Solution Product Security : conformité CRA bout-en-bout
Pour les fabricants de matériel, éditeurs SaaS, constructeurs IoT et équipementiers industriels qui mettent sur le marché UE des produits à éléments numériques.
Simulez la compromission de vos systèmes OT et IoT
DAGSIM construit un graphe d'attaque depuis votre CMDB et simule, par Monte-Carlo, comment une compromission se propage dans le temps entre vos actifs IT, OT et IoT. Les délais d'exploitation sont calés sur les vecteurs CVSS réels et les données KEV/EPSS, avec une distinction claire entre techniques Enterprise et ICS.
- Mouvement latéral via zones IEC-62443 et segments réseau partagés
- Techniques MITRE ATT&CK ICS (T0883, T0866) sur vos actifs OT
- Impact sûreté IEC-61508 combiné à la criticité métier
Jour 0 / 21
Vos défis CRA 2026-2027
CRA applicable en 20 mois
Le Cyber Resilience Act applicable au 11 décembre 2027 vous impose le marquage CE cybersécurité, le SBOM, la CVD, la matrice Annexe I. Amendes jusqu'à 15 M€ ou 2,5 % du CA mondial.
SBOM : inventaire impossible à la main
Vos produits contiennent 100-10000 composants open-source. Impossible de les suivre manuellement, encore moins de les cross-référencer avec les CVE émergentes.
CVD obligatoire mais processus inexistant
Vous devez publier une politique de divulgation coordonnée + security.txt. Sans outillage, les signalements de chercheurs se perdent dans une boîte mail générique.
Support 5-15 ans difficile à tracer
L'obligation de support long rompt avec les cycles produits habituels. Il faut un système qui déclenche automatiquement les alertes EOL et la cadence de patches.
Ce que ResiPlan vous apporte
Registre PEN complet
Inventoriez chaque produit, sa classification (non critique → critique), sa voie d'évaluation, son statut CE. Lié à votre CMDB existante.
SBOM automatisé CycloneDX / SPDX
Import glisser-déposer, parsing instantané, cross-référence CVE automatique sur chaque composant. Alertes sur nouvelles vulnérabilités.
Portail CVD clé en main
security.txt conforme RFC 9116 + formulaire public + workflow de triage en 8 états + tracking SLA 30 jours pour CVSS ≥ 7.
Cycle de vie patches
Horloge de support 5 ou 15 ans selon classification. Historique de patches liés aux CVE corrigés. Journal des notifications clients.
Matrice Annexe I évidence
13 exigences essentielles × produits, attachement de preuves (tests, pentest, code review). Score de readiness pour la Déclaration de Conformité.
Dossier surveillance prêt
Pack audit pré-assemblé par produit. Mode audit blanc. Chronomètre 15 jours ouvrés quand une demande réelle arrive d'une autorité.
Conçu pour
Si vous êtes l'un de ces rôles, vous trouverez dans ResiPlan l'outillage pour piloter votre conformité CRA.
De votre produit au marquage CE
- 1
Inventoriez les produits
Recensez chaque produit à éléments numériques et sa classification CRA.
- 2
Construisez le SBOM
Importez CycloneDX/SPDX et cross-référencez les composants aux CVE émergentes.
- 3
Ouvrez le canal CVD
Publiez une politique de divulgation coordonnée et triez les signalements avec suivi SLA.
- 4
Prouvez la conformité
Remplissez la matrice de preuves Annexe I et assemblez le dossier d'audit par produit.
Questions fréquentes
Quels produits sont des « produits à éléments numériques » (PEN) ?
Tout produit avec du logiciel ou une connexion de données mis sur le marché UE — des objets connectés au SaaS. Le registre classe chacun dans les catégories de risque du CRA.
Que se passe-t-il si une demande de surveillance du marché arrive ?
Vous conservez un dossier technique Annexe VII pré-assemblé par produit, pour répondre dans le délai de l'autorité plutôt que dans l'urgence.
Faut-il s'y mettre avant décembre 2027 ?
Oui — les obligations principales du CRA s'appliquent au 11 décembre 2027, mais SBOM, CVD et preuves prennent du temps à bâtir ; commencer tôt évite la course de dernière minute.