CRA vs ISO 27001 : les lacunes de conformité que votre SMSI ne couvre pas
ISO 27001 ne couvre pas le CRA. Ce guide montre précisément où votre SMSI aide, où il manque et ce qu'il faut ajouter avant l'échéance 2027.
Dans cet article
- Résumé
- Que couvre ISO 27001 par rapport à ce qu'exige le CRA ?
- Là où ISO 27001 aide le CRA et là où il est insuffisant
- Comment utiliser ISO 27001 pour le CRA
- Contrôles de l'Annexe A d'ISO 27001 et le CRA
- La certification ISO 27001 compte-t-elle pour l'évaluation de la conformité CRA ?
- Trois scénarios courants ISO 27001 + CRA
- Comment intégrer le CRA à votre SMSI existant
- Liste de contrôle : organisation ISO 27001 ajoutant le CRA
- Ressources officielles ISO 27001 et CRA
- Questions fréquentes
- Prochaines étapes
Si votre entreprise est certifiée ISO 27001, vous pourriez supposer être bien placé pour le règlement sur la cyberrésilience (CRA). Ce n'est pas le cas. Du moins pas sans un travail supplémentaire important.
ISO 27001 protège les actifs informationnels de votre organisation. Le règlement sur la cyberrésilience (Règlement (UE) 2024/2847) exige que chaque produit comportant des éléments numériques que vous mettez sur le marché de l'UE soit sécurisé dès la conception, livré avec un software bill of materials (SBOM) et pris en charge par des mises à jour de sécurité pendant toute sa durée de vie prévue. Ce sont des obligations au niveau du produit, non au niveau de l'organisation. Le non-respect est passible d'amendes allant jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (Art. 64). Consultez le guide sur les sanctions CRA.
Les obligations de signalement de l'Article 14 débutent le 11 septembre 2026. La conformité complète est requise avant le 11 décembre 2027. Voir le calendrier complet de mise en œuvre du CRA.
Ce guide ISO 27001 vs CRA cartographie précisément où votre SMSI aide, où il est insuffisant et ce qu'il faut ajouter.
Résumé
- ISO 27001 = gestion de la sécurité organisationnelle et d'entreprise
- CRA = exigences de cybersécurité produit (Annexe I, Règlement (UE) 2024/2847)
- ISO 27001 n'équivaut PAS à la conformité CRA
- ISO 27001 fournit une base pour les processus de développement sécurisé
- Le CRA exige des preuves spécifiques au produit : SBOM, gestion des vulnérabilités, marquage CE
- Les deux ensemble = posture de sécurité globale solide
Source : Règlement (UE) 2024/2847, articles 13, 14 et 64.
Que couvre ISO 27001 par rapport à ce qu'exige le CRA ?
Ce que couvre ISO 27001
ISO 27001 est un standard de système de management de la sécurité de l'information (SMSI) couvrant :
Contrôles au niveau organisationnel :
- Politiques de sécurité de l'information
- Gestion des actifs
- Contrôle d'accès (aux systèmes et données)
- Utilisation de la cryptographie
- Sécurité physique
- Sécurité des opérations
- Sécurité des communications
- Relations avec les fournisseurs
- Gestion des incidents
- Continuité d'activité
- Gestion de la conformité
Objet : protéger les actifs informationnels de votre organisation
Ce que couvre le CRA
Le CRA est un règlement produit couvrant (Annexe I) :
Exigences au niveau produit :
- Sécurité dès la conception dans les produits
- Aucune vulnérabilité exploitable connue
- Configuration par défaut sécurisée
- Protection contre les accès non autorisés (dans le produit)
- Protection des données (par le produit)
- Capacité de mise à jour (du produit)
- Gestion des vulnérabilités et signalement ENISA (pour le produit)
- SBOM pour les composants du produit (Art. 13(5))
- Politique de divulgation coordonnée des vulnérabilités (Art. 13(6))
- Contact public pour les vulnérabilités (Art. 13(7))
- Marquage CE et évaluation de la conformité
Objet : s'assurer que les produits que vous vendez sont sécurisés
Le CRA classe les produits en catégories : par défaut, Important Classe I, Important Classe II et Critique (Annexe III et IV). Chaque catégorie implique des exigences d'évaluation de la conformité différentes. Un produit Important Classe II nécessite une évaluation obligatoire par un tiers (organisme notifié), quel que soit votre statut de certification ISO 27001. Voir le guide de classification des produits CRA.
La différence fondamentale
PÉRIMÈTRE ISO 27001 vs CRA
ISO 27001 :
"Comment votre ORGANISATION gère-t-elle la sécurité ?"
+---------------------------------------------+
| Votre entreprise |
| +---------+ +---------+ +---------+ |
| |Systèmes | |Données | |Personnes| |
| \---------+ \---------+ \---------+ |
| +---------+ +---------+ +---------+ |
| |Processus| |Réseau | |Locaux | |
| \---------+ \---------+ \---------+ |
\---------------------------------------------+
CRA :
"Vos PRODUITS vendus sont-ils sécurisés ?"
+---------------------------------------------+
| Vos produits (vendus aux clients) |
| +---------+ +---------+ +---------+ |
| |Produit A| |Produit B| |Produit C| |
| \---------+ \---------+ \---------+ |
| |
| Chaque produit doit répondre aux exigences |
| du CRA |
\---------------------------------------------+
Là où ISO 27001 aide le CRA et là où il est insuffisant
Là où ISO 27001 aide le CRA
| Exigence CRA | Soutien ISO 27001 | Comment cela aide |
|---|---|---|
| Développement sécurisé | A.8.25-28 (développement sécurisé) | Base de processus |
| Gestion des vulnérabilités | A.8.8 (vulnérabilités techniques) | Processus organisationnel |
| Réponse aux incidents | A.5.24-26 (gestion des incidents) | Capacité de réponse |
| Gestion des fournisseurs | A.5.19-22 (relations fournisseurs) | Sécurité de la chaîne d'approvisionnement |
| Contrôle d'accès | A.5.15-18, A.8.2-5 | Sécurité de l'environnement de développement |
| Cryptographie | A.8.24 (cryptographie) | Base de politique crypto |
| Documentation | A.5.1 (politiques), 7.5 (info. documentée) | Culture de la documentation |
| Évaluation des risques | 6.1 (évaluation des risques) | Méthodologie de risque |
Là où ISO 27001 est insuffisant
| Exigence CRA | Lacune ISO 27001 | Ce qui manque |
|---|---|---|
| SBOM | Partiel : A.8.26/A.8.28 couvrent la connaissance des composants, pas le format SBOM lisible par machine | SBOM standardisé (SPDX/CycloneDX) selon Art. 13(5) |
| Marquage CE | Non couvert | Processus d'évaluation de la conformité |
| Tests de sécurité produit | Limité | Preuves de tests spécifiques au produit pour le dossier technique |
| Sécurisé par défaut | Non orienté produit | Exigences de configuration produit |
| Période d'assistance | Non couvert | Au moins 5 ans, ou durée de vie prévue du produit si inférieure (Art. 13(8)) |
| Signalement ENISA | Non couvert | Notification 24 h/72 h + rapport final au CSIRT national via la plateforme de notification unique (Art. 14) |
| Politique CVD | Non couvert | Politique documentée de divulgation coordonnée des vulnérabilités (Art. 13(6)) |
| Contact public pour vulnérabilités | Non couvert | Point de contact unique pour les signalements de vulnérabilités, ex. security.txt (Art. 13(7)) |
| Documentation utilisateur | Limité | Instructions de sécurité produit |
| Dossier technique | Non couvert | Format de documentation CRA selon Annexe VII |
Résumé de l'analyse des écarts
Base solide (ISO 27001 aide significativement) :
- Culture de sécurité et sensibilisation
- Méthodologie de gestion des risques
- Capacité de réponse aux incidents
- Gestion de la sécurité des fournisseurs
- Politiques de cycle de vie de développement sécurisé
- Cadre de contrôle d'accès
- Pratiques de documentation
Couverture partielle (ISO 27001 aide mais est insuffisant) :
- Gestion des vulnérabilités (périmètre organisationnel vs périmètre produit)
- Cryptographie (politique vs implémentation produit)
- Tests de sécurité (systèmes d'entreprise vs tests produit)
- Gestion des changements (changement IT vs modification produit)
- SBOM (connaissance des composants dans A.8.26/A.8.28 vs format SBOM lisible par machine)
Lacunes (spécifiques au CRA, non couvertes par ISO 27001) :
- Génération et maintenance du SBOM dans un format standardisé
- Évaluation de la conformité produit
- Processus de marquage CE
- Signalement des vulnérabilités au CSIRT national via la plateforme de notification unique (Art. 14)
- Dossier technique spécifique au produit (Annexe VII)
- Engagement sur la période d'assistance (Art. 13(8))
- Vérification de la configuration par défaut sécurisée
- Exigences relatives au mécanisme de mise à jour du produit
- Politique de divulgation coordonnée des vulnérabilités (Art. 13(6))
- Contact public pour les signalements de vulnérabilités (Art. 13(7))
Comment utiliser ISO 27001 pour le CRA
Utiliser votre SMSI comme fondation
Si vous êtes certifié ISO 27001, vous disposez de bases solides sur lesquelles construire. L'essentiel est d'étendre les processus existants vers les obligations produit plutôt que de repartir de zéro.
Étendre les processus existants :
| Processus ISO 27001 | Extension CRA |
|---|---|
| Évaluation des risques (6.1) | Évaluation des risques produit |
| Gestion des vuln. (A.8.8) | Gestion des vulnérabilités produit + signalement CSIRT |
| Gestion fournisseurs (A.5.19-22) | Collecte du SBOM auprès des fournisseurs |
| Gestion incidents (A.5.24-26) | Signalement CSIRT selon Art. 14 |
| Dév. sécurisé (A.8.25-28) | Tests de sécurité produit et dossier technique |
Nouveaux processus à ajouter :
| Nouveau processus | Objet |
|---|---|
| Génération du SBOM | Suivi des composants selon Art. 13(5) |
| Évaluation de la conformité | Marquage CE |
| Dossier technique produit | Documentation réglementaire selon Annexe VII |
| Gestion de la période d'assistance | Engagement selon Art. 13(8) |
| Procédure de signalement ENISA | Notification des vulnérabilités via le CSIRT national |
| Politique CVD | Divulgation coordonnée selon Art. 13(6) |
Étapes pratiques d'intégration
Étape 1 : extension du périmètre
- Ajouter la sécurité produit au périmètre de votre SMSI
- Inclure le développement produit dans l'évaluation des risques
- Étendre l'inventaire des actifs pour inclure les composants produit
Étape 2 : mises à jour des processus
- Mettre à jour la procédure de vulnérabilités pour le signalement au CSIRT national via la plateforme de notification unique
- Ajouter le SBOM à la gestion des changements
- Intégrer les délais d'avertissement précoce 24 h, de notification initiale 72 h et de rapport final dans votre processus de réponse aux incidents
Étape 3 : ajouts documentaires
- Dossiers techniques produit
- Registres SBOM
- Preuves d'évaluation de la conformité
- Documentation de la période d'assistance
Étape 4 : rôles et responsabilités
- Attribuer la responsabilité de la sécurité produit
- Définir la responsabilité de signalement au CSIRT
- Établir la responsabilité de maintenance du SBOM
- Attribuer la responsabilité de la politique CVD
Contrôles de l'Annexe A d'ISO 27001 et le CRA
Contrôles les plus pertinents
A.8.25 Cycle de vie de développement sécurisé
- ISO 27001 : politiques pour le développement sécurisé
- Utilisation CRA : base pour les exigences de sécurité produit (Annexe I, Partie I)
A.8.26 Exigences de sécurité des applications
- ISO 27001 : exigences de sécurité dans le développement
- Utilisation CRA : base pour les exigences essentielles produit, base partielle pour l'inventaire des composants SBOM
A.8.27 Architecture système sécurisée
- ISO 27001 : principes d'architecture sécurisée
- Utilisation CRA : architecture de sécurité produit
A.8.28 Codage sécurisé
- ISO 27001 : pratiques de codage sécurisé incluant le suivi des dépendances
- Utilisation CRA : sécurité du code produit, base partielle pour la connaissance des composants SBOM
A.8.8 Gestion des vulnérabilités techniques
- ISO 27001 : gestion organisationnelle des vulnérabilités
- Utilisation CRA : étendre aux vulnérabilités produit + signalement au CSIRT national via la plateforme de notification unique (Art. 14)
A.5.19-22 Relations fournisseurs
- ISO 27001 : gestion de la sécurité des fournisseurs
- Utilisation CRA : collecte du SBOM auprès des fournisseurs, sécurité de la chaîne d'approvisionnement
Implémentation des contrôles pour le CRA
EXTENSION DES CONTRÔLES ISO 27001 POUR LE CRA
EXTENSION DE A.8.8 GESTION DES VULNÉRABILITÉS :
Exigence ISO 27001 :
"Des informations sur les vulnérabilités techniques des
systèmes d'information utilisés doivent être obtenues..."
Extension CRA (Art. 14) :
- Surveiller les vulnérabilités dans VOS PRODUITS
- Maintenir un processus de notification client
- Signaler au CSIRT national via la plateforme unique :
avertissement précoce 24 h, notification initiale 72 h,
rapport final 14 jours (exploit actif) ou
rapport final 1 mois (incident grave)
- Suivre le statut des vulnérabilités par produit
- Générer des documents VEX
EXTENSION DE A.8.25-28 DÉVELOPPEMENT SÉCURISÉ :
Exigence ISO 27001 :
"Des règles pour le développement de logiciels et de
systèmes doivent être établies et appliquées..."
Extension CRA :
- Inclure la génération du SBOM dans le processus de build (Art. 13(5))
- Vérifier la configuration "sécurisée par défaut"
- Tester les exigences de sécurité produit
- Documenter pour le dossier technique (Annexe VII)
- Maintenir les preuves pour l'évaluation de la conformité
La certification ISO 27001 compte-t-elle pour l'évaluation de la conformité CRA ?
La certification ISO 27001 couvre-t-elle la conformité CRA ?
Point crucial :
- La certification ISO 27001 démontre la maturité de la sécurité organisationnelle
- La conformité CRA est une exigence réglementaire par produit
- Avoir ISO 27001 ne vous exempte pas du CRA
- Les auditeurs ISO 27001 n'évaluent pas la conformité CRA
Les obligations de signalement de l'Article 14 débutent le 11 septembre 2026. La conformité complète est requise avant le 11 décembre 2027. Le non-respect est passible d'amendes allant jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (Art. 64).
Utiliser ISO 27001 dans le contexte CRA
COMMENT RÉFÉRENCER ISO 27001 DANS LA DOCUMENTATION CRA
DANS LE DOSSIER TECHNIQUE :
"[Entreprise] maintient un système de management de la
sécurité de l'information certifié ISO/IEC 27001:2022
(Certificat N° XXX, émis par [Organisme de certification]).
Le SMSI fournit la base organisationnelle pour la
sécurité produit, incluant :
- Cycle de vie de développement sécurisé (A.8.25-28)
- Processus de gestion des vulnérabilités (A.8.8)
- Exigences de sécurité fournisseurs (A.5.19-22)
La conformité CRA spécifique au produit est documentée
dans ce dossier technique, en s'appuyant sur ces
contrôles du SMSI."
CE QUE CELA DÉMONTRE :
- Maturité de la gestion de la sécurité
- Existence d'une base de processus
- Ne remplace pas les preuves produit
Synergies d'audit
Audit de surveillance ISO 27001 :
- Évaluation annuelle du SMSI
- Peut inclure le périmètre de sécurité produit
- Preuves réutilisables pour le CRA
Évaluation de la conformité CRA :
- Évaluation spécifique au produit
- Fait référence au SMSI pour les preuves de processus
- Nécessite des preuves produit supplémentaires
Opportunités de synergie :
- Aligner les calendriers d'audit
- Réutiliser les preuves là où c'est applicable
- Approche de système de management intégré
- Référentiel documentaire unique
Trois scénarios courants ISO 27001 + CRA
Scénario 1 : certifié ISO 27001, début de démarche CRA
Avantages déjà disponibles :
- Méthodologie de risque en place
- Culture de sécurité établie
- Pratiques de documentation en place
- Gestion des fournisseurs existante
- Capacité de réponse aux incidents
Ce qu'il reste à ajouter :
- [ ] Classification des produits selon le CRA (Annexe III/IV)
- [ ] Capacité de génération du SBOM (Art. 13(5))
- [ ] Processus de signalement CSIRT (Art. 14)
- [ ] Dossiers techniques produit (Annexe VII)
- [ ] Processus d'évaluation de la conformité
- [ ] Gestion de la période d'assistance (Art. 13(8))
- [ ] Tests de sécurité spécifiques au produit
- [ ] Politique CVD (Art. 13(6))
- [ ] Contact public pour les vulnérabilités (Art. 13(7))
Approche :
- Analyse des écarts par rapport aux exigences CRA
- Étendre le périmètre du SMSI pour inclure les produits
- Ajouter les processus spécifiques au CRA
- Mettre à jour la documentation
- Former les équipes concernées
Scénario 2 : pas d'ISO 27001, approche CRA
Option A : CRA uniquement
- Implémenter les exigences CRA directement
- Approche centrée produit
- Peut manquer les avantages de la sécurité organisationnelle
- Chemin plus rapide vers la conformité CRA
Option B : ISO 27001 + CRA
- Implémenter les deux référentiels
- Posture de sécurité globale plus solide
- Plus de travail au départ
- Meilleure position à long terme
Recommandation : pour les fabricants de produits, commencez par les exigences CRA (l'échéance réglementaire est fixe) et progressez vers ISO 27001 dans le temps. Alignez les approches dès le départ pour éviter les doublons. Voir le guide CRA pour startups pour une voie à faible surcoût.
Scénario 3 : plusieurs produits, SMSI central
Centralisé (SMSI) :
- Méthodologie de risque
- Processus de gestion des vulnérabilités
- Gestion des fournisseurs
- Réponse aux incidents
- Standards de développement
Par produit (CRA) :
- Dossier technique
- SBOM
- Évaluation de la conformité
- Documentation produit
- Période d'assistance
Bénéfices :
- Réutilisation efficace des processus
- Approche de sécurité cohérente
- Expertise centralisée
- Conformité spécifique au produit
Comment intégrer le CRA à votre SMSI existant
Modèle de gouvernance
MODÈLE DE GOUVERNANCE INTÉGRÉ
NIVEAU ORGANISATIONNEL (ISO 27001) :
+---------------------------------------------+
| Système de management de la sécurité de |
| l'information |
| |
| - Politiques de sécurité |
| - Cadre de gestion des risques |
| - Organisation de la sécurité |
| - Sensibilisation et formation |
\---------------------------------------------+
|
v
NIVEAU PRODUIT (CRA) :
+---------------------------------------------+
| Conformité sécurité produit |
| |
| +---------+ +---------+ +---------+ |
| |Produit A| |Produit B| |Produit C| |
| |- Dossier| |- Dossier| |- Dossier| |
| | tech. | | tech. | | tech. | |
| |- SBOM | |- SBOM | |- SBOM | |
| |- DoC | |- DoC | |- DoC | |
| \---------+ \---------+ \---------+ |
\---------------------------------------------+
Structure documentaire
DOCUMENTATION INTÉGRÉE
DOCUMENTATION SMSI (ISO 27001) :
+-- Politique de sécurité de l'information
+-- Procédure d'évaluation des risques
+-- Déclaration d'applicabilité
+-- Politique de développement sécurisé
+-- Procédure de gestion des vulnérabilités
+-- Procédure de réponse aux incidents
\-- Politique de sécurité fournisseurs
DOCUMENTATION CRA (par produit) :
+-- Dossier technique produit (Annexe VII)
| +-- Description du produit
| +-- Évaluation des risques
| +-- Architecture de sécurité
| +-- Rapports de tests
| \-- SBOM
+-- Déclaration UE de conformité
+-- Documentation utilisateur
\-- Déclaration de période d'assistance
RÉFÉRENCES CROISÉES :
- Le dossier technique fait référence aux procédures SMSI
- Les procédures SMSI intègrent les exigences CRA
- Les enregistrements sont conservés 10 ans ou la durée
de la période d'assistance, la plus longue prévalant
(Art. 23(2))
Liste de contrôle : organisation ISO 27001 ajoutant le CRA
Évaluation :
- [ ] Réviser le périmètre actuel du SMSI
- [ ] Identifier les produits comportant des éléments numériques
- [ ] Classifier les produits selon les catégories CRA (Annexe III/IV)
- [ ] Analyse des écarts : SMSI vs exigences CRA
Extension du périmètre :
- [ ] Ajouter la sécurité produit au périmètre du SMSI
- [ ] Mettre à jour l'évaluation des risques pour inclure les produits
- [ ] Étendre la déclaration d'applicabilité
Ajouts de processus :
- [ ] Processus de génération du SBOM (Art. 13(5))
- [ ] Procédure de signalement CSIRT (Art. 14)
- [ ] Processus d'évaluation de la conformité
- [ ] Gestion de la période d'assistance (Art. 13(8))
- [ ] Procédure de dossier technique produit (Annexe VII)
- [ ] Politique CVD (Art. 13(6))
- [ ] Mise en place du contact public pour les vulnérabilités (Art. 13(7))
Documentation :
- [ ] Modèles de dossier technique
- [ ] Modèle d'évaluation des risques produit
- [ ] Format et stockage du SBOM
- [ ] Modèle de déclaration de conformité
Extensions de contrôles :
- [ ] A.8.8 : ajouter les vulnérabilités produit et le signalement CSIRT
- [ ] A.8.25-28 : ajouter les tests de sécurité produit
- [ ] A.5.19-22 : ajouter le SBOM issu des fournisseurs
Rôles :
- [ ] Attribuer un responsable de la sécurité produit
- [ ] Définir la responsabilité de signalement CSIRT
- [ ] Établir le rôle d'évaluation de la conformité
- [ ] Attribuer un responsable de la politique CVD
Formation :
- [ ] Sensibilisation au CRA pour les équipes de développement
- [ ] Formation aux outils SBOM
- [ ] Formation à l'évaluation de la conformité
Ressources officielles ISO 27001 et CRA
ISO 27001 :
- ISO/IEC 27001:2022 : management de la sécurité de l'information
- ISO/IEC 27002:2022 : contrôles de sécurité de l'information
CRA :
- Règlement (UE) 2024/2847 : règlement sur la cyberrésilience
- Cartographie des standards d'exigences CRA par ENISA (novembre 2024)
Standards complémentaires :
- ISO/IEC 27034 : sécurité des applications (pont entre SMSI et sécurité produit)
- IEC 62443 : sécurité industrielle (très adapté aux fabricants OT/IoT, candidat solide pour les standards harmonisés CRA)
- ISO/SAE 21434 : sécurité automobile
La certification ISO 27001 n'équivaut PAS à la conformité CRA. ISO 27001 couvre la sécurité organisationnelle de l'information, le CRA exige une évaluation de la conformité spécifique au produit.
Cartographiez vos contrôles existants de l'Annexe A par rapport aux exigences de l'Annexe I du CRA pour identifier les lacunes. Commencez par A.8.8, A.8.25-28 et A.5.19-22.
Questions fréquentes
La certification ISO 27001 exempte-t-elle une entreprise de l'évaluation de la conformité CRA ?
Non. La certification ISO 27001 démontre la maturité de la sécurité organisationnelle de l'information, mais ne constitue pas une évaluation de la conformité CRA. Le CRA exige des preuves par produit : SBOM, dossier technique, déclaration de conformité et, le cas échéant, une évaluation par un organisme notifié. Un auditeur qui évalue votre SMSI n'évalue pas la conformité CRA. Voir les routes d'évaluation de la conformité CRA.
Quels contrôles de l'Annexe A d'ISO 27001 sont les plus directement pertinents pour l'Annexe I du CRA ?
Les contrôles présentant les plus fortes intersections sont A.8.25-28 (cycle de vie de développement sécurisé), A.8.8 (gestion des vulnérabilités techniques) et A.5.19-22 (relations fournisseurs). Ces contrôles correspondent aux exigences CRA relatives à la sécurité dès la conception, à l'obligation de gestion des vulnérabilités et aux dispositions SBOM de la chaîne d'approvisionnement. A.8.8 doit être étendu pour couvrir le signalement des vulnérabilités produit au CSIRT national via la plateforme de notification unique ENISA (Article 14).
Les preuves d'audit ISO 27001 peuvent-elles être réutilisées dans un dossier technique CRA ?
Oui, de manière sélective. Les preuves de votre SMSI couvrant le développement sécurisé (A.8.25-28), la gestion des vulnérabilités (A.8.8) et les contrôles fournisseurs (A.5.19-22) peuvent être référencées dans le dossier technique CRA. Le dossier technique exige cependant aussi des preuves spécifiques au produit, notamment l'architecture de sécurité, les rapports de tests, le SBOM et la documentation de la période d'assistance, que les audits ISO 27001 ne génèrent pas.
ISO 27001:2022 est-il mieux aligné avec le CRA qu'ISO 27001:2013 ?
Oui. ISO 27001:2022 a ajouté des contrôles plus pertinents pour le CRA, notamment A.8.25-28 (cycle de vie de développement sécurisé, exigences de sécurité des applications, architecture sécurisée, codage sécurisé). La version 2013 offrait une couverture plus faible dans ces domaines. Si vous utilisez la version 2013, une analyse des écarts par rapport aux contrôles 2022 vaut la peine d'être menée spécifiquement pour les besoins du CRA.
ISO 27001 couvre-t-il l'exigence SBOM du CRA ?
Partiellement. A.8.26 (exigences de sécurité des applications) et A.8.28 (codage sécurisé) incluent des concepts de connaissance des composants et de suivi des dépendances. Toutefois, ISO 27001 n'exige pas de SBOM lisible par machine au format CycloneDX ou SPDX avec les éléments minimaux NTIA, ce que requiert l'Article 13(5) du CRA. La sensibilisation organisationnelle est une base, pas un substitut.
Le travail de conformité CRA peut-il être intégré à un programme ISO 27001 en cours ?
Oui, et c'est l'approche recommandée pour les entreprises déjà certifiées. Étendez le périmètre du SMSI pour inclure la sécurité produit, ajoutez des procédures spécifiques au produit pour le SBOM et le signalement au CSIRT, et référencez les preuves SMSI dans vos dossiers techniques CRA. La clé est d'ajouter plutôt que de dupliquer : les preuves CRA se trouvent dans les dossiers techniques, pas dans la déclaration d'applicabilité du SMSI.
Prochaines étapes
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.
Articles connexes
Le CRA s'applique-t-il à votre produit ?
Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du Cyber Resilience Act de l'UE. Obtenez votre résultat en moins de 2 minutes.
Prêt à atteindre la conformité CRA ?
Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.