Skip to main content
ResiPlan
Nouveau persona

Solution Product Security : conformité CRA bout-en-bout

Pour les fabricants de matériel, éditeurs SaaS, constructeurs IoT et équipementiers industriels qui mettent sur le marché UE des produits à éléments numériques.

Graphe d'attaque dynamique

Simulez la compromission de vos systèmes OT et IoT

DAGSIM construit un graphe d'attaque depuis votre CMDB et simule, par Monte-Carlo, comment une compromission se propage dans le temps entre vos actifs IT, OT et IoT. Les délais d'exploitation sont calés sur les vecteurs CVSS réels et les données KEV/EPSS, avec une distinction claire entre techniques Enterprise et ICS.

  • Mouvement latéral via zones IEC-62443 et segments réseau partagés
  • Techniques MITRE ATT&CK ICS (T0883, T0866) sur vos actifs OT
  • Impact sûreté IEC-61508 combiné à la criticité métier
Dynamic attack graph compromise simulationattackernetAccessexecCodereachvulExistsexploitnetAccessexecCodevulExistsexploitlateral

Jour 0 / 21

Vos défis CRA 2026-2027

CRA applicable en 20 mois

Le Cyber Resilience Act applicable au 11 décembre 2027 vous impose le marquage CE cybersécurité, le SBOM, la CVD, la matrice Annexe I. Amendes jusqu'à 15 M€ ou 2,5 % du CA mondial.

SBOM : inventaire impossible à la main

Vos produits contiennent 100-10000 composants open-source. Impossible de les suivre manuellement, encore moins de les cross-référencer avec les CVE émergentes.

CVD obligatoire mais processus inexistant

Vous devez publier une politique de divulgation coordonnée + security.txt. Sans outillage, les signalements de chercheurs se perdent dans une boîte mail générique.

Support 5-15 ans difficile à tracer

L'obligation de support long rompt avec les cycles produits habituels. Il faut un système qui déclenche automatiquement les alertes EOL et la cadence de patches.

Ce que ResiPlan vous apporte

Registre PEN complet

Inventoriez chaque produit, sa classification (non critique → critique), sa voie d'évaluation, son statut CE. Lié à votre CMDB existante.

SBOM automatisé CycloneDX / SPDX

Import glisser-déposer, parsing instantané, cross-référence CVE automatique sur chaque composant. Alertes sur nouvelles vulnérabilités.

Portail CVD clé en main

security.txt conforme RFC 9116 + formulaire public + workflow de triage en 8 états + tracking SLA 30 jours pour CVSS ≥ 7.

Cycle de vie patches

Horloge de support 5 ou 15 ans selon classification. Historique de patches liés aux CVE corrigés. Journal des notifications clients.

Matrice Annexe I évidence

13 exigences essentielles × produits, attachement de preuves (tests, pentest, code review). Score de readiness pour la Déclaration de Conformité.

Dossier surveillance prêt

Pack audit pré-assemblé par produit. Mode audit blanc. Chronomètre 15 jours ouvrés quand une demande réelle arrive d'une autorité.

Conçu pour

Si vous êtes l'un de ces rôles, vous trouverez dans ResiPlan l'outillage pour piloter votre conformité CRA.

Product Security Officer
CISO / RSSI pour les fabricants
Head of R&D / Engineering
Compliance Manager produit
Head of Quality connecté

De votre produit au marquage CE

  1. 1

    Inventoriez les produits

    Recensez chaque produit à éléments numériques et sa classification CRA.

  2. 2

    Construisez le SBOM

    Importez CycloneDX/SPDX et cross-référencez les composants aux CVE émergentes.

  3. 3

    Ouvrez le canal CVD

    Publiez une politique de divulgation coordonnée et triez les signalements avec suivi SLA.

  4. 4

    Prouvez la conformité

    Remplissez la matrice de preuves Annexe I et assemblez le dossier d'audit par produit.

FAQ

Questions fréquentes

Quels produits sont des « produits à éléments numériques » (PEN) ?

Tout produit avec du logiciel ou une connexion de données mis sur le marché UE — des objets connectés au SaaS. Le registre classe chacun dans les catégories de risque du CRA.

Que se passe-t-il si une demande de surveillance du marché arrive ?

Vous conservez un dossier technique Annexe VII pré-assemblé par produit, pour répondre dans le délai de l'autorité plutôt que dans l'urgence.

Faut-il s'y mettre avant décembre 2027 ?

Oui — les obligations principales du CRA s'appliquent au 11 décembre 2027, mais SBOM, CVD et preuves prennent du temps à bâtir ; commencer tôt évite la course de dernière minute.

Solution Product Security : conformité CRA bout-en-bout

Solution Product Security — ResiPlan | Fabricants, éditeurs, IoT