Mise en œuvre et pilotage de programme

Mise en œuvre technique et pilotage de programme pour le règlement européen sur la cyber-résilience.

Besoin de quelqu’un pour prendre en charge votre programme CRA ? Nous menons le travail technique aux côtés de votre équipe, avec les outils qui correspondent à votre stack.

Réserver un appel de cadrage CRA gratuit
Vous découvrez le Cyber Resilience Act ? Lisez notre guide de conformité CRA gratuit
Notre mode d’intervention

Trois situations, trois prestations.

Chaque prestation répond à une situation précise : préparer l’échéance de signalement du 11 septembre 2026, piloter le travail transverse CRA que votre équipe n’a pas la disponibilité de prendre en charge, ou se préparer à la première vulnérabilité à signaler ou au premier courrier d’une autorité.

Le périmètre est fixe et arrêté en amont. La durée est discutée lors de l’appel de cadrage, parce que les délais réels dépendent du nombre de produits et du travail préparatoire déjà réalisé.

Choisissez celle qui correspond

CRA Technical Readiness Sprint

Prestation à périmètre fixe
À qui ça s’adresse

Fabricants sans pilote CRA en interne, d’une à trois lignes de produits, qui préparent l’échéance de signalement du 11 septembre 2026.

Ce que vous repartez avec
  • Une note de cadrage CRA écrite par ligne de produit, couvrant les obligations de l’Article 13 et les décisions de classification
  • Une analyse d’écarts priorisée au regard de l’Annexe I, assortie d’un plan de remédiation exécutable par votre responsable ingénierie
  • Une documentation technique alignée sur l’Annexe VII, validée par votre responsable ingénierie
  • Un processus opérationnel de traitement des vulnérabilités que votre équipe fait tourner en continu, pas un scan ponctuel
  • Un runbook écrit de signalement des vulnérabilités aligné sur les délais de l’Article 14
Périmètre et tarif définis lors de l’appel de cadrage.

CRA Programme Lead

Engagement récurrent, cadence convenue avec votre équipe
À qui ça s’adresse

Entreprises où personne ne prend en charge le travail transverse CRA et où le fondateur ou le CTO le porte de manière informelle.

Ce que vous repartez avec
  • Prise en charge technique de votre programme CRA, avec un rythme de travail convenu avec vos équipes produit, ingénierie et sécurité
  • Un calendrier vivant des obligations, relié aux échéances CRA et maintenu à jour au fil de l’évolution des obligations et des normes
  • Une documentation technique qui reste à jour au fil des livraisons produit, pas un document qui dépérit entre deux audits
  • Un processus opérationnel de réponse aux vulnérabilités que votre ingénieur d’astreinte peut exécuter sans ambiguïté
  • Des revues de conformité régulières au regard des obligations de l’Annexe I, avec des chemins d’escalade convenus à l’avance
Périmètre et tarif définis lors de l’appel de cadrage.

Authority and Incident Response Plan

Phase de mise en place et engagement d’astreinte
À qui ça s’adresse

Équipes dont la préoccupation réelle est la première vulnérabilité à signaler ou le premier courrier de l’ENISA ou d’une autorité nationale.

Ce que vous repartez avec
  • Un playbook écrit de réponse à incident que votre ingénieur d’astreinte peut exécuter dans les délais de signalement de l’Article 14
  • Des modèles d’alerte précoce et de notification d’incident pré-rédigés pour chaque CSIRT national à notifier
  • Une fenêtre de réponse en astreinte qui couvre les incidents à signaler pendant la durée du contrat
  • Un runbook pour produire un dossier de preuves complet lorsqu’une autorité de surveillance du marché en demande un
Périmètre et tarif définis lors de l’appel de cadrage.

Tarification par prestation

Nous ne publions pas de fourchettes de prix. La forme d’une prestation CRA dépend de votre rôle au titre du Règlement, de la complexité technique de vos produits et du travail préparatoire déjà réalisé. Une start-up avec un produit embarqué complexe n’appelle pas la même prestation qu’un fabricant qui expédie une douzaine de SKU plus simples. Le montant exact est arrêté lors de l’appel de cadrage de 30 minutes, avec une proposition écrite et chiffrée remise sous 48 h.

Nous travaillons avec vos outils existants

Chaque prestation est agnostique en matière d’outils. Nous menons le travail technique dans votre stack, qu’il s’agisse d’open source (CycloneDX, SPDX, Grype, Trivy), d’outils commerciaux que vous payez déjà ou de systèmes internes construits par votre équipe. Lorsque la plateforme CRA Evidence correspond au besoin, nous la proposons, mais elle n’est jamais une condition ni le livrable. Les livrables, ce sont les résultats de conformité.

Pourquoi cela fonctionne

Nous avons construit CRA Evidence sur l’intégralité du texte du Règlement (UE) 2024/2847, des Annexes I à VIII et des 41 normes harmonisées issues de la demande de normalisation M/606 de la Commission. La plateforme cartographie chaque obligation vers des preuves, un workflow et un reporting. La même cartographie guide chaque prestation.

CRA Evidence a été construit par des ingénieurs issus de l’infrastructure et de la sécurité cloud au sein d’entreprises technologiques européennes. La plateforme et chaque prestation reflètent cette expérience opérationnelle.

Nous prenons en charge un nombre limité de nouveaux programmes CRA chaque trimestre pour maintenir une qualité de livraison élevée. Chaque prestation est menée par les mêmes personnes seniors qui construisent la plateforme.

Ce qui se passe pendant l’appel de 30 minutes

Une conversation de travail, pas un argumentaire commercial. Elle couvre trois points, dans cet ordre :

1
Votre rôle au titre du Règlement. Fabricant, importateur et distributeur n’ont pas les mêmes obligations. Bien positionner ce rôle détermine la prestation qui convient.
2
La prestation qui convient, ou la pertinence de la plateforme seule. Toutes les entreprises n’ont pas besoin d’un accompagnement de mise en œuvre. Si la plateforme seule correspond mieux au besoin, nous le dirons.
3
Une proposition cadrée sous 48 h. Après l’appel, vous recevez une proposition écrite avec périmètre, livrables et tarif pour votre situation précise.

Périmètre et limites

CRA Evidence fournit une plateforme de conformité et des services de mise en œuvre technique. Nous sommes transparents sur ce que nous sommes, et ce que nous ne sommes pas.

Nous ne sommes pas un organisme notifié. Nous ne réalisons pas d’évaluation de la conformité au titre de l’Article 32 du Règlement (UE) 2024/2847, et nos services ne constituent pas une évaluation de la conformité ni une certification de vos produits. Lorsque votre produit requiert une évaluation de la conformité par un tiers, vous devez faire appel à un organisme notifié accrédité.

Nous ne sommes pas un cabinet d’avocats. Nous ne fournissons pas de conseil juridique. Pour l’interprétation réglementaire, les avis juridiques sur la classification des produits ou les questions de conformité contractuelle, nous travaillons aux côtés de votre conseil juridique.

Nous sommes un éditeur commercial de la plateforme CRA Evidence. Nos services de mise en œuvre sont indépendants de la plateforme : nous travaillons avec les outils qui correspondent à votre situation, y compris de l’open source, des logiciels commerciaux tiers que vous payez déjà et notre propre plateforme lorsqu’elle correspond au mieux au besoin. Lorsque vos besoins seraient mieux servis par des outils ou des services hors de notre produit, nous le dirons.

Questions fréquentes

Les deux, et ils sont indépendants. CRA Evidence est une plateforme SaaS de conformité au Cyber Resilience Act européen que vous pouvez utiliser en self-service, et nous proposons par ailleurs des services de mise en œuvre opérationnels menés par des ingénieurs d’infrastructure. Les services sont agnostiques en matière d’outils : nous travaillons dans votre stack existant avec des outils open source, des outils commerciaux que vous payez déjà ou notre plateforme si elle correspond le mieux au besoin. Trois prestations à périmètre fixe sont disponibles : un Technical Readiness Sprint pour les fabricants qui préparent l’échéance de signalement du 11 septembre 2026, un engagement Programme Lead pour la prise en charge technique continue de votre programme CRA, et un Authority and Incident Response Plan pour le signalement des vulnérabilités et les courriers de surveillance du marché.

Nous ne publions pas de fourchettes de prix, car le périmètre dépend de trop de variables concrètes : votre rôle au titre du Règlement, la complexité technique de chaque produit, le nombre de produits que vous commercialisez, le travail préparatoire déjà réalisé en interne et les outils que vous exploitez déjà. Une start-up avec un produit embarqué complexe n’appelle pas la même prestation qu’un fabricant qui expédie une douzaine de SKU plus simples. Le montant exact est arrêté lors d’un appel de cadrage de 30 minutes, avec une proposition écrite et chiffrée dans votre boîte mail sous 48 h.

Non dans les deux cas. CRA Evidence n’est pas un organisme notifié. Nous ne réalisons pas d’évaluation de la conformité au titre de l’Article 32 du Règlement (UE) 2024/2847, et nos services ne constituent pas une certification de vos produits. Lorsque votre produit requiert une évaluation de la conformité par un tiers, vous devez faire appel à un organisme notifié accrédité. CRA Evidence n’est pas non plus un cabinet d’avocats. Pour l’interprétation réglementaire et les avis juridiques, nous travaillons aux côtés de votre propre conseil juridique.

Les Big Four fournissent du conseil stratégique et juridique, mais construisent ou exploitent rarement les systèmes techniques qui rendent la conformité CRA durable. Les prestations CRA Evidence sont menées par des ingénieurs d’infrastructure et de sécurité cloud qui travaillent aux côtés de votre équipe ingénierie pour rédiger la documentation technique, mettre en place un processus de traitement des vulnérabilités et intégrer la production de preuves dans vos pipelines existants. Les livrables sont opérationnels et tournent dans votre stack, pas un jeu de slides.

CTO, VP Engineering, responsables sécurité produit et responsables conformité chez les fabricants, importateurs ou distributeurs européens de produits comportant des éléments numériques. L’appel est le plus utile lorsque vous savez déjà que le CRA s’applique à vous, mais que personne dans l’équipe n’a la disponibilité pour prendre en charge ce travail transverse. Si vous cherchez encore à déterminer si le CRA s’applique à votre cas, commencez par le CRA Applicability Check gratuit.

Le Cyber Resilience Act s’applique à tout fabricant, importateur ou distributeur qui met sur le marché de l’UE des produits comportant des éléments numériques, dans tous les secteurs et à toutes les tailles d’entreprise. Nos prestations sont les plus utiles lorsque les obligations CRA sont réelles mais qu’aucune équipe interne ne prend encore en charge le travail transverse, qu’il s’agisse d’une start-up de 15 personnes qui expédie son premier produit connecté ou d’un fabricant plus important avec des dizaines de lignes de produits. En cas de doute, réservez l’appel de cadrage et nous vous dirons honnêtement ce qu’il en est.

Oui. La plateforme et les services sont indépendants. Vous pouvez utiliser la plateforme CRA Evidence en self-service avec 14 jours d’essai gratuit et une tarification par rôle, sans jamais nous engager en conseil. Les services s’adressent aux entreprises où personne en interne ne prend en charge le travail transverse CRA, ou pour lesquelles la première vulnérabilité à signaler ou le premier courrier d’autorité est une préoccupation concrète. Les services ne requièrent pas non plus notre plateforme : la prestation fonctionne avec les outils qui correspondent à votre stack. Voir les tarifs pour les offres self-service.

Le Cyber Resilience Act s’applique à toute entreprise qui met sur le marché de l’UE des produits comportant des éléments numériques, quel que soit le pays du siège social. Les prestations de services sont actuellement délivrées en anglais à des entreprises situées dans l’Union européenne. Les fabricants, importateurs et distributeurs hors UE exposés au marché européen sont invités à réserver un appel de cadrage pour discuter de la pertinence.

Le 11 septembre 2026 est la date à partir de laquelle les obligations de signalement des vulnérabilités et des incidents au titre de l’Article 14 du Règlement (UE) 2024/2847 deviennent applicables. Les fabricants doivent être en mesure de notifier à l’ENISA et au CSIRT national compétent les vulnérabilités activement exploitées et les incidents graves dans un délai de 24 h, avec une notification de suivi à 72 h et un rapport final à 14 jours. Le CRA devient pleinement applicable le 11 décembre 2027. Voir notre guide de conformité CRA pour le calendrier complet.
Étape suivante

Si votre situation correspond à l'une des trois prestations, ou si vous ne savez pas laquelle, parlez-nous-en et nous reviendrons vers vous sous 48 heures.

Vous recevrez une proposition écrite cadrée dans votre boîte de réception, sans pression pour aller plus loin.

Nous contacter

Vous préférez réserver un créneau directement ? Réservez un appel de cadrage de 30 minutes.