CRA vs ISO 27001 : Comment Votre SMSI Soutient la Conformité de Sécurité Produit

De nombreux fabricants ont déjà une certification ISO 27001 pour leur système de management de la sécurité de l'information. Est-ce que cela aide pour la conformité CRA ? La réponse courte : oui, mais ce n'est pas suffisant. ISO 27001 se concentre sur la sécurité organisationnelle, tandis que le CRA se concentre sur la sécurité des produits. Ils se complètent mais ne se substituent pas.

Ce guide explique la relation entre ISO 27001 et le CRA.

Comprendre les Différents Périmètres

Ce que Couvre ISO 27001

ISO 27001 est une norme de système de management de la sécurité de l'information (SMSI) couvrant :

Contrôles au niveau organisationnel :

• Politiques de sécurité de l'information
• Gestion des actifs
• Contrôle d'accès (aux systèmes et données)
• Utilisation de la cryptographie
• Sécurité physique
• Sécurité des opérations
• Sécurité des communications
• Relations fournisseurs
• Gestion des incidents
• Continuité d'activité
• Gestion de la conformité

Focus : Protéger les actifs informationnels de votre organisation

Ce que Couvre le CRA

Le CRA est un règlement produit couvrant :

Exigences au niveau produit :

• Sécurité dès la conception des produits
• Pas de vulnérabilités exploitables connues
• Configuration sécurisée par défaut
• Protection contre l'accès non autorisé (dans le produit)
• Protection des données (par le produit)
• Capacité de mise à jour (du produit)
• Gestion des vulnérabilités (pour le produit)
• SBOM pour les composants du produit
• Marquage CE et évaluation de conformité

Focus : S'assurer que les produits que vous vendez sont sécurisés

La Différence Fondamentale

PÉRIMÈTRE ISO 27001 vs CRA

ISO 27001 :
« Comment votre ORGANISATION gère-t-elle la sécurité ? »
┌─────────────────────────────────────────────┐
│ Votre Entreprise                            │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ Systèmes│ │ Données │ │ Personnes│        │
│ └─────────┘ └─────────┘ └─────────┘        │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │ Processus│ │ Réseau │ │ Locaux  │        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

CRA :
« Quelle est la sécurité des PRODUITS que vous vendez ? »
┌─────────────────────────────────────────────┐
│ Vos Produits (vendus aux clients)           │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Produit A│ │Produit B│ │Produit C│        │
│ └─────────┘ └─────────┘ └─────────┘        │
│                                             │
│ Chaque produit doit répondre aux exigences  │
│ CRA                                         │
└─────────────────────────────────────────────┘

Mapping Détaillé des Exigences

Où ISO 27001 Aide le CRA

Où ISO 27001 Est Insuffisant

Résumé de l'Analyse des Écarts

ANALYSE DES ÉCARTS ISO 27001 → CRA

BASE SOLIDE (ISO 27001 aide significativement) :
✓ Culture et sensibilisation à la sécurité
✓ Méthodologie de gestion des risques
✓ Capacité de réponse aux incidents
✓ Gestion de la sécurité fournisseurs
✓ Politiques de cycle de développement sécurisé
✓ Cadre de contrôle d'accès
✓ Pratiques de documentation

COUVERTURE PARTIELLE (ISO 27001 aide mais pas suffisant) :
◐ Gestion des vulnérabilités (focus org vs. produit)
◐ Cryptographie (politique vs. implémentation)
◐ Tests de sécurité (entreprise vs. produit)
◐ Gestion des changements (IT vs. produit)

LACUNES (Spécifique CRA, pas dans ISO 27001) :
✗ Génération et maintenance SBOM
✗ Évaluation de conformité produit
✗ Processus de marquage CE
✗ Signalement des vulnérabilités à l'ENISA
✗ Dossier technique spécifique au produit
✗ Engagement de période de support 5 ans
✗ Vérification de configuration sécurisée par défaut
✗ Exigences de mécanisme de mise à jour produit

Comment Exploiter ISO 27001 pour le CRA

Utilisez Votre SMSI comme Base

Si vous êtes certifié ISO 27001, vous avez de solides bases sur lesquelles construire :

EXPLOITER ISO 27001 POUR LE CRA

1. ÉTENDRE LES PROCESSUS EXISTANTS :

   Processus ISO 27001         →  Extension CRA
   ─────────────────────────────────────────────
   Évaluation des risques (6.1) →  Évaluation risques produit
   Gestion vulnérabilités (A.8.8) → Gestion vulnérabilités produit
   Gestion fournisseurs (A.5.19-22) → SBOM des fournisseurs
   Gestion incidents (A.5.24-26) → Signalement ENISA
   Dév. sécurisé (A.8.25-28) → Tests sécurité produit

2. AJOUTER LES ÉLÉMENTS SPÉCIFIQUES CRA :

   Nouveau Processus              Objectif
   ─────────────────────────────────────────────
   Génération SBOM                Suivi des composants
   Évaluation de conformité       Marquage CE
   Dossier technique produit      Documentation réglementaire
   Gestion période de support     Engagement 5 ans
   Signalement ENISA              Notification des vulnérabilités

Étapes Pratiques d'Intégration

INTÉGRATION ISO 27001 + CRA

ÉTAPE 1 : EXTENSION DU PÉRIMÈTRE
- Ajouter « sécurité des produits » au périmètre SMSI
- Inclure le développement produit dans l'évaluation des risques
- Étendre l'inventaire des actifs pour inclure les composants produit

ÉTAPE 2 : MISES À JOUR DES PROCESSUS
- Mettre à jour la procédure de vulnérabilités pour le signalement produit
- Ajouter le SBOM à la gestion des changements
- Inclure l'ENISA dans la réponse aux incidents

ÉTAPE 3 : AJOUTS DOCUMENTAIRES
- Dossiers techniques produit
- Enregistrements SBOM
- Preuves d'évaluation de conformité
- Documentation de période de support

ÉTAPE 4 : RÔLES ET RESPONSABILITÉS
- Assigner la propriété de la sécurité produit
- Définir la responsabilité du signalement ENISA
- Établir la propriété de maintenance SBOM

Contrôles ISO 27001 Annexe A et CRA

Contrôles les Plus Pertinents

A.8.25 Cycle de développement sécurisé

• ISO 27001 : Politiques pour le développement sécurisé
• Utilisation CRA : Base pour les exigences de sécurité produit

A.8.26 Exigences de sécurité des applications

• ISO 27001 : Exigences de sécurité dans le développement
• Utilisation CRA : Base pour les exigences essentielles produit

A.8.27 Architecture système sécurisée

• ISO 27001 : Principes d'architecture sécurisée
• Utilisation CRA : Architecture de sécurité produit

A.8.28 Codage sécurisé

• ISO 27001 : Pratiques de codage sécurisé
• Utilisation CRA : Sécurité du code produit

A.8.8 Gestion des vulnérabilités techniques

• ISO 27001 : Gestion des vulnérabilités organisationnelles
• Utilisation CRA : Étendre aux vulnérabilités produit + signalement ENISA

A.5.19-22 Relations fournisseurs

• ISO 27001 : Gestion de la sécurité fournisseurs
• Utilisation CRA : Collecte SBOM auprès des fournisseurs, sécurité chaîne d'approvisionnement

Implémentation des Contrôles pour le CRA

EXTENSION DES CONTRÔLES ISO 27001 POUR LE CRA

EXTENSION A.8.8 GESTION DES VULNÉRABILITÉS :

Exigence ISO 27001 :
« Les informations sur les vulnérabilités techniques des
systèmes d'information utilisés doivent être obtenues... »

Extension CRA :
- Surveiller les vulnérabilités dans VOS PRODUITS
- Maintenir un processus de notification client
- Implémenter le signalement ENISA (24h/72h)
- Suivre le statut des vulnérabilités par produit
- Générer des documents VEX

EXTENSION A.8.25-28 DÉVELOPPEMENT SÉCURISÉ :

Exigence ISO 27001 :
« Des règles pour le développement de logiciels et systèmes
doivent être établies et appliquées... »

Extension CRA :
- Inclure la génération SBOM dans le processus de build
- Vérifier la configuration « sécurisée par défaut »
- Tester les exigences de sécurité produit
- Documenter pour le dossier technique
- Maintenir les preuves pour l'évaluation de conformité

Considérations de Certification

Certification ISO 27001 ≠ Conformité CRA

Compréhension critique :

• La certification ISO 27001 montre la maturité en sécurité organisationnelle
• La conformité CRA est une exigence réglementaire par produit
• Avoir ISO 27001 NE vous exempte PAS du CRA
• Les auditeurs ISO 27001 n'évaluent pas la conformité CRA

Utiliser ISO 27001 dans le Contexte CRA

COMMENT RÉFÉRENCER ISO 27001 DANS LA DOCUMENTATION CRA

DANS LE DOSSIER TECHNIQUE :
« [Entreprise] maintient un Système de Management de la
Sécurité de l'Information certifié ISO/IEC 27001:2022
(Certificat n° XXX, délivré par [Organisme de Certification]).

Le SMSI fournit la base organisationnelle pour la sécurité
des produits, incluant :
- Cycle de développement sécurisé (A.8.25-28)
- Processus de gestion des vulnérabilités (A.8.8)
- Exigences de sécurité fournisseurs (A.5.19-22)

La conformité CRA spécifique au produit est documentée dans
ce dossier technique, s'appuyant sur ces contrôles SMSI. »

CE QUE CELA MONTRE :
- Maturité en gestion de la sécurité
- La base de processus existe
- Pas un substitut aux preuves produit

Synergies d'Audit

ALIGNEMENT AUDIT ISO 27001 ET CRA

AUDIT DE SURVEILLANCE ISO 27001 :
- Évaluation annuelle du SMSI
- Peut inclure le périmètre sécurité produit
- Preuves réutilisables pour le CRA

ÉVALUATION DE CONFORMITÉ CRA :
- Évaluation spécifique au produit
- Référence le SMSI pour les preuves de processus
- Nécessite des preuves produit supplémentaires

OPPORTUNITÉS DE SYNERGIE :
- Aligner les calendriers d'audit
- Réutiliser les preuves quand applicable
- Approche système de management intégré
- Référentiel de documentation unique

Scénarios Courants

Scénario 1 : Certifié ISO 27001, Démarrage CRA

SCÉNARIO : ISO 27001 EXISTANT, NOUVEAU POUR CRA

AVANTAGES :
✓ La méthodologie de risque existe
✓ Culture de sécurité établie
✓ Pratiques de documentation en place
✓ Gestion fournisseurs existe
✓ Capacité de réponse aux incidents

CE QU'IL FAUT AJOUTER :
[ ] Classification produit selon CRA
[ ] Capacité de génération SBOM
[ ] Processus de signalement ENISA
[ ] Dossiers techniques produit
[ ] Processus d'évaluation de conformité
[ ] Gestion de la période de support
[ ] Tests spécifiques au produit

APPROCHE :
1. Analyse des écarts vs. exigences CRA
2. Étendre le périmètre SMSI pour inclure les produits
3. Ajouter les processus spécifiques CRA
4. Mettre à jour la documentation
5. Former les équipes concernées

Scénario 2 : Pas d'ISO 27001, Approche CRA

SCÉNARIO : PAS D'ISO 27001, BESOIN DE CONFORMITÉ CRA

OPTIONS :

OPTION A : CRA Seulement
- Implémenter les exigences CRA directement
- Approche orientée produit
- Peut manquer les bénéfices de sécurité organisationnelle
- Plus rapide vers la conformité CRA

OPTION B : ISO 27001 + CRA
- Implémenter les deux cadres
- Sécurité globale plus forte
- Plus de travail initial
- Meilleure position à long terme

RECOMMANDATION :
Pour les fabricants de produits, considérer :
- Commencer par les exigences CRA (échéance réglementaire)
- Construire vers ISO 27001 au fil du temps
- Aligner les approches dès le début

Scénario 3 : Plusieurs Produits, SMSI Central

SCÉNARIO : SMSI SUPPORTANT PLUSIEURS PRODUITS

APPROCHE :

CENTRALISÉ (SMSI) :
- Méthodologie de risque
- Processus de gestion des vulnérabilités
- Gestion fournisseurs
- Réponse aux incidents
- Standards de développement

PAR PRODUIT (CRA) :
- Dossier technique
- SBOM
- Évaluation de conformité
- Documentation produit
- Période de support

BÉNÉFICES :
- Réutilisation efficace des processus
- Approche de sécurité cohérente
- Expertise centralisée
- Conformité spécifique au produit

Cadre d'Intégration

Modèle de Gouvernance

MODÈLE DE GOUVERNANCE INTÉGRÉ

NIVEAU ORGANISATIONNEL (ISO 27001) :
┌─────────────────────────────────────────────┐
│ Système de Management de la Sécurité de     │
│ l'Information                               │
│                                             │
│ - Politiques de sécurité                    │
│ - Cadre de gestion des risques              │
│ - Organisation de la sécurité               │
│ - Sensibilisation et formation              │
└─────────────────────────────────────────────┘
            │
            ▼
NIVEAU PRODUIT (CRA) :
┌─────────────────────────────────────────────┐
│ Conformité Sécurité Produit                 │
│                                             │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐        │
│ │Produit A│ │Produit B│ │Produit C│        │
│ │- Dossier│ │- Dossier│ │- Dossier│        │
│ │  tech.  │ │  tech.  │ │  tech.  │        │
│ │- SBOM   │ │- SBOM   │ │- SBOM   │        │
│ │- DoC    │ │- DoC    │ │- DoC    │        │
│ └─────────┘ └─────────┘ └─────────┘        │
└─────────────────────────────────────────────┘

Structure Documentaire

DOCUMENTATION INTÉGRÉE

DOCUMENTATION SMSI (ISO 27001) :
├── Politique de Sécurité de l'Information
├── Procédure d'Évaluation des Risques
├── Déclaration d'Applicabilité
├── Politique de Développement Sécurisé
├── Procédure de Gestion des Vulnérabilités
├── Procédure de Réponse aux Incidents
└── Politique de Sécurité Fournisseurs

DOCUMENTATION CRA (Par Produit) :
├── Dossier Technique Produit
│   ├── Description produit
│   ├── Évaluation des risques
│   ├── Architecture de sécurité
│   ├── Rapports de tests
│   └── SBOM
├── Déclaration de Conformité UE
├── Documentation Utilisateur
└── Déclaration de Période de Support

RÉFÉRENCES CROISÉES :
- Le dossier technique référence les procédures SMSI
- Les procédures SMSI incluent les exigences CRA
- Source unique de vérité quand possible

Checklist : Organisation ISO 27001 Ajoutant le CRA

CHECKLIST CONFORMITÉ ISO 27001 → CRA

ÉVALUATION :
[ ] Revoir le périmètre SMSI actuel
[ ] Identifier les produits avec éléments numériques
[ ] Classifier les produits selon les catégories CRA
[ ] Analyse des écarts : SMSI vs. exigences CRA

EXTENSION DU PÉRIMÈTRE :
[ ] Ajouter la sécurité produit au périmètre SMSI
[ ] Mettre à jour l'évaluation des risques pour inclure les produits
[ ] Étendre la Déclaration d'Applicabilité

AJOUTS DE PROCESSUS :
[ ] Processus de génération SBOM
[ ] Procédure de signalement ENISA
[ ] Processus d'évaluation de conformité
[ ] Gestion de la période de support
[ ] Procédure de dossier technique produit

DOCUMENTATION :
[ ] Modèles de dossier technique
[ ] Modèle d'évaluation des risques produit
[ ] Format et stockage SBOM
[ ] Modèle de Déclaration de Conformité

EXTENSIONS DE CONTRÔLES :
[ ] A.8.8 - Ajouter les vulnérabilités produit
[ ] A.8.25-28 - Ajouter les tests sécurité produit
[ ] A.5.19-22 - Ajouter SBOM des fournisseurs

RÔLES :
[ ] Assigner le responsable sécurité produit
[ ] Définir la responsabilité du signalement ENISA
[ ] Établir le rôle d'évaluation de conformité

FORMATION :
[ ] Sensibilisation CRA pour les équipes de développement
[ ] Formation aux outils SBOM
[ ] Formation à l'évaluation de conformité

Ressources Clés

NORMES ET GUIDES

ISO 27001 :
ISO/IEC 27001:2022 - Management de la sécurité de l'information
ISO/IEC 27002:2022 - Contrôles de sécurité de l'information

CRA :
Règlement (UE) 2024/2847 - Cyber Resilience Act

GUIDES D'INTÉGRATION :
ISO 27001 + Développement Produit
- Considérer ISO/IEC 27034 (Sécurité des applications)
- Considérer IEC 62443 (Sécurité industrielle)
- Considérer ISO/SAE 21434 (Sécurité automobile)

ORGANISMES DE CERTIFICATION :
Peuvent certifier ISO 27001 et potentiellement
évaluer l'alignement CRA dans le périmètre

Important : La certification ISO 27001 N'equivaut PAS a la conformite CRA. ISO 27001 couvre la securite de l'information organisationnelle ; le CRA exige une evaluation de conformite specifique au produit.

Conseil : Si vous etes deja certifie ISO 27001, vous avez des bases solides. Mappez vos controles existants aux exigences de l'Annexe I du CRA pour identifier les ecarts.

Guides connexes :

• Le Dossier Technique CRA : Ce qui va dans chaque section (Decomposition de l'Annexe VII)
• Evaluation de Conformite CRA : Guide de Decision Module A vs B+C vs H

Comment CRA Evidence Aide

CRA Evidence complète votre SMSI ISO 27001 :

• Analyse des écarts : Identifier ce que votre SMSI ne couvre pas
• Focus produit : Gérer la conformité CRA par produit
• Intégration SBOM : Suivi des composants que votre SMSI ne fournit pas
• Dossiers techniques : Documentation spécifique CRA
• Liaison des preuves : Référencer les contrôles SMSI dans la documentation CRA

Commencez votre conformité CRA sur app.craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.