En bref
Ce glossaire couvre la terminologie essentielle du Cyber Resilience Act de l'UE (CRA) : SBOM (Software Bill of Materials), CycloneDX, SPDX, VEX (Vulnerability Exploitability eXchange), CSAF, CVE, EPSS, KEV, TR-03183, signalement ENISA, marquage CE, normes harmonisées, organismes notifiés, évaluation des risques, exigences du dossier technique et évaluation de conformité. Utilisez cette référence lors de la préparation à la conformité CRA avant la date limite de décembre 2027.
Glossaire de Conformité CRA
Terminologie essentielle pour comprendre le Cyber Resilience Act de l'UE, les normes de sécurité de la chaîne d'approvisionnement logicielle et les exigences de conformité.
A
Annexe VII
L'Annexe VII du CRA précise le contenu minimal de la Déclaration de Conformité UE que les fabricants doivent établir pour les produits comportant des éléments numériques. Comprend l'identification du produit, les coordonnées du fabricant, les normes appliquées et la signature d'un représentant autorisé.
Article 13 - Obligations des fabricants
L'Article 13 du CRA définit les obligations principales des fabricants : sécurité dès la conception, maintenance du SBOM, gestion des vulnérabilités, fourniture de mises à jour de sécurité tout au long du cycle de vie du produit et conservation de la documentation technique pendant au moins 10 ans.
Article 14 - Obligations de signalement
L'Article 14 du CRA impose aux fabricants de signaler les vulnérabilités activement exploitées à l'ENISA sous 24 heures (alerte précoce), 72 heures (rapport détaillé) et 14 jours (rapport final). Les incidents graves suivent le même schéma mais avec un délai de rapport final de 30 jours.
C
Marquage CE
Marquage de conformité européen indiquant la conformité à la législation de l'UE. Selon le CRA, les produits comportant des éléments numériques doivent porter le marquage CE pour être légalement vendus sur le marché de l'UE. Nécessite l'achèvement de l'évaluation de conformité et la Déclaration UE de Conformité.
Évaluation de la conformité
Processus vérifiant qu’un produit satisfait aux exigences essentielles de cybersécurité du CRA. Produits par défaut peuvent utiliser l’auto-évaluation (Module A), tandis que Important Classe I, Classe II et Produits critiques nécessitent une évaluation par un tiers auprès d’organismes notifiés.
CRA - Loi sur la Cyber-résilience
Règlement UE 2024/2847 établissant des exigences obligatoires de cybersécurité pour les produits comportant des éléments numériques (PDE) vendus dans l'Union européenne. Entré en vigueur le 10 décembre 2024. Les obligations principales s'appliquent à partir du 11 décembre 2027. Couvre les produits matériels et logiciels avec connectivité réseau.
CSAF - Cadre Commun pour les Avis de Sécurité
Norme OASIS pour les avis de sécurité lisibles par machine. Permet le traitement automatisé des divulgations de vulnérabilités. Utilisé pour la divulgation coordonnée des vulnérabilités (CVD) et les rapports ENISA selon les exigences du CRA.
CVD - Divulgation Coordonnée des Vulnérabilités
Processus de divulgation responsable des vulnérabilités de sécurité aux fournisseurs avant l'annonce publique. L'Article 13(8) du CRA exige que les fabricants établissent et publient des politiques CVD, y compris les informations de contact de sécurité.
CVE - Vulnérabilités et Expositions Courantes
Identifiant standardisé pour les vulnérabilités de cybersécurité connues publiquement (ex., CVE-2024-12345). Géré par MITRE Corporation. Utilisé mondialement pour le suivi des vulnérabilités, la divulgation et la coordination des remédiations.
CVSS - Système Commun de Notation des Vulnérabilités
Norme de l'industrie pour évaluer la sévérité des vulnérabilités sur une échelle de 0 à 10. CVSS 4.0 est la dernière version. Fournit des métriques de base, temporelles et environnementales. Critique (9.0-10.0), Élevé (7.0-8.9), Moyen (4.0-6.9), Faible (0.1-3.9).
CycloneDX
Norme OWASP pour créer des Nomenclatures Logicielles (SBOMs) et artefacts connexes. Supporte SBOM, VEX, HBOM, SaaSBOM et plus. Version 1.5+ recommandée. Référencé par BSI TR-03183 comme format préféré pour la conformité CRA.
Produit critique — CRA Annexe IV
Produits comportant des éléments numériques qui remplissent des fonctions essentielles de cybersécurité pour d’autres produits, réseaux ou services. Énumérés dans l’Annexe IV du CRA, ils comprennent les modules de sécurité matériels (HSM), les lecteurs de cartes à puce, les éléments sécurisés et les dispositifs matériels avec boîtiers de sécurité. Les produits critiques nécessitent une certification européenne de cybersécurité dans le cadre d’un schéma applicable ou, en l’absence de schéma, une évaluation de conformité par un tiers auprès d’un organisme notifié.
D
Catégorie de produit par défaut
Produits comportant des éléments numériques qui ne relèvent pas des catégories Important ou Critique définies dans les Annexes III et IV du CRA. Les produits par défaut peuvent faire l’objet d’une évaluation de la conformité par contrôle interne (auto-évaluation) par le fabricant conformément à l’Annexe VIII du CRA, sans intervention de tiers. Cela couvre la grande majorité des logiciels et matériels commerciaux et grand public.
Distributeur
Toute entité de la chaîne d'approvisionnement, autre que le fabricant ou l'importateur, qui met un produit comportant des éléments numériques à disposition sur le marché de l'UE. Les distributeurs doivent vérifier que le produit porte le marquage CE et est accompagné de la déclaration de conformité UE avant sa mise à disposition. Si un distributeur modifie le produit, il devient fabricant au sens du CRA.
E
ENISA - Agence de l'Union Européenne pour la Cybersécurité
Agence de l'UE responsable de la politique de cybersécurité et de la coordination des incidents. Selon le CRA, les fabricants doivent signaler à l'ENISA les vulnérabilités activement exploitées dans les 24 heures et les incidents graves dans les 72 heures. L'obligation de signalement commence le 11 septembre 2026.
EPSS - Système de Prédiction de la Probabilité d'Exploitation
Modèle FIRST.org estimant la probabilité (0-100%) qu'une vulnérabilité soit exploitée dans la nature dans les 30 prochains jours. Utilisé pour la priorisation des vulnérabilités basée sur le risque avec CVSS. EPSS plus élevé = priorité plus élevée pour la remédiation.
Déclaration UE de conformité
Document formel déclarant qu'un produit est conforme à la législation européenne applicable, y compris le CRA. Doit être signé par le fabricant ou le représentant autorisé. Requis pour le marquage CE. Doit faire référence aux normes harmonisées applicables.
H
HBOM - Nomenclature des Composants Matériels
Inventaire lisible par machine des composants matériels d'un produit, incluant processeurs, mémoire, circuits intégrés et firmware. Complète le SBOM pour une transparence complète du produit. CycloneDX prend en charge le format HBOM.
Normes harmonisées
Normes européennes adoptées par des organismes de normalisation reconnus (CEN, CENELEC, ETSI) et référencées au Journal officiel de l'UE. Les produits conformes aux normes harmonisées bénéficient d'une présomption de conformité avec les exigences essentielles du CRA correspondantes, simplifiant l'évaluation de conformité.
I
Importateur
Une entité établie dans l'UE qui met sur le marché européen un produit comportant des éléments numériques provenant d'un fabricant situé hors de l'UE. Les importateurs doivent vérifier que le fabricant a effectué l'évaluation de la conformité, que le marquage CE est apposé et que la documentation technique est disponible. Ils partagent la responsabilité pour les produits non conformes.
Produit important (Classe I) — CRA Annexe III, Partie I
Produits comportant des éléments numériques qui remplissent une fonction pertinente pour la cybersécurité ou présentent un risque élevé. La Classe I comprend les systèmes de gestion d’identité, les VPN, les outils de gestion de réseau, les systèmes SIEM, les gestionnaires de démarrage et d’autres catégories énumérées dans l’Annexe III Partie I du CRA. Les fabricants doivent soit appliquer des normes harmonisées couvrant toutes les exigences essentielles (permettant l’auto-évaluation), soit se soumettre à une évaluation de conformité par un tiers auprès d’un organisme notifié.
Produit important (Classe II) — CRA Annexe III, Partie II
Produits comportant des éléments numériques qui remplissent des fonctions critiques de cybersécurité et présentent un risque significatif. La Classe II comprend les systèmes d’exploitation, les hyperviseurs, les pare-feu, les systèmes de détection d’intrusion, les microcontrôleurs, les systèmes d’automatisation industrielle et d’autres catégories énumérées dans l’Annexe III Partie II du CRA. Ces produits nécessitent toujours une évaluation de conformité par un tiers auprès d’un organisme notifié, que des normes harmonisées existent ou non.
K
KEV - Vulnérabilités Activement Exploitées
Catalogue officiel de la CISA des vulnérabilités activement exploitées dans la nature. Priorité maximale pour la remédiation car elles représentent des menaces réelles confirmées. Les agences fédérales doivent corriger les vulnérabilités KEV dans les délais spécifiés.
M
Fabricant
L'entité qui développe ou fabrique un produit comportant des éléments numériques et le met sur le marché de l'UE sous son propre nom ou sa propre marque. Les fabricants assument les obligations principales du CRA : réaliser des évaluations des risques, maintenir les SBOMs, gérer les vulnérabilités, fournir des mises à jour de sécurité pendant au moins cinq ans et signaler les vulnérabilités exploitées à l'ENISA.
N
NVD - Base de Données Nationale des Vulnérabilités
Dépôt gouvernemental américain de données de vulnérabilités maintenu par NIST. Basé sur les identifiants CVE. Fournit les scores CVSS, les informations CPE (produit affecté), les classifications CWE et les conseils de remédiation.
Organisme notifié
Organisme indépendant d’évaluation de la conformité désigné par un État membre de l’UE pour évaluer si les produits satisfont aux exigences réglementaires. Requis pour l’évaluation de conformité par un tiers des Important Classe I, Classe II et Produits critiques en vertu des Annexes III et IV du CRA.
O
OSV.dev - Base de données de vulnérabilités open source
Base de données de vulnérabilités open source maintenue par Google. Agrège les avis de sécurité de GitHub (GHSA), Go, Rust, PyPI et plus de 15 écosystèmes dans une seule API interrogeable. CRA Evidence utilise OSV.dev comme source secondaire de vulnérabilités aux côtés de NVD pour capturer les avis que les bases de données spécifiques aux écosystèmes suivent avant qu'ils ne reçoivent des identifiants CVE.
P
PDE - Produit avec Éléments Numériques
Tout produit logiciel ou matériel avec une connexion (directe ou indirecte) à un autre appareil ou réseau. Le champ d'application principal du règlement CRA. Comprend les appareils IoT, les équipements industriels, l'électronique grand public et les logiciels autonomes.
PURL - URL de Paquet
Format standardisé pour identifier les packages logiciels à travers les écosystèmes (ex., pkg:npm/lodash@4.17.21). Utilisé dans les SBOMs pour identifier uniquement les composants. Permet la correspondance automatisée des vulnérabilités et la conformité des licences.
R
Évaluation des risques
Processus systématique d'identification, d'analyse et d'évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques. Requis par l'Article 13(2) du CRA et doit être documenté dans le dossier technique. Couvre les menaces, les vulnérabilités, l'impact potentiel et les mesures d'atténuation des risques tout au long du cycle de vie du produit.
S
SBOM - Nomenclature des Composants Logiciels
Inventaire formel et lisible par machine des composants logiciels et des dépendances, incluant versions, licences et relations. Requis par l'Article 13(4) du CRA pour la gestion des vulnérabilités et la transparence de la chaîne d'approvisionnement. Peut être au format CycloneDX ou SPDX.
SPDX - Échange de Données de Paquets Logiciels
Norme ISO/IEC 5962:2021 pour communiquer les informations de nomenclature logicielle. Développée par la Linux Foundation. Largement utilisée pour la conformité des licences et le suivi des vulnérabilités. Version 2.2.1+ recommandée pour la conformité CRA.
T
Dossier Technique
Package de documentation complet démontrant la conformité CRA. Comprend l'évaluation des risques, SBOM, documentation de conception de sécurité, procédures de gestion des vulnérabilités, résultats des tests et Déclaration UE de Conformité. Doit être conservé pendant 10 ans ou la durée de vie du produit (la période la plus longue).
TR-03183
Guide Technique du BSI allemand (Office fédéral de la sécurité de l'information) fournissant des exigences détaillées pour la création et la gestion des SBOM. Largement référencé comme meilleure pratique pour la conformité à l'Article 13 du CRA. Spécifie les champs SBOM minimaux, les formats et les exigences de mise à jour.
V
VEX - Échange sur l'Exploitabilité des Vulnérabilités
Document communiquant le statut d'exploitabilité des vulnérabilités dans un produit spécifique. Indique si un CVE affecte votre produit (affecté, non affecté, corrigé, en cours d'investigation). Aide les utilisateurs en aval à réduire la fatigue liée aux faux positifs.
Prêt pour la conformité CRA ?
CRA Evidence vous aide à gérer les SBOMs, suivre les vulnérabilités et générer une documentation prête pour l'audit.