Due Diligence Fournisseurs CRA : Modèle de Questionnaire et Processus de Vérification

Votre conformité CRA dépend de vos fournisseurs. Si vous importez des produits, vous devez vérifier la conformité du fabricant. Si vous fabriquez, vos composants affectent la posture de sécurité de votre produit.

Ce guide fournit un cadre complet de due diligence fournisseurs, incluant un questionnaire que vous pouvez envoyer aujourd'hui.

Pourquoi la Due Diligence Fournisseurs Est Importante

Pour les Importateurs

L'Article 19 rend les importateurs responsables de vérifier la conformité du fabricant :

• Le fabricant a effectué l'évaluation de conformité
• La documentation technique est disponible
• Le produit porte les marquages et informations requis
• Le fabricant a des processus de gestion des vulnérabilités

Si le fabricant n'est pas conforme, vous ne pouvez pas légalement importer.

Pour les Fabricants

Même en tant que fabricant, votre produit inclut des composants de fournisseurs :

• Bibliothèques logicielles tierces
• Composants matériels
• Modules firmware
• Services cloud

Les vulnérabilités dans ces composants deviennent vos vulnérabilités. Votre évaluation de conformité doit considérer les risques de la chaîne d'approvisionnement.

Cadre de Due Diligence

Approche par Niveaux

Tous les fournisseurs ne nécessitent pas le même niveau de scrutin :

ÉVALUATION DES NIVEAUX DE FOURNISSEURS

NIVEAU 1 (Critique) :
- Composants avec fonctions de sécurité (crypto, auth, firewalls)
- Dépendances logicielles principales
- Matériel avec firmware
Évaluation : Questionnaire complet + revue documentation + surveillance continue

NIVEAU 2 (Significatif) :
- Composants de fonctionnalité majeure
- Éléments connectés au réseau
- Composants de traitement de données
Évaluation : Questionnaire standard + revue documentation

NIVEAU 3 (Standard) :
- Composants non-sécurité
- Bibliothèques utilitaires
- Matériel périphérique
Évaluation : Questionnaire basique + vérifications ponctuelles

NIVEAU 4 (Minimal) :
- Composants commodités
- OSS bien établi
- Matériel non connecté
Évaluation : Vérification basique + inclusion SBOM

Domaines d'Évaluation

Votre due diligence devrait couvrir :

Le Questionnaire

Utilisez ce questionnaire comme point de départ. Adaptez selon le niveau du fournisseur et vos besoins spécifiques.

Section 1 : Informations sur l'Entreprise

QUESTIONNAIRE DE DUE DILIGENCE FOURNISSEUR
Section 1 : Informations sur l'Entreprise

1.1 Détails de l'Entreprise
    Nom de l'entreprise : _________________________________
    Adresse légale : ________________________________
    Pays d'incorporation : _____________________
    Contact principal : _____________________________
    Contact sécurité : ____________________________

1.2 Informations Commerciales
    Années d'activité : ___________________________
    Nombre d'employés : _________________________
    Chiffre d'affaires annuel (fourchette) : ______________________

1.3 Présence UE
    [ ] Établi dans l'UE
    [ ] Mandataire autorisé dans l'UE (si non-UE)
        Nom/Adresse : ____________________________
    [ ] Pas de présence UE (expliquer l'arrangement) : _____

1.4 Certifications (joindre copies)
    [ ] ISO 9001 (Management de la Qualité)
    [ ] ISO 27001 (Sécurité de l'Information)
    [ ] ISO 27701 (Vie Privée)
    [ ] SOC 2
    [ ] Autre : _________________________________

Section 2 : Conformité Produit

Section 2 : Conformité Produit

2.1 Identification du Produit
    Nom/Modèle du produit : __________________________
    Version/Révision : ___________________________
    Catégorie de produit : ___________________________

2.2 Classification CRA
    Quelle est la classification CRA de ce produit ?
    [ ] Par défaut
    [ ] Important Classe I (Annexe III, Partie I)
    [ ] Important Classe II (Annexe III, Partie II)
    [ ] Critique (Annexe IV)
    [ ] Pas encore classifié

2.3 Évaluation de Conformité
    Quelle voie d'évaluation de conformité a été utilisée ?
    [ ] Module A (Auto-évaluation)
    [ ] Module B+C (Examen UE de type)
    [ ] Module H (Assurance qualité complète)
    [ ] Pas encore complétée

    Si Module B, C ou H :
    Nom de l'Organisme Notifié : __________________________
    Numéro de certificat : __________________________
    Date du certificat : ____________________________

2.4 Déclaration de Conformité UE
    [ ] DoC disponible (joindre copie)
    [ ] DoC pas encore émise
    Date de la DoC : ________________________________

2.5 Marquage CE
    [ ] Marquage CE apposé
    [ ] Marquage CE pas encore apposé
    Si apposé, où sur le produit : _________________

2.6 Documentation Technique
    [ ] Dossier technique disponible sur demande
    [ ] SBOM disponible (format : ________________)
    [ ] Documentation d'évaluation des risques disponible
    [ ] Instructions utilisateur/sécurité disponibles

Section 3 : Pratiques de Sécurité

Section 3 : Pratiques de Sécurité

3.1 Développement Sécurisé
    Suivez-vous un cycle de développement sécurisé ?
    [ ] Oui - Décrire : __________________________
    [ ] Non

    Effectuez-vous des tests de sécurité ?
    [ ] Analyse statique (SAST)
    [ ] Analyse dynamique (DAST)
    [ ] Tests de pénétration
    [ ] Tests de fuzzing
    [ ] Autre : _________________________________

    Avez-vous un standard de codage sécurisé ?
    [ ] Oui - Lequel : ____________________________
    [ ] Non

3.2 Gestion des Composants
    Comment suivez-vous les composants tiers ?
    [ ] SBOM maintenu
    [ ] Outil de suivi des dépendances (nom : _________)
    [ ] Suivi manuel
    [ ] Pas de suivi systématique

    Comment surveillez-vous les vulnérabilités dans les dépendances ?
    [ ] Scan automatisé (outil : _______________)
    [ ] Surveillance manuelle des CVE
    [ ] Dépend des notifications fournisseur
    [ ] Pas de surveillance systématique

3.3 Architecture de Sécurité
    Décrivez les principales fonctionnalités de sécurité du produit :
    _____________________________________________

    Quels standards cryptographiques sont utilisés ?
    _____________________________________________

    Comment l'authentification est-elle implémentée ?
    _____________________________________________

    Comment les données sont-elles protégées au repos et en transit ?
    _____________________________________________

Section 4 : Gestion des Vulnérabilités

Section 4 : Gestion des Vulnérabilités

4.1 Divulgation des Vulnérabilités
    Avez-vous une politique de divulgation coordonnée des vulnérabilités ?
    [ ] Oui - URL : ______________________________
    [ ] Non

    Avez-vous un fichier security.txt ?
    [ ] Oui - URL : ______________________________
    [ ] Non

    Quelle est la méthode de contact sécurité ?
    [ ] Email : __________________________________
    [ ] Formulaire web : _______________________________
    [ ] Plateforme bug bounty : ____________________
    [ ] Autre : _________________________________

4.2 Engagements de Réponse
    Quel est votre délai d'accusé de réception ?
    [ ] Dans les 24 heures
    [ ] Dans les 72 heures
    [ ] Dans les 7 jours
    [ ] Pas d'engagement

    Quel est votre délai typique de correctif pour :
    Vulnérabilités critiques : ___________________
    Vulnérabilités hautes : _______________________
    Vulnérabilités moyennes : _____________________

4.3 Signalement ENISA
    Êtes-vous préparé pour le signalement ENISA (Sept 2026) ?
    [ ] Oui, processus établi
    [ ] En cours
    [ ] Non
    [ ] Non applicable (pas fabricant)

4.4 Vulnérabilités Historiques
    Combien de vulnérabilités de sécurité ont été signalées
    dans ce produit au cours des 24 derniers mois ? ______

    Comment ont-elles été résolues ?
    [ ] Toutes corrigées dans les délais annoncés
    [ ] Quelques retards (expliquer) : __________________
    [ ] Certaines restent non corrigées (expliquer) : ________

Section 5 : Mise à Jour et Support

Section 5 : Mise à Jour et Support

5.1 Période de Support
    Quelle est la période de support engagée depuis la mise
    sur le marché ?
    [ ] 5 ans (minimum CRA)
    [ ] 7 ans
    [ ] 10 ans
    [ ] Autre : _________________________________
    [ ] Non définie

    Quand ce produit a-t-il été mis sur le marché UE pour la première fois ?
    Date : ______________________________________

    Quand la période de support se termine-t-elle ?
    Date : ______________________________________

5.2 Mécanisme de Mise à Jour
    Comment les mises à jour de sécurité sont-elles livrées ?
    [ ] Mises à jour automatiques (OTA)
    [ ] Téléchargement manuel depuis portail
    [ ] Support physique
    [ ] Autre : _________________________________

    Les mises à jour de sécurité sont-elles séparées des mises à jour fonctionnelles ?
    [ ] Oui
    [ ] Non - regroupées

    Les utilisateurs peuvent-ils différer ou ignorer les mises à jour ?
    [ ] Oui
    [ ] Non - obligatoires
    [ ] Configurable

5.3 Vérification des Mises à Jour
    Les mises à jour sont-elles signées ?
    [ ] Oui - Méthode : __________________________
    [ ] Non

    Les utilisateurs peuvent-ils vérifier l'authenticité des mises à jour ?
    [ ] Oui - Comment : _____________________________
    [ ] Non

5.4 Planification de Fin de Support
    Avez-vous un processus de fin de vie documenté ?
    [ ] Oui
    [ ] Non

    Comment les clients seront-ils notifiés de la fin de vie ?
    _____________________________________________

    Que se passe-t-il après la fin de la période de support ?
    [ ] Le produit continue de fonctionner
    [ ] Le produit perd des fonctionnalités
    [ ] Le produit nécessite une migration

Section 6 : Exigences de Documentation

Section 6 : Exigences de Documentation

6.1 Documentation Disponible
    Marquez toute documentation que vous pouvez fournir :

    [ ] Déclaration de Conformité UE
    [ ] Dossier technique (ou extraits pertinents)
    [ ] Software Bill of Materials (SBOM)
        Format : [ ] CycloneDX [ ] SPDX [ ] Autre
    [ ] Résumé de l'évaluation des risques
    [ ] Document d'architecture de sécurité
    [ ] Instructions utilisateur (pertinentes pour la sécurité)
    [ ] Politique de divulgation des vulnérabilités
    [ ] Conditions de support/maintenance

6.2 Livraison de Documentation
    Comment la documentation sera-t-elle fournie ?
    [ ] Sur demande (délai de réponse : ____________)
    [ ] Via portail sécurisé
    [ ] Livrée avec le produit
    [ ] Autre : _________________________________

6.3 Détails SBOM (si disponible)
    Le SBOM couvre :
    [ ] Dépendances directes uniquement
    [ ] Dépendances transitives incluses
    [ ] Composants matériels (si applicable)

    Fréquence de mise à jour du SBOM :
    [ ] Par version
    [ ] Sur demande
    [ ] Pas de mise à jour systématique

Section 7 : Engagements Contractuels

Section 7 : Engagements Contractuels

7.1 Garantie de Conformité
    Garantirez-vous la conformité CRA dans le contrat ?
    [ ] Oui
    [ ] Non
    [ ] Négociable

7.2 Conservation de Documentation
    Conserverez-vous la documentation technique pendant 10 ans ?
    [ ] Oui
    [ ] Non
    [ ] Période plus courte : ________________________

7.3 Obligations de Notification
    Nous notifierez-vous de :
    [ ] Vulnérabilités de sécurité dans le produit
    [ ] Changements de statut de conformité
    [ ] Décisions de fin de support
    [ ] Changements matériels de l'architecture de sécurité

7.4 Droits d'Audit
    Autoriserez-vous des audits de conformité ?
    [ ] Oui - sans restriction
    [ ] Oui - avec préavis
    [ ] Non

7.5 Indemnisation
    Indemniserez-vous pour non-conformité CRA ?
    [ ] Oui
    [ ] Non
    [ ] Négociable

Section 8 : Attestation

Section 8 : Attestation

J'atteste que les informations fournies dans ce questionnaire
sont exactes et complètes au meilleur de ma connaissance.

Je comprends que [Votre Entreprise] s'appuie sur ces informations
à des fins de conformité CRA et que des déclarations matériellement
fausses peuvent entraîner la résiliation du contrat.

Complété par : _____________________________________
Titre : ___________________________________________
Date : ____________________________________________
Signature : _______________________________________

Signaux d'Alerte

Surveillez ces signes d'avertissement pendant la due diligence :

Signaux d'Alerte Critiques (Arrêter la relation)

Signaux d'Alerte Sérieux (Nécessitent atténuation)

Signaux Jaunes (Surveiller de près)

Processus de Vérification

Vérification Initiale

1. Collecte de Documents

   • Demander copie DoC
   • Demander SBOM (ou confirmation de disponibilité)
   • Demander informations contact sécurité
   • Demander engagement période de support

2. Revue de Documents

   • Vérifier que la DoC est signée et complète
   • Vérifier que l'identification produit correspond
   • Vérifier les déclarations de marquage CE
   • Revoir format et complétude du SBOM

3. Vérifications Ponctuelles de Conformité

   • Vérifier que security.txt existe (si accessible web)
   • Vérifier que la politique CVD est publiée
   • Tester que le contact sécurité répond
   • Vérifier les déclarations de période de support dans la documentation

Surveillance Continue

CALENDRIER DE SURVEILLANCE FOURNISSEUR

Mensuel :
[ ] Vérifier les avis de sécurité publiés
[ ] Vérifier que le contact sécurité fonctionne toujours
[ ] Revoir toute divulgation de vulnérabilités

Trimestriel :
[ ] Demander SBOM mis à jour (si versions significatives)
[ ] Vérifier que la politique CVD est toujours accessible
[ ] Vérifier nouvelles certifications ou expirations

Annuel :
[ ] Rafraîchissement complet du questionnaire
[ ] Revoir statut de période de support
[ ] Vérifier que la documentation est toujours disponible
[ ] Revue de stabilité commerciale

Sur Déclencheur :
[ ] Incident de sécurité majeur → Revue immédiate
[ ] Changement de propriété → Réévaluation complète
[ ] Discontinuation produit → Planification fin de vie
[ ] Renouvellement contrat → Re-vérification conformité

Clauses d'Accord Fournisseur

Clauses Essentielles pour le CRA

Incluez ces dispositions dans les contrats fournisseurs :

Déclaration de Conformité :

Le Fournisseur déclare et garantit que le(s) Produit(s)
sont conformes au Règlement (UE) 2024/2847 (Cyber Resilience
Act) et que le Fournisseur a complété l'évaluation de
conformité requise.

Fourniture de Documentation :

Le Fournisseur fournira sur demande :
(a) Copie de la Déclaration de Conformité UE
(b) Software Bill of Materials au format [CycloneDX/SPDX]
(c) Documentation technique pertinente pour les
    obligations de conformité de l'Acheteur
Délai de réponse : [5 jours ouvrés]

Notification de Vulnérabilités :

Le Fournisseur notifiera l'Acheteur dans les [24/48] heures
suivant la prise de connaissance de toute vulnérabilité de
sécurité dans le(s) Produit(s) qui :
(a) Est activement exploitée, ou
(b) A un score CVSS de 7.0 ou plus, ou
(c) Fait l'objet d'une divulgation publique

Engagement Période de Support :

Le Fournisseur s'engage à fournir des mises à jour de sécurité
pour le(s) Produit(s) pendant une période minimale de [5/7/10] ans
à partir de la date de première mise sur le marché dans l'UE.

Mises à Jour SBOM :

Le Fournisseur fournira un SBOM mis à jour dans les [10]
jours ouvrés suivant chaque version de produit incluant
des changements aux composants tiers.

Droits d'Audit :

L'Acheteur peut auditer la conformité du Fournisseur avec
cet Accord et les exigences CRA applicables moyennant un
préavis écrit de [30 jours], pas plus d'une fois par an
sauf si déclenché par un problème de conformité.

Erreurs Courantes

Se Fier à l'Auto-Attestation

Problème : Accepter les assurances verbales du fournisseur sans documentation.

Correction : Toujours obtenir des preuves écrites. Pas de copie DoC = pas d'achat.

Évaluation Ponctuelle

Problème : Due diligence uniquement à la signature du contrat.

Correction : Mettre en place un calendrier de surveillance continue. La conformité peut changer.

Ignorer les Fournisseurs de Niveau 3-4

Problème : N'évaluer que les fournisseurs "majeurs" en ignorant les plus petits.

Correction : Même les composants mineurs peuvent introduire des vulnérabilités. Adaptez l'évaluation, ne l'ignorez pas.

Pas de Support Contractuel

Problème : Se fier à la bonne volonté du fournisseur sans clauses contractuelles.

Correction : Mettez les obligations de conformité par écrit. Incluez des recours pour non-conformité.

Attendre Décembre 2027

Problème : Commencer les évaluations fournisseurs juste avant l'application du CRA.

Correction : Commencez maintenant. L'évaluation prend du temps. Les fournisseurs non conformes ont besoin de temps pour remédier ou être remplacés.

Liste de Contrôle Due Diligence Fournisseur

LISTE DE CONTRÔLE DUE DILIGENCE FOURNISSEUR

PRÉ-ENGAGEMENT :
[ ] Niveau du fournisseur déterminé
[ ] Questionnaire approprié sélectionné
[ ] Réviseur interne assigné

ÉVALUATION INITIALE :
[ ] Questionnaire envoyé
[ ] Questionnaire reçu et revu
[ ] Signaux d'alerte identifiés et traités
[ ] Documentation collectée :
    [ ] Déclaration de Conformité UE
    [ ] SBOM (ou disponibilité confirmée)
    [ ] Politique CVD
    [ ] Engagement période de support
[ ] Vérifications ponctuelles complétées :
    [ ] security.txt vérifié
    [ ] Contact sécurité testé
    [ ] Marquage CE vérifié

NÉGOCIATION CONTRAT :
[ ] Clauses de conformité incluses
[ ] Dispositions documentation convenues
[ ] Termes notification vulnérabilités fixés
[ ] Engagement période de support sécurisé
[ ] Droits d'audit inclus
[ ] Calendrier mise à jour SBOM convenu

POST-CONTRAT :
[ ] Calendrier de surveillance établi
[ ] Première livraison documentation confirmée
[ ] Contacts enregistrés dans système gestion fournisseurs
[ ] Dates de revue calendrisées

CONTINU :
[ ] Vérifications mensuelles complétées
[ ] Revues trimestrielles complétées
[ ] Réévaluation annuelle complétée
[ ] Événements déclencheurs traités

Comment CRA Evidence Aide

CRA Evidence inclut des capacités de gestion des fournisseurs :

• Registre fournisseurs : Suivez tous les fournisseurs avec leurs rôles CRA
• Suivi des questionnaires : Envoyez, recevez, révisez les évaluations
• Stockage de documentation : DoC, SBOM, certifications
• Alertes de surveillance : Suivez les périodes de support, dates de revue
• Agrégation SBOM : Combinez les SBOM fournisseurs dans le SBOM de votre produit

Gérez la conformité de votre chaîne d'approvisionnement sur app.craevidence.com.

Guides Connexes

• Comment Generer un SBOM Conforme au CRA : Outils, Formats et Integration CI/CD
• Le Dossier Technique CRA : Ce Qui Va dans Chaque Section (Detail de l'Annexe VII)
• Cout de Conformite CRA : Comment Budgetiser l'Evaluation de Conformite et la Documentation

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.