Glossaire de Conformité CRA
Terminologie essentielle pour comprendre le règlement sur la cyberrésilience de l'UE, les normes de sécurité de la chaîne d'approvisionnement logicielle et les exigences de conformité.
Aucun terme correspondant trouvé.
A
Annexe VII
L'Annexe VII du CRA précise le contenu minimal de la Déclaration de Conformité UE que les fabricants doivent établir pour les produits comportant des éléments numériques. Comprend l'identification du produit, les coordonnées du fabricant, les normes appliquées et la signature d'un représentant autorisé.
Article 13 - Obligations des fabricants
L'Article 13 du CRA définit les obligations principales des fabricants : sécurité dès la conception, maintenance du SBOM, gestion des vulnérabilités, fourniture de mises à jour de sécurité tout au long du cycle de vie du produit et conservation de la documentation technique pendant au moins 10 ans.
Article 14 - Obligations de signalement
L'Article 14 du CRA impose aux fabricants de signaler les vulnérabilités activement exploitées à l'ENISA sous 24 heures (alerte précoce), 72 heures (rapport détaillé) et 14 jours (rapport final). Les incidents graves suivent le même schéma mais avec un délai de rapport final de 30 jours.
C
CRA - Loi sur la Cyber-résilience
Règlement UE 2024/2847 établissant des exigences obligatoires de cybersécurité pour les produits comportant des éléments numériques (PDE) vendus dans l'Union européenne. Entré en vigueur le 10 décembre 2024. Les obligations principales s'appliquent à partir du 11 décembre 2027. Couvre les produits matériels et logiciels avec connectivité réseau.
CSAF - Cadre Commun pour les Avis de Sécurité
Norme OASIS pour les avis de sécurité lisibles par machine. Permet le traitement automatisé des divulgations de vulnérabilités. Utilisé pour la divulgation coordonnée des vulnérabilités (CVD) et les rapports ENISA selon les exigences du CRA.
CSIRT - Computer Security Incident Response Teams
Organismes de cybersécurité désignés que les fabricants doivent notifier des vulnérabilités activement exploitées et des incidents significatifs en vertu de l'article 14 du CRA, et qui coordonnent avec ENISA la réponse aux vulnérabilités au niveau de l'UE.
CVD - Divulgation Coordonnée des Vulnérabilités
Processus de divulgation responsable des vulnérabilités de sécurité aux fournisseurs avant l'annonce publique. L'Article 13(8) du CRA exige que les fabricants établissent et publient des politiques CVD, y compris les informations de contact de sécurité.
CVE - Vulnérabilités et Expositions Courantes
Identifiant standardisé pour les vulnérabilités de cybersécurité connues publiquement (ex., CVE-2024-12345). Géré par MITRE Corporation. Utilisé mondialement pour le suivi des vulnérabilités, la divulgation et la coordination des remédiations.
CVSS - Système Commun de Notation des Vulnérabilités
Norme de l'industrie pour évaluer la sévérité des vulnérabilités sur une échelle de 0 à 10. CVSS 4.0 est la dernière version. Fournit des métriques de base, temporelles et environnementales. Critique (9.0-10.0), Élevé (7.0-8.9), Moyen (4.0-6.9), Faible (0.1-3.9).
CycloneDX
Norme OWASP pour créer des Nomenclatures Logicielles (SBOMs) et artefacts connexes. Supporte SBOM, VEX, HBOM, SaaSBOM et plus. Version 1.5+ recommandée. Référencé par BSI TR-03183 comme format préféré pour la conformité CRA.
D
Distributeur
Toute entité de la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l'UE. Les distributeurs doivent vérifier que le produit porte le marquage CE et est accompagné de la déclaration de conformité UE avant sa mise à disposition. Si un distributeur modifie le produit, il devient fabricant au sens du CRA.
Dossier Technique
Package de documentation complet démontrant la conformité CRA. Comprend l'évaluation des risques, SBOM, documentation de conception de sécurité, procédures de gestion des vulnérabilités, résultats des tests et Déclaration UE de Conformité. Doit être conservé pendant 10 ans ou la durée de vie du produit (la période la plus longue).
Déclaration UE de conformité
Document formel déclarant qu'un produit est conforme à la législation européenne applicable, y compris le CRA. Doit être signé par le fabricant ou le représentant autorisé. Requis pour le marquage CE. Doit faire référence aux normes harmonisées applicables.
E
ENISA - Agence de l'Union Européenne pour la Cybersécurité
Agence de l'UE responsable de la politique de cybersécurité et de la coordination des incidents. Selon le CRA, les fabricants doivent signaler à l'ENISA les vulnérabilités activement exploitées dans les 24 heures et les incidents graves dans les 72 heures. L'obligation de signalement commence le 11 septembre 2026.
EPSS - Système de Prédiction de la Probabilité d'Exploitation
Modèle FIRST.org estimant la probabilité (0-100%) qu'une vulnérabilité soit exploitée dans la nature dans les 30 prochains jours. Utilisé pour la priorisation des vulnérabilités basée sur le risque avec CVSS. EPSS plus élevé = priorité plus élevée pour la remédiation.
Évaluation de la conformité
Processus vérifiant qu'un produit satisfait aux exigences essentielles de cybersécurité du CRA. Produits par défaut peuvent utiliser l'auto-évaluation (Module A), tandis que Produit important (Classe I), Produit important (Classe II) et Produits critiques nécessitent une évaluation par un tiers auprès d'organismes notifiés.
Évaluation des risques
Processus systématique d'identification, d'analyse et d'évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques. Requis par l'Article 13(2) du CRA et doit être documenté dans le dossier technique. Couvre les menaces, les vulnérabilités, l'impact potentiel et les mesures d'atténuation des risques tout au long du cycle de vie du produit.
F
Fabricant
L'entité qui développe ou fabrique un produit comportant des éléments numériques et le met sur le marché de l'UE sous son propre nom ou sa propre marque. Les fabricants assument les obligations principales du CRA : réaliser des évaluations des risques, maintenir les SBOMs, gérer les vulnérabilités, fournir des mises à jour de sécurité pendant au moins cinq ans et signaler les vulnérabilités exploitées à l'ENISA.
H
HBOM - Nomenclature des Composants Matériels
Inventaire lisible par machine des composants matériels d'un produit, incluant processeurs, mémoire, circuits intégrés et firmware. Complète le SBOM pour une transparence complète du produit. CycloneDX prend en charge le format HBOM.
I
Importateur
Une entité établie dans l'UE qui met sur le marché européen un produit comportant des éléments numériques provenant d'un fabricant situé hors de l'UE. Les importateurs doivent vérifier que le fabricant a effectué l'évaluation de la conformité, que le marquage CE est apposé et que la documentation technique est disponible. Ils partagent la responsabilité pour les produits non conformes.
K
KEV - Vulnérabilités Activement Exploitées
Catalogue officiel de la CISA des vulnérabilités activement exploitées dans la nature. Priorité maximale pour la remédiation car elles représentent des menaces réelles confirmées. Les agences fédérales doivent corriger les vulnérabilités KEV dans les délais spécifiés.
M
Marquage CE
Marquage de conformité européen indiquant la conformité à la législation de l'UE. Selon le CRA, les produits comportant des éléments numériques doivent porter le marquage CE pour être légalement vendus sur le marché de l'UE. Nécessite l'achèvement de l'évaluation de conformité et la Déclaration UE de Conformité.
N
Normes harmonisées
Normes européennes adoptées par des organismes de normalisation reconnus (CEN, CENELEC, ETSI) et référencées au Journal officiel de l'UE. Les produits conformes aux normes harmonisées bénéficient d'une présomption de conformité avec les exigences essentielles du CRA correspondantes, simplifiant l'évaluation de conformité.
NVD - Base de Données Nationale des Vulnérabilités
Dépôt gouvernemental américain de données de vulnérabilités maintenu par NIST. Basé sur les identifiants CVE. Fournit les scores CVSS, les informations CPE (produit affecté), les classifications CWE et les conseils de remédiation.
O
Organisme notifié
Organisme d'évaluation de conformité indépendant désigné par un État membre de l'UE pour évaluer si les produits satisfont aux exigences réglementaires. Requis pour l'évaluation de conformité par un tiers de Produit important (Classe I), Produit important (Classe II) et Produits critiques en vertu des Annexes III et IV du CRA.
OSV.dev - Base de données de vulnérabilités open source
Base de données de vulnérabilités open source maintenue par Google. Agrège les avis de sécurité de GitHub (GHSA), Go, Rust, PyPI et plus de 15 écosystèmes dans une seule API interrogeable. CRA Evidence utilise OSV.dev comme source secondaire de vulnérabilités aux côtés de NVD pour capturer les avis que les bases de données spécifiques aux écosystèmes suivent avant qu'ils ne reçoivent des identifiants CVE.
P
PDE - Produit avec Éléments Numériques
A product with digital elements is hardware or software placed on the EU market whose intended or reasonably foreseeable use involves a direct or indirect data connection to another device or network. The legal definition is in CRA Article 3(1). The CRA distinguishes four forms: software products (Article 3(4)), hardware products (Article 3(5)), components placed on the market separately (Article 3(6), including firmware and SDKs), and remote data processing solutions supplied by the manufacturer (Article 3(2), cloud or remote services necessary for the product to perform its functions). A pure cloud SaaS without an installable client is generally outside the CRA; a hybrid product where the manufacturer's cloud service is necessary for the product to function is in scope through Article 3(2). The decisive test is the data connection, and Article 3(8), (9), and (10) distinguish logical, physical, and indirect connections.
prEN 50742
Projet de norme européenne pour la sécurité des machines couvrant les exigences de protection contre la corruption. Fournit des spécifications techniques pour la mise en œuvre du §1.1.9 du Règlement Machines (UE) 2023/1230. Définit deux voies de conformité : une approche autonome et l'intégration avec IEC 62443 pour les fabricants travaillant déjà dans ce cadre de cybersécurité industrielle. Une fois publiée comme norme harmonisée, la conformité crée une présomption de conformité avec les exigences de cybersécurité du Règlement Machines. Publication prévue fin 2026.
Produit critique (Annexe IV) - CRA Annexe IV
Produits comportant des éléments numériques qui remplissent des fonctions essentielles de cybersécurité pour d’autres produits, réseaux ou services. Énumérés dans l’Annexe IV du CRA, ils comprennent les modules de sécurité matériels (HSM), les lecteurs de cartes à puce, les éléments sécurisés et les dispositifs matériels avec boîtiers de sécurité. Les produits critiques nécessitent une certification européenne de cybersécurité dans le cadre d’un schéma applicable ou, en l’absence de schéma, une évaluation de conformité par un tiers auprès d’un organisme notifié.
Produit important (Classe I) - CRA Annexe III, Partie I
Produits comportant des éléments numériques qui remplissent une fonction pertinente pour la cybersécurité ou présentent un risque élevé. La Classe I comprend les systèmes de gestion d’identité, les VPN, les outils de gestion de réseau, les systèmes SIEM, les gestionnaires de démarrage et d’autres catégories énumérées dans l’Annexe III Partie I du CRA. Les fabricants doivent soit appliquer des normes harmonisées couvrant toutes les exigences essentielles (permettant l’auto-évaluation), soit se soumettre à une évaluation de conformité par un tiers auprès d’un organisme notifié.
Produit important (Classe II) - CRA Annexe III, Partie II
Produits comportant des éléments numériques qui remplissent des fonctions critiques de cybersécurité et présentent un risque significatif. La Classe II comprend les systèmes d’exploitation, les hyperviseurs, les pare-feu, les systèmes de détection d’intrusion, les microcontrôleurs, les systèmes d’automatisation industrielle et d’autres catégories énumérées dans l’Annexe III Partie II du CRA. Ces produits nécessitent toujours une évaluation de conformité par un tiers auprès d’un organisme notifié, que des normes harmonisées existent ou non.
Produit par défaut
Produits comportant des éléments numériques qui ne relèvent pas des catégories Important ou Critique définies dans les Annexes III et IV du CRA. Les produits par défaut peuvent faire l’objet d’une évaluation de la conformité par contrôle interne (auto-évaluation) par le fabricant conformément à l’Annexe VIII du CRA, sans intervention de tiers. Cela couvre la grande majorité des logiciels et matériels commerciaux et grand public.
PURL - URL de Paquet
Format standardisé pour identifier les packages logiciels à travers les écosystèmes (ex., pkg:npm/lodash@4.17.21). Utilisé dans les SBOMs pour identifier uniquement les composants. Permet la correspondance automatisée des vulnérabilités et la conformité des licences.
R
RDPS - Solutions de traitement de données à distance
Cloud or SaaS functionality that processes data remotely as part of a product with digital elements. Falls within the product's CRA conformity assessment scope if it meets a three-part test: data is processed 'at a distance', the product would lose a core function without it, and it is designed by or under the responsibility of the manufacturer. Third-party SaaS that does not meet this test must still be treated as a component under Article 13(5) due diligence.
Représentant autorisé - Article 18
Under Article 18(1) of Regulation (EU) 2024/2847 (the EU Cyber Resilience Act), a manufacturer may, by written mandate, appoint an EU-established legal or natural person as authorised representative. Appointment is optional under the CRA, unlike MDR Article 11 or RED Article 5 which require an authorised representative for non-EU manufacturers. Under Article 18(3), the authorised representative holds the EU Declaration of Conformity and the technical documentation at the disposal of market surveillance authorities for at least 10 years (or the support period, whichever is longer), provides information on reasoned request, and cooperates on actions taken to eliminate risks. Article 18(2) excludes the substantive Article 13 cybersecurity obligations from the mandate. Distinct from the Article 19 importer role. See the Article 18 explainer at /cra-authorised-representative.
Règlement européen sur les machines - Règlement (UE) 2023/1230
Règlement de l'UE remplaçant la Directive Machines 2006/42/CE, applicable à partir du 20 janvier 2027. Exige des preuves de cybersécurité dans le dossier technique (Annexe III §1.1.9 — protection contre la corruption) pour les machines comportant des éléments numériques. Les produits à éléments numériques doivent se conformer simultanément à ce règlement et au CRA.
S
SBOM - Nomenclature des Composants Logiciels
Inventaire formel et lisible par machine des composants logiciels et des dépendances, incluant versions, licences et relations. Requis par l'Article 13(4) du CRA pour la gestion des vulnérabilités et la transparence de la chaîne d'approvisionnement. Peut être au format CycloneDX ou SPDX.
SCA - Analyse de composition logicielle
L'analyse de composition logicielle (SCA) identifie les composants open source et tiers, les versions, les licences et les vulnérabilités connues dans un produit logiciel. Elle sert couramment à générer des SBOM, à les maintenir à jour au fil des versions et à alimenter la surveillance des vulnérabilités au titre de l'article 13 du CRA.
SPDX - Échange de Données de Paquets Logiciels
Norme ISO/IEC 5962:2021 pour communiquer les informations de nomenclature logicielle. Développée par la Linux Foundation. Largement utilisée pour la conformité des licences et le suivi des vulnérabilités. Version 2.2.1+ recommandée pour la conformité CRA.
T
TR-03183
Guide Technique du BSI allemand (Office fédéral de la sécurité de l'information) fournissant des exigences détaillées pour la création et la gestion des SBOM. Largement référencé comme meilleure pratique pour la conformité à l'Article 13 du CRA. Spécifie les champs SBOM minimaux, les formats et les exigences de mise à jour.
V
VEX - Échange sur l'Exploitabilité des Vulnérabilités
Document communiquant le statut d'exploitabilité des vulnérabilités dans un produit spécifique. Indique si un CVE affecte votre produit (affecté, non affecté, corrigé, en cours d'investigation). Aide les utilisateurs en aval à réduire la fatigue liée aux faux positifs.
VKB - Base de Connaissances des Vulnérabilités
Base de données de vulnérabilités continuellement mise à jour qui agrège les avis de plusieurs sources — telles que NVD/cvelistV5, OSV.dev, GitHub Advisories, CISA KEV et EPSS — dans une base de connaissances unique et interrogeable. Au lieu de scanner les dépendances à la demande contre une seule source, une VKB maintient un miroir local de toutes les vulnérabilités connues et les compare aux composants logiciels dès la publication de nouveaux CVE. Cela réduit la latence de détection de plusieurs heures ou jours à quelques minutes, et le croisement de plusieurs sources réduit le risque d'avis manqués.
Prêt pour la conformité CRA ?
CRA Evidence vous aide à gérer les SBOMs, suivre les vulnérabilités et générer une documentation prête pour l'audit.