CRA suppose de prouver que le produit résiste aux attaques raisonnablement prévisibles.

Votre chaîne de tests doit donc évoluer :

  • Intégration systématique de tests de sécurité automatisés (SAST, SCA, DAST, fuzzing selon les cas)
  • Tests d’intrusion ciblés pour les produits les plus critiques
  • Vérification de la robustesse des mécanismes d’authentification, d’autorisation et de journalisation
  • Contrôle de la sécurité des communications (protocoles, certificats, gestion des clés)

Les résultats doivent être tracés et reliés à la gestion des vulnérabilités.

SBOM et maîtrise de la supply chain logicielle

Le CRA met l’accent sur la chaîne d’approvisionnement numérique. La maîtrise des composants tiers (open source, bibliothèques, firmware, services cloud) devient essentielle.

Actions clés :

  • Construire et maintenir un SBOM ou équivalent pour chaque produit
  • Évaluer les risques liés aux dépendances critiques
  • Intégrer des clauses CRA dans les contrats fournisseurs et sous‑traitants
  • Mettre en place une surveillance continue des vulnérabilités affectant ces composants

Structurer un véritable PSIRT

La gestion des vulnérabilités n’est plus une bonne pratique facultative : c’est une obligation centrale du CRA.

Un PSIRT (Product Security Incident Response Team) doit être en mesure de :

  • Recevoir et qualifier les signalements de vulnérabilités
  • Coordonner l’analyse d’impact avec les équipes produit et développement
  • Prioriser et piloter la correction
  • Communiquer avec les clients, partenaires et autorités compétentes

Le tout avec des délais compatibles avec les attentes réglementaires et les risques encourus.

Mises à jour de sécurité : un nouveau contrat avec vos clients

Le CRA impose des mises à jour de sécurité :

  • Pendant une durée proportionnée et annoncée
  • Distinctes des mises à jour fonctionnelles
  • Distribuées de manière sûre et fiable

Cela implique :

  • De définir une politique de support claire par gamme de produits
  • D’outiller la diffusion rapide des correctifs (CI/CD, canaux de mise à jour, mécanismes de rollback)
  • De documenter précisément les correctifs de sécurité publiés

Articuler CRA, NIS2, DORA et ISO

Pour de nombreux acteurs, le CRA vient s’ajouter à des exigences déjà présentes : NIS2 pour les services essentiels, DORA pour le secteur financier, ISO 27001 ou 62443 pour les référentiels de sécurité.

L’enjeu est d’éviter les redondances :

  • Cartographier les exigences communes (gestion des risques, journalisation, gestion des incidents)
  • Mutualiser les contrôles et les preuves de conformité
  • Aligner les responsabilités entre équipes produit, sécurité, juridique et conformité

Anticiper les échéances et les sanctions

Avec une montée en charge progressive jusqu’en 2027, les organisations qui n’auront pas adapté leurs pratiques DevSecOps risquent :

  • Des blocages de mise sur le marché (absence de marquage CE conforme)
  • Des obligations de retrait ou de rappel de produits
  • Des amendes pouvant atteindre 15 M€ ou 2,5 % du chiffre d’affaires annuel mondial

Adapter vos pipelines dès maintenant est donc un investissement de continuité d’activité.

Accélérer la mise en conformité de vos équipes

Pour aider vos équipes à traduire les exigences réglementaires en pratiques concrètes (backlog, pipelines CI/CD, PSIRT, SBOM, contrats fournisseurs), une démarche guidée est souvent nécessaire.

Une session experte comme cette session de travail sur le CRA permet de faire le lien entre texte légal et réalité opérationnelle, et de bâtir une feuille de route DevSecOps compatible avec les délais imposés par le règlement.

Sources

  1. « Cyber Resilience Act — règlement (UE) 2024/2847 » — cyber.gouv.fr — 2024-08-01
  2. « Le règlement sur la cyberrésilience – Résumé du texte législatif » — digital-strategy.ec.europa.eu — 2024-12-01
  3. « Règlement sur la cyberrésilience (Cyber Resilience Act) » — fr.wikipedia.org
  4. « Règlement sur la cyberrésilience: le Conseil adopte une nouvelle loi sur les exigences en matière de sécurité pour les produits numériques » — consilium.europa.eu — 2024-10-10
  5. « Cyber Resilience Act : la nouvelle loi européenne sur la cybersécurité » — chambersign.fr — 2024-11-01
  6. « Tour d’horizon juridique : NIS 2, DORA, Cyber Resilience Act (CRA) » — roquefeuil.avocat.fr — 2024-10-01
  7. « Mise en conformité CRA – Cyber Resilience Act » — digitemis.com — 2025-03-01
  8. « How to obtain a CE marking for the CRA ? » — cyberresilienceact.eu — 2025-01-01

Découvrir le Spark lié : Comprendre et se conformer au Cyber Resilient Act