Radar technologique ENISA : ce que la méthodologie signifie pour les fabricants CRA

ENISA a publié la méthodologie de son Radar Technologique et de l'Innovation (TIR) en avril 2026 (ISBN 978-92-9204-790-0, DOI 10.2824/2390334). Avant la publication de la première édition du radar, le cadre de notation complet est accessible librement. Il explique comment ENISA classifiera chaque technologie de cybersécurité sur une échelle à cinq zones, de « reconnaître » (pas encore adaptée au déploiement) à « mettre en œuvre » (déployez et passez à l'échelle).

Pour les fabricants soumis au CRA, cela compte directement. L'Article 13 du Règlement sur la cyberrésilience vous oblige à maintenir la sécurité de vos produits tout au long de leur cycle de vie, en reflétant l'état de l'art. Le TIR deviendra la carte officielle de l'UE la plus proche de ce que signifie concrètement « l'état de l'art » en matière de sécurité. Comprendre le système de notation avant la publication des premiers résultats vous donne une longueur d'avance.

Voici ce que contient la méthodologie et ce que vous devez comprendre.

Ce qu'ENISA entend par « signal »

Un signal, dans la pratique prospective, est une manifestation tangible de nouveauté : un indicateur observable qu'une technologie émerge ou évolue. Le TIR d'ENISA ne suit pas des catégories larges comme « intelligence artificielle » ou « zero trust ». Il suit des applications technologiques spécifiques et nommées à un niveau d'abstraction défini.

La méthodologie utilise une taxonomie à quatre niveaux pour classer chaque signal candidat avant qu'il entre dans le processus de notation. Les signaux qui ne peuvent pas être placés dans l'une de ces quatre catégories sont signalés comme trop vagues et renvoyés pour révision.

Les outils sont des produits logiciels ou utilitaires concrets qui exécutent une tâche spécifique dans un cycle de développement ou d'exploitation. Un analyseur de protocoles réseau est un outil.

Les plateformes sont des écosystèmes fondamentaux ou des environnements d'exécution qui fournissent une infrastructure, des services et des capacités d'intégration pour construire, déployer et faire évoluer des applications. Les systèmes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) sont des plateformes.

Les techniques sont des méthodes systématiques, des schémas ou des approches utilisés pour concevoir, tester et faire évoluer les systèmes logiciels. La cryptographie post-quantique est une technique.

Les tendances sont des évolutions émergentes dans les paradigmes de cybersécurité, les cadres ou les pratiques de l'écosystème qui influencent la façon dont les technologies sont appliquées. L'architecture zero trust est une tendance.

Un signal classifié comme trop large doit être reformulé avant de pouvoir progresser. « L'IA en cybersécurité » est trop vague. « L'apprentissage automatique pour la détection comportementale des menaces » est suffisamment précis pour être évalué. ENISA applique un arbre de décision à quatre questions pour affecter chaque signal : une organisation peut-elle le déployer concrètement ? Exécute-t-il une tâche spécifique ou fournit-il un écosystème fondamental ? Est-ce une façon structurée de faire quelque chose plutôt qu'un produit ? Représente-t-il une philosophie de sécurité globale ? Les réponses conduisent à l'une des quatre catégories, ou à un résultat « trop vague : à revoir ».

Chaque entrée de signal dans le référentiel centralisé d'ENISA doit contenir un ensemble minimal de métadonnées :

• Nom du signal et description courte
• Niveau de Maturité Technologique (TRL), issu de la source ou estimé au mieux
• Niveau d'adoption actuel (innovateurs, primo-adoptants, majorité précoce, majorité tardive, retardataires)
• Type de source (rapport de marché, document de politique, livre blanc, entretien d'expert)
• Titre du document ou nom de l'expert interrogé
• Date de publication ou d'entretien
• Auteur, organisation ou affiliation de l'expert
• Domaine et secteur, si précisés

Ces métadonnées structurées rendent la notation reproductible et auditable d'une édition à l'autre.

Pourquoi la taxonomie compte pour l'Annexe VII

Cette classification est compatible avec la façon dont la documentation technique CRA décrit l'architecture de sécurité des produits. Si vous documentez vos contrôles de sécurité au titre de l'Annexe VII, les organiser par type de signal (quels outils vous utilisez, sur quelles plateformes ils s'exécutent, quelles techniques guident votre développement, et quelles tendances architecturales vous suivez) crée un vocabulaire qui s'aligne directement sur le cadre qu'ENISA utilisera dans le radar. Cet alignement facilitera la référence au radar lors de sa publication. Consultez notre guide sur la documentation technique de l'Annexe VII pour les exigences spécifiques.

Comment ENISA construit et nettoie sa liste de signaux

Avant toute notation, ENISA conduit un processus de collecte et de nettoyage en deux phases.

La collecte primaire de signaux puise dans des sources faisant autorité. ENISA applique quatre critères de sélection : la réputation et l'impartialité (l'entité doit être largement reconnue pour son expertise et son indépendance), la rigueur méthodologique (les rapports doivent démontrer l'utilisation de méthodes analytiques ou empiriques), l'actualité (seuls les rapports publiés au cours des une à deux dernières années sont retenus) et la transparence (la source doit indiquer clairement les données ou éléments probants utilisés).

ENISA identifie dix types de sources faisant autorité pour le TIR :

La collecte complémentaire de signaux fait appel à des experts via des formulaires en ligne EU Survey et des ateliers en groupe avec des sous-groupes de 10 à 20 participants chacun. ENISA prévoit de constituer un Groupe de Travail Ad Hoc (AHWG) d'au plus 30 experts sélectionnés par appel ouvert, couvrant les fournisseurs de technologie, les intégrateurs, les opérateurs de services, les utilisateurs finaux, les représentants d'infrastructures critiques, les organismes d'évaluation de la conformité, les auditeurs et les laboratoires d'essai.

Le nettoyage des signaux suit la collecte. Chaque entrée du référentiel centralisé est examinée pour éliminer les doublons et résoudre les ambiguïtés. Les applications quasi-identiques exprimées différemment, comme « sécurité zero trust » et « architecture zero trust », sont consolidées en une formulation harmonisée unique. Les signaux spécifiques à un fournisseur sont exclus sauf s'ils peuvent être généralisés à une classe de technologie largement adoptée. Les entrées vagues ou trop larges sont signalées, puis révisées ou supprimées.

Le regroupement des signaux organise les signaux nettoyés sur deux niveaux. Le premier niveau, obligatoire, affecte chaque signal à l'un des quatre types d'abstraction (outil, plateforme, technique, tendance). Le second niveau, facultatif, affecte les signaux par domaine ou secteur en utilisant la Taxonomie de cybersécurité JRC publiée par la Commission européenne en 2022. ENISA note également que la taxonomie ECSO et le Cadre de cybersécurité NIST peuvent être utilisés en alternative, mais recommande d'en choisir un dès le départ et de l'appliquer à toutes les éditions pour permettre des comparaisons longitudinales.

Comment ENISA note chaque signal : force et dynamique

Chaque signal qui passe la validation initiale des experts est noté sur deux dimensions composites.

La force mesure le niveau de maturité et d'établissement d'une technologie. Elle reflète à la fois la maturité de développement (TRL) et la reconnaissance dans les sources faisant autorité, la recherche académique, le paysage des brevets et la couverture médiatique. La formule est :

Le TRL représente la moitié du poids total car il reflète le plus directement si une technologie est déployable, et non seulement discutée. TRL 1 à 2 correspond à la recherche expérimentale et obtient un score de 1. TRL 9, technologie mature aux performances éprouvées en conditions opérationnelles, obtient 5. TRL 5 à 6, technologie validée en essais, obtient 3. Les quatre indicateurs complémentaires sont normalisés en bandes centiles sur l'ensemble du jeu de données des signaux : les valeurs sous le 20e centile obtiennent 1, celles au-dessus du 80e centile obtiennent 5.

La dynamique mesure la vitesse à laquelle une technologie gagne en attention, capturant la vélocité plutôt que le volume. La formule est :

Le niveau d'adoption actuel ancre la dynamique à 50 %, à l'image du rôle du TRL dans la force. Les seuils de croissance annuelle déterminent les scores restants : une croissance de 20 % ou plus en glissement annuel obtient 5. Une croissance entre 11 % et 20 % obtient 4. Une croissance entre 6 % et 10 % obtient 3. Une croissance entre 0 % et 5 % obtient 2. Une croissance négative obtient 1.

Les deux scores placent chaque signal dans l'une des quatre macro-catégories d'une matrice force/dynamique :

La méthodologie indique explicitement que ses seuils de notation ne doivent pas être modifiés arbitrairement entre les éditions, sauf retour substantiel ou exigences contextuelles spécifiques. Cela préserve la comparabilité annuelle et permet à ENISA de construire un jeu de données longitudinal montrant comment les technologies se déplacent dans la matrice au fil du temps.

Les cinq zones radar pour les signaux forts

Les signaux forts passent par un scoring de probabilité d'adoption avant leur placement sur le radar. ENISA utilise un instrument d'enquête fondé sur le cadre UTAUT, adapté pour couvrir trois groupes de répondants distincts : les utilisateurs de technologie (évaluant l'impact sur les flux de travail de sécurité et les KPI), les fournisseurs de technologie et entités de R&D (évaluant la facilité de déploiement, la demande client et l'intention de marché), et les acteurs institutionnels tels que les régulateurs et les organismes de normalisation (évaluant la faisabilité de gouvernance, l'alignement politique et la valeur sociétale).

Chaque groupe note cinq construits sur une échelle de Likert à cinq points.

Attente de performance : l'utilisation de cette technologie aide-t-elle à atteindre les objectifs de sécurité ? Facilite-t-elle le respect des KPI ?

Attente d'effort : quelle est la facilité de mise en œuvre sans défi technique majeur ni formation extensive ?

Influence sociale : les concurrents et partenaires clés l'adoptent-ils déjà ou la recommandent-ils ?

Conditions facilitantes : le budget, l'infrastructure, les cadres réglementaires et les compétences du personnel sont-ils en place ?

Intention comportementale : l'organisation prévoit-elle de poursuivre ou d'élargir ses investissements dans cette technologie ?

Les 15 éléments par groupe contribuent à parts égales à un score de probabilité d'adoption par groupe. Les trois scores de groupe sont moyennés en un score global de probabilité d'adoption. Ce score composite positionne chaque signal fort dans l'une des cinq zones concentriques du graphique radar :

Le graphique radar divise les signaux en quatre quadrants par type d'abstraction : Outil, Plateforme, Technique et Tendance. Les cinq zones concentriques vont de l'anneau le plus externe (Reconnaître) au plus interne (Mettre en œuvre). Une technologie positionnée dans la zone Mettre en œuvre du quadrant Technique vous indique d'emblée qu'il s'agit d'une méthode mature et systématiquement applicable que l'écosystème européen de cybersécurité considère prête pour un déploiement large.

Le suivi des technologies en phase précoce : l'approche signaux faibles

Les signaux faibles sont des technologies qui obtiennent un score faible en force mais peuvent porter un potentiel perturbateur à moyen ou long terme. Ils ne figurent pas sur le graphique radar principal. ENISA les positionne sur un graphique prospectif distinct selon deux dimensions.

La vitesse de développement utilise le cadre TIS de Markard et Truffer (2008). Des panels d'experts notent sept fonctions qui reflètent si un écosystème d'innovation se forme activement autour de la technologie :

1. Développement et diffusion des connaissances : de nouvelles recherches émergent-elles et sont-elles partagées via des publications, conférences ou collaborations ?
2. Expérimentation entrepreneuriale : des start-ups, entreprises ou institutions testent-elles la technologie en conditions réelles, avec des pilotes, prototypes ou premiers cas d'usage ?
3. Développement d'externalités positives : le signal crée-t-il des effets de réseau ou des synergies avec d'autres technologies ou secteurs ?
4. Orientation de la recherche : apparaît-il dans des documents stratégiques, des politiques ou des feuilles de route organisationnelles ?
5. Formation du marché : des marchés précoces ou des applications de niche se forment-ils, même si des barrières à l'adoption plus large persistent ?
6. Mobilisation des ressources : un soutien financier, une main-d'œuvre qualifiée ou des infrastructures sont-ils disponibles pour soutenir son développement ?
7. Création de légitimité : les acteurs institutionnels voient-ils le signal positivement, et l'acceptation large est-elle en croissance ?

Chaque fonction obtient un score de 1 à 5. Le score composite de vitesse de développement est la moyenne arithmétique des sept scores.

Le potentiel de marché est noté sur trois sous-dimensions : la pénétration sectorielle (le signal reste-t-il dans un secteur ou se diffuse-t-il largement ?), l'utilité par domaine (combien des 15 fonctions de cybersécurité de la Taxonomie européenne de cybersécurité JRC adresse-t-il ?) et le type d'adoptant (acteurs très spécialisés uniquement, ou accessible aux PME et au grand public ?).

Cela produit un graphique prospectif à 2x2 avec quatre quadrants :

• Exploration : vitesse de développement faible et potentiel de marché faible. Signaux spéculatifs avec peu de preuves actuelles mais une valeur visionnaire potentielle.
• Consolidation de marché : potentiel de marché élevé mais vitesse de développement plus faible. Les primo-adoptants commencent à explorer le signal. Un développement plus structuré pourrait suivre.
• Consolidation technologique : vitesse de développement élevée mais traction de marché encore limitée. En progression dans la recherche et l'expérimentation, mais l'adoption commerciale reste incertaine.
• Prêt pour la transition : élevé sur les deux dimensions. Le plus proche de devenir des signaux forts. Les fondations technologiques se consolident et l'intérêt intersectoriel augmente visiblement. Des discussions politiques précoces peuvent aider à anticiper leur impact et leur intégration.

Les signaux faibles ne figurent pas sur la visualisation radar principale, mais ils constituent un apport important pour les éditions futures. Les signaux « Prêts pour la transition » sont en particulier des candidats à la reclassification en signaux forts lors du prochain cycle radar.

D'où proviennent les données

La notation ENISA repose sur trois sources de données quantitatives primaires, toutes accessibles via la plateforme analytique JRC TIM, un système automatisé d'exploration de textes et de données développé par le Centre commun de recherche de la Commission européenne.

Scopus, maintenu par Elsevier, couvre les revues académiques, les prépublications, les livres et les actes de conférences, dont plus de 25,5 millions de documents en accès libre. Il fournit les comptages de publications académiques et les tendances annuelles pour le scoring de force et de dynamique des signaux.

PATSTAT contient des données bibliographiques et des événements juridiques sur les brevets des États membres de l'UE, extraits de la base de données de l'Office européen des brevets. Il fournit les comptages de dépôts de brevets et leurs variations annuelles.

Europe Media Monitor (EMM) collecte environ 300 000 articles par jour en 70 langues. Il fournit les comptages d'actualités et de tendances de recherche ainsi que leurs variations annuelles.

La construction des mots-clés qui guide les requêtes dans ces trois bases est contrôlée via un dictionnaire centralisé. Ce dictionnaire est validé par l'équipe ENISA Core Radar et gelé pour chaque édition du radar. Un ensemble de mots-clés pour « Détection et réponse étendue » peut inclure des termes comme 'XDR', 'Extended Detection and Response' et 'Advanced threat detection platform', combinés avec un filtre d'année de publication dans une structure de requête booléenne. Toute modification future du dictionnaire nécessite une justification documentée, car les changements affectent la comparabilité des scores d'une édition à l'autre.

Cette approche rend la notation reproductible. Un fabricant qui examine la position radar d'une technologie peut la relier aux mots-clés spécifiques, aux requêtes de bases de données et aux seuils de normalisation utilisés.

Le mécanisme de traitement prioritaire et le cycle de vie des signaux

Lorsque des institutions de l'UE ou les priorités de la Commission signalent une technologie spécifique comme stratégiquement urgente, ENISA peut activer une procédure de traitement prioritaire. L'entité demandeuse fournit un jeu de données de référence : nom et description du signal, estimation du TRL, niveau d'adoption actuel, classification du niveau d'abstraction, et contexte sectoriel et de domaine. Une équipe interne conduit ensuite un premier filtrage pour vérifier les doublons et la cohérence taxonomique.

Si le signal passe le filtrage, un micro-panel de trois à cinq experts complète une validation rapide en environ 10 jours. Les experts fournissent des estimations quantitatives de force et de dynamique sur une échelle de 1 à 5 et des commentaires qualitatifs sur l'impact stratégique. Le signal avance alors directement à la phase d'évaluation.

Les signaux à traitement prioritaire sont marqués d'un label distinct sur le tableau de bord public. Ils restent soumis à une validation complète lors du prochain cycle de mise à jour régulière. La méthodologie est explicite sur le compromis : les signaux à traitement prioritaire manquent de la profondeur d'étalonnage du processus standard et ne peuvent pas être directement comparés aux signaux ayant suivi la qualification complète.

La gestion du cycle de vie des signaux suit une logique parallèle. Chaque nouvelle édition examine tous les signaux actifs. Les signaux qui ne présentent plus une force et une dynamique suffisantes sont supprimés, évalués sur une base triennale. Les signaux ayant atteint la maturité technologique et une adoption généralisée sont également retirés progressivement : ils sont reconnus comme ayant dépassé le périmètre prospectif du radar et sont suivis via d'autres mécanismes opérationnels. Pour les fabricants, une technologie qui sort du radar est elle-même un signal : elle est devenue une exigence de base plutôt qu'une capacité différenciante.

Le tableau de bord public sera accompagné d'une note méthodologique détaillée, indiquant clairement comment chaque signal a été identifié, comment chaque indicateur a été mesuré ou estimé, et quelles limitations ou hypothèses ont été appliquées. Le format technique du tableau de bord (PowerBI ou équivalent) sera défini à un stade ultérieur du projet.

Ce que le radar signifie pour votre programme de conformité CRA

Le TIR ne crée pas de nouvelles obligations légales. Mais il deviendra une preuve faisant autorité de ce que l'UE considère comme mature et prêt à l'adoption dans l'écosystème de cybersécurité. Cela a des conséquences pratiques pour trois domaines de votre travail de conformité CRA.

Documentation technique au titre de l'Annexe VII. L'Annexe VII oblige les fabricants à documenter la conception de sécurité du produit à éléments numériques, notamment les solutions de sécurité appliquées et les processus mis en place pour la gestion des vulnérabilités. La taxonomie à quatre niveaux des signaux TIR (outil, plateforme, technique, tendance) fournit un vocabulaire structuré pour décrire votre architecture de sécurité. Documenter quelle zone radar occupaient vos contrôles de sécurité critiques au moment de la conception du produit crée un enregistrement horodaté de votre évaluation de l'état de l'art. Consultez notre guide sur la documentation technique de l'Annexe VII.

Gestion des vulnérabilités au titre de l'Article 13. L'Article 13(6) oblige les fabricants à traiter les vulnérabilités sans délai injustifié et à appliquer des correctifs ou atténuations en temps utile. Le radar suivra le cycle d'adoption des outils et techniques de gestion des vulnérabilités spécifiquement. Un outil qui passe d'« Observer » à « Tester » dans des éditions radar consécutives est un signal quantifié que l'écosystème converge vers lui. Les fabricants qui suivent ces mouvements peuvent prendre des décisions proactives sur leurs outils plutôt que réactives. Consultez notre guide sur les obligations de signalement des vulnérabilités ENISA sous 24 heures.

Décisions de sécurité dès la conception. Les principes de sécurité dès la conception du Playbook « Security by Design and Default » d'ENISA (v0.4, mars 2026) décrivent des pratiques plutôt que des choix technologiques spécifiques. Le TIR comble cette lacune en nommant quels outils et techniques concrets sont prêts pour ces pratiques. Un fabricant mettant en œuvre le démarrage sécurisé, par exemple, utiliserait le radar pour évaluer la maturité de l'infrastructure de signature de firmware envisagée. Le playbook ENISA Secure by Design couvre les principes. Le TIR couvrira les implémentations technologiques.

Une note pratique sur le calendrier. La première édition du radar n'est pas encore publiée. Dans l'attente, les preuves pertinentes pour les évaluations de l'état de l'art proviennent des mêmes catégories de sources qu'ENISA utilise pour la collecte de signaux : publications de Gartner, Fraunhofer, ETSI, ECSO, BSI, NCSC et NIST. La méthodologie TIR rend ces catégories de sources explicites et fournit un cadre pour les pondérer.

Prochaines étapes

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des orientations spécifiques en matière de conformité, consultez un conseil juridique qualifié.