Mise en œuvre technique et pilotage de programme pour le règlement européen sur la cyber-résilience

Besoin de quelqu’un pour prendre en charge votre programme CRA ? Nous menons le travail technique aux côtés de votre équipe, avec les outils qui correspondent à votre stack.

Les obligations de notification CRA commencent le 11 septembre 2026. Planifiez votre programme dès maintenant.

Réserver un appel de cadrage CRA gratuit
Vous découvrez le règlement sur la cyberrésilience ? Lisez notre guide de conformité CRA gratuit
Notre mode d’intervention

Trois points de départ courants. Chaque engagement est adapté à votre situation.

Voici les trois situations que nous rencontrons le plus souvent : préparer l'échéance de déclaration du 11 septembre 2026, prendre en charge le travail CRA transversal que votre équipe n'a pas la capacité de porter, ou vous préparer à la première vulnérabilité à déclarer ou au premier courrier d'une autorité. La plupart des engagements sont un mélange, et beaucoup ne ressemblent en rien à cette liste. Nous nous adaptons à la situation dans laquelle vous êtes réellement.

Le périmètre est fixe et arrêté en amont. La durée est discutée lors de l’appel de cadrage, parce que les délais réels dépendent du nombre de produits et du travail préparatoire déjà réalisé.

Par où les équipes commencent souvent

Sprint de préparation technique CRA

À qui ça s’adresse

Fabricants sans pilote CRA en interne, avec une à trois lignes de produits, qui doivent être prêts pour le signalement au titre de l’Article 14 à partir du 11 septembre 2026 tout en constituant la documentation technique et les contrôles de l’Annexe I requis pour l’application complète du CRA le 11 décembre 2027.

Ce que vous recevez
  • Une note de cadrage CRA écrite par ligne de produit, couvrant les obligations de l’Article 13 et les décisions de classification
  • Une analyse d’écarts priorisée au regard de l’Annexe I, assortie d’un plan de remédiation exécutable par votre responsable ingénierie
  • Documentation technique CRA alignée sur l'Annexe VII, validée par votre responsable d'ingénierie
  • Un processus opérationnel de traitement des vulnérabilités que votre équipe fait tourner en continu, pas un scan ponctuel
  • Un runbook écrit de signalement des vulnérabilités aligné sur les délais de l’Article 14

Pilotage de programme CRA

À qui ça s’adresse

Entreprises où personne ne prend en charge le travail transverse CRA et où le fondateur ou le CTO le porte de manière informelle.

Ce que nous prenons en charge
  • Responsabilité du programme CRA, avec CRA Evidence qui coordonne le travail entre produit, ingénierie, sécurité et direction
  • Aide à la mise en œuvre pour les contrôles techniques, les écarts de preuve et les questions de couverture qui bloquent l’avancement
  • Un calendrier vivant des obligations, relié aux échéances CRA, aux livraisons produit, aux normes et aux points de responsabilité encore ouverts
  • Une documentation technique que nous maintenons à jour au fil des livraisons produit, afin que les preuves ne deviennent pas obsolètes entre deux audits
  • Prise en charge opérationnelle de la réponse aux vulnérabilités, avec des revues au regard des obligations de l’Annexe I et des chemins d’escalade convenus

Plan de réponse aux autorités et incidents

À qui ça s’adresse

Équipes dont la préoccupation réelle est la première vulnérabilité à signaler ou le premier courrier de l’ENISA ou d’une autorité nationale.

Ce qui est couvert
  • Un playbook écrit de réponse à incident que votre ingénieur d’astreinte peut exécuter dans les délais de signalement de l’Article 14
  • Des modèles d’alerte précoce et de notification d’incident pré-rédigés pour chaque CSIRT national à notifier
  • Une fenêtre de réponse en astreinte qui couvre les incidents à signaler pendant la durée du contrat
  • Un runbook pour produire un dossier de preuves complet lorsqu’une autorité de surveillance du marché en demande un
Pas dans cette liste ?

Votre situation est différente ?

Beaucoup d'équipes ne correspondent pas parfaitement à l'une des trois, et c'est normal. La plupart des engagements finissent par être un mélange, et certains sont tout autre chose. Dites-nous à quoi vous faites réellement face et nous concevons un engagement sur mesure. L'appel de cadrage sert à définir la bonne forme, ou à voir si le libre-service est plus adapté.

Réserver un appel de cadrage CRA gratuit →

Tarification par prestation

Nous ne publions pas de fourchettes de prix. La forme d’une prestation CRA dépend de votre rôle au titre du Règlement, de la complexité technique de vos produits et du travail préparatoire déjà réalisé. Une start-up avec un produit embarqué complexe n’appelle pas la même prestation qu’un fabricant qui expédie une douzaine de SKU plus simples. Le montant exact est arrêté lors de l’appel de cadrage de 30 minutes, avec une proposition écrite et chiffrée remise sous 48 h.

Nous travaillons avec vos outils existants

Chaque prestation est agnostique en matière d’outils. Nous menons le travail technique dans votre stack, qu’il s’agisse d’open source (CycloneDX, SPDX, Grype, Trivy), d’outils commerciaux que vous payez déjà ou de systèmes internes construits par votre équipe. Lorsque la plateforme CRA Evidence correspond au besoin, nous la proposons, mais elle n’est jamais une condition ni le livrable. Les livrables, ce sont les résultats de conformité.

Pourquoi cela fonctionne

Nous avons construit CRA Evidence sur l’intégralité du texte du Règlement (UE) 2024/2847, des Annexes I à VIII et des 41 normes harmonisées issues de la demande de normalisation M/606 de la Commission. La plateforme cartographie chaque obligation vers des preuves, un workflow et un reporting. La même cartographie guide chaque prestation.

CRA Evidence a été construit par des ingénieurs qui ont livré des produits, mené des programmes de vulnérabilités et tenu à jour les preuves techniques dans des entreprises technologiques européennes. La plateforme et chaque engagement reflètent ce parcours opérationnel.

Nous prenons en charge un nombre limité de nouveaux programmes CRA chaque trimestre pour maintenir une qualité de livraison élevée. Chaque prestation est menée par les mêmes personnes seniors qui construisent la plateforme.

Ce qui se passe pendant l’appel de 30 minutes

Une conversation de travail, pas un argumentaire commercial. Elle couvre trois points, dans cet ordre :

1
Votre rôle au titre du Règlement. Les obligations du fabricant et de l’importateur diffèrent. Les cas purement distributeur sont généralement mieux servis par un accompagnement self-service, et bien positionner ce rôle détermine la prestation qui convient.
2
La prestation qui convient, ou la pertinence de la plateforme seule. Toutes les entreprises n’ont pas besoin d’un accompagnement de mise en œuvre. Si la plateforme seule correspond mieux au besoin, nous le dirons.
3
Une proposition cadrée sous 48 h. Après l’appel, vous recevez une proposition écrite avec périmètre, livrables et tarif pour votre situation précise.

Périmètre et limites

CRA Evidence fournit une plateforme de conformité et des services de mise en œuvre technique. Nous sommes transparents sur ce que nous sommes, et ce que nous ne sommes pas.

Nous ne sommes pas un organisme notifié. Nous ne réalisons pas d’évaluation de la conformité au titre de l’Article 32 du Règlement (UE) 2024/2847, et nos services ne constituent pas une évaluation de la conformité ni une certification de vos produits. Lorsque votre produit requiert une évaluation de la conformité par un tiers, vous devez faire appel à un organisme notifié accrédité.

Nous ne sommes pas un cabinet d’avocats. Nous ne fournissons pas de conseil juridique. Pour l’interprétation réglementaire, les avis juridiques sur la classification des produits ou les questions de conformité contractuelle, nous travaillons aux côtés de votre conseil juridique.

Nous sommes un éditeur commercial de la plateforme CRA Evidence. Nos services de mise en œuvre sont indépendants de la plateforme : nous travaillons avec les outils qui correspondent à votre situation, y compris de l’open source, des logiciels commerciaux tiers que vous payez déjà et notre propre plateforme lorsqu’elle correspond au mieux au besoin. Lorsque vos besoins seraient mieux servis par des outils ou des services hors de notre produit, nous le dirons.

Questions fréquentes

Les deux, et ils sont indépendants. CRA Evidence est une plateforme SaaS de conformité au règlement sur la cyberrésilience européen que vous pouvez utiliser en self-service, et nous proposons par ailleurs des services de mise en œuvre opérationnels menés par des ingénieurs d’infrastructure. Les services sont agnostiques en matière d’outils : nous travaillons dans votre stack existant avec des outils open source, des outils commerciaux que vous payez déjà ou notre plateforme si elle correspond le mieux au besoin. Trois engagements couvrent les situations les plus courantes : un Sprint de préparation technique pour les fabricants qui préparent l’échéance de signalement du 11 septembre 2026, un engagement Pilotage de programme pour la prise en charge technique continue de votre programme CRA, et un Plan de réponse aux autorités et incidents pour le signalement des vulnérabilités et les courriers de surveillance du marché. La plupart des engagements sont un mélange de ceux-ci, et lorsque votre situation ne correspond à aucun, nous concevons un engagement sur mesure.

Nous ne publions pas de fourchettes de prix, car le périmètre dépend de trop de variables concrètes : votre rôle au titre du Règlement, la complexité technique de chaque produit, le nombre de produits que vous commercialisez, le travail préparatoire déjà réalisé en interne et les outils que vous exploitez déjà. Une start-up avec un produit embarqué complexe n’appelle pas la même prestation qu’un fabricant qui expédie une douzaine de SKU plus simples. Le montant exact est arrêté lors d’un appel de cadrage de 30 minutes, avec une proposition écrite et chiffrée dans votre boîte mail sous 48 h.

Non dans les deux cas. CRA Evidence n’est pas un organisme notifié. Nous ne réalisons pas d’évaluation de la conformité au titre de l’Article 32 du Règlement (UE) 2024/2847, et nos services ne constituent pas une certification de vos produits. Lorsque votre produit requiert une évaluation de la conformité par un tiers, vous devez faire appel à un organisme notifié accrédité. CRA Evidence n’est pas non plus un cabinet d’avocats. Pour l’interprétation réglementaire et les avis juridiques, nous travaillons aux côtés de votre propre conseil juridique.

Les Big Four fournissent du conseil stratégique et juridique, mais construisent ou opèrent rarement les systèmes techniques qui rendent la conformité CRA durable. Les engagements CRA Evidence sont menés par des ingénieurs qui travaillent aux côtés de votre équipe pour écrire le dossier technique, mettre en place un processus de traitement des vulnérabilités et intégrer la génération de preuves dans vos pipelines existants. Les livrables sont opérationnels, tournent dans votre stack, et ne sont pas un jeu de slides.

CTO, VP Engineering, responsables sécurité produit et responsables conformité chez les fabricants ou importateurs qui mettent sur le marché de l’UE des produits comportant des éléments numériques. L’appel est le plus utile lorsque vous savez déjà que le CRA s’applique à vous, mais que personne dans l’équipe n’a la disponibilité pour prendre en charge ce travail transverse. Si vous cherchez encore à déterminer si le CRA s’applique à votre cas, commencez par le CRA Applicability Check gratuit.

Tous secteurs, toutes tailles. Le CRA s'applique à tous, que vous soyez une startup de 15 personnes qui expédie son premier produit connecté ou un fabricant avec des dizaines de gammes de produits. Les engagements sont les plus utiles quand les obligations CRA sont réelles mais qu'aucune équipe interne ne porte encore le travail transversal.

Oui. La plateforme et les services sont indépendants. Vous pouvez utiliser la plateforme CRA Evidence en self-service avec 14 jours d’essai gratuit et une tarification par rôle, sans jamais nous engager en conseil. Les services s’adressent aux entreprises où personne en interne ne prend en charge le travail transverse CRA, ou pour lesquelles la première vulnérabilité à signaler ou le premier courrier d’autorité est une préoccupation concrète. Les services ne requièrent pas non plus notre plateforme : la prestation fonctionne avec les outils qui correspondent à votre stack. Voir les tarifs pour les offres self-service.

Oui. Le Règlement sur la cyberrésilience s'applique à toute entreprise qui place des produits comportant des éléments numériques sur le marché de l'UE, quel que soit le siège de l'entreprise. Si vous expédiez des produits dans l'UE, vous êtes dans le périmètre et nous pouvons vous aider. Les engagements sont délivrés en anglais.

Le 11 septembre 2026 est la date à partir de laquelle les obligations de signalement des vulnérabilités et des incidents au titre de l’Article 14 du Règlement (UE) 2024/2847 deviennent applicables. Les fabricants doivent être en mesure de notifier à l’ENISA et au CSIRT national compétent les vulnérabilités activement exploitées et les incidents graves dans un délai de 24 h, avec une notification de suivi à 72 h et un rapport final à 14 jours pour les vulnérabilités ou dans un délai d’un mois pour les incidents graves. Le CRA devient pleinement applicable le 11 décembre 2027. Voir notre guide de conformité CRA pour le calendrier complet.
Étape suivante

Si l’une de ces prestations correspond à votre besoin, dites-nous laquelle. Si votre besoin de mise en œuvre CRA est différent, dites-nous où vous avez besoin d’aide.

Vous recevrez une proposition écrite cadrée dans votre boîte de réception, sans pression pour aller plus loin.

Contactez-nous

Vous préférez réserver un créneau directement ? Réservez un appel de cadrage de 30 minutes.