Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Règlement européen Adopté, déploiement progressif

CRA Réglementation

Le règlement européen horizontal de cybersécurité pour les produits comportant des éléments numériques, imposant les principes de sécurité dès la conception, y compris l'agilité cryptographique et la sécurité de la chaîne d'approvisionnement logicielle.

En bref

Statut
Adopté, déploiement progressif
Type
Règlement européen
Portée
Produits comportant des éléments numériques

Vue d'ensemble

Le Cyber Resilience Act (CRA) introduit des exigences obligatoires de cybersécurité pour tous les produits comportant des éléments numériques vendus sur le marché européen. Ce règlement de grande portée s'applique aux matériels comme aux logiciels — des objets connectés aux applications d'entreprise — exigeant que les fabricants traitent les vulnérabilités, fournissent des mises à jour de sécurité et mettent en œuvre les principes de sécurité dès la conception tout au long du cycle de vie du produit.

Une exigence centrale du CRA est l'agilité cryptographique : la capacité de mettre à jour ou de remplacer les algorithmes et paramètres cryptographiques sans remplacer l'intégralité du produit. Cette capacité est essentielle pour la préparation post-quantique et garantit que les produits peuvent s'adapter à l'évolution des menaces. Pour la PKI, cela signifie que les certificats et primitives cryptographiques doivent être conçus dès le départ pour permettre la rotation.

Le CRA impose également la sécurité de la chaîne d'approvisionnement logicielle, incluant la signature de code pour garantir l'intégrité des logiciels et les Software Bills of Materials (SBOM) pour la transparence. Ces exigences créent de nouvelles demandes en matière de gestion de certificats à grande échelle, notamment pour les fabricants gérant des flottes de produits connectés et des livraisons logicielles fréquentes.

Exigences clés

Sécurité dès la conception (annexe I)

Les produits doivent être conçus avec la sécurité dès le départ, incluant des protections cryptographiques appropriées, des surfaces d'attaque minimales et la capacité de mettre à jour les composants de sécurité.

Traitement des vulnérabilités et mises à jour

Les fabricants doivent identifier et documenter les vulnérabilités, fournir des mises à jour de sécurité pendant la durée de vie prévue du produit et garantir que les mises à jour peuvent être déployées de manière sécurisée et automatique.

Exigences d'agilité cryptographique

Les produits doivent prendre en charge la possibilité de mettre à jour ou de remplacer les algorithmes et paramètres cryptographiques sans nécessiter le remplacement complet du produit — élément essentiel pour la préparation post-quantique.

Software Bill of Materials (SBOM)

Les fabricants doivent documenter l'ensemble des composants et dépendances dans un SBOM lisible par machine, permettant la transparence de la chaîne d'approvisionnement et le suivi des vulnérabilités sur l'ensemble de la pile logicielle.

Évaluation de la conformité

Les produits doivent faire l'objet de procédures d'évaluation de la conformité — auto-évaluation pour les produits standard, évaluation par un tiers pour les produits critiques — avant de porter le marquage CE.

Surveillance du marché et signalement

Les vulnérabilités activement exploitées doivent être signalées sous 24 heures. Les autorités de surveillance du marché peuvent retirer les produits non conformes et imposer des sanctions significatives.

Jalons clés

22
2022

Proposition en septembre 2022

La Commission européenne propose le Cyber Resilience Act pour combler l'absence d'exigences horizontales de cybersécurité pour les produits comportant des éléments numériques.

24
2024

Adopté et publié

Le CRA est formellement adopté en mars 2024 et publié au Journal officiel en novembre 2024 sous la forme du règlement (UE) 2024/2847.

26
2026

Obligations de signalement en septembre 2026

Les fabricants doivent commencer à signaler les vulnérabilités activement exploitées et les incidents de sécurité graves à l'ENISA et aux CSIRT nationaux.

27
2027 Actuel

Pleine application en décembre 2027

Toutes les exigences du CRA deviennent pleinement applicables, incluant les évaluations de conformité, le traitement des vulnérabilités et les obligations de sécurité dès la conception.

28+
2028+ Application

Application sur le marché

Les autorités de surveillance du marché engagent des actions de contrôle, les produits non conformes étant passibles d'amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial.

Impact sur la PKI et les certificats

Le Cyber Resilience Act introduit de nouvelles exigences fondamentales pour l'infrastructure PKI des fabricants de produits et des éditeurs de logiciels. Voici les domaines critiques :
1

Agilité cryptographique et rotation des algorithmes

Les produits doivent prendre en charge la rotation des algorithmes cryptographiques, ce qui pousse directement à la préparation post-quantique et à une infrastructure de certificats capable de s'adapter sans rompre les systèmes déployés.

2

Signature de code pour la chaîne d'approvisionnement logicielle

Les certificats de signature de code deviennent obligatoires pour garantir l'intégrité des logiciels. Chaque mise à jour de firmware, correctif logiciel et version doit être signée et vérifiable cryptographiquement.

3

Certificats d'identité de dispositif pour l'IoT

Les dispositifs connectés exigent des certificats d'identité uniques pour l'authentification et la communication sécurisée, créant des besoins massifs d'émission et de gestion de certificats à l'échelle de la fabrication.

4

Rotation automatisée des certificats pour les correctifs

Les correctifs de vulnérabilités doivent être déployés rapidement et de manière sécurisée, ce qui nécessite des capacités de rotation automatisée des certificats à l'échelle de flottes entières de produits sans intervention manuelle.

Comment nous aidons

Evertrust & CRA

Tableau de bord d'agilité cryptographiqueSuivez l'usage des algorithmes sur l'ensemble de votre parc de certificats, identifiez les primitives cryptographiques faibles ou obsolètes et planifiez votre trajectoire de migration post-quantique.

Rotation automatisée des certificatsEffectuez rapidement la rotation des certificats sur les flottes de produits en réponse aux vulnérabilités, garantissant une sécurité continue sans interruption de service.

Application des politiques pour les standards cryptographiquesDéfinissez et appliquez des standards cryptographiques minimaux sur tous les produits, garantissant la conformité aux exigences de sécurité dès la conception du CRA, du développement au déploiement.

Inventaire des certificats sur les flottes de produitsConservez une visibilité complète sur tous les certificats de dispositifs et de signature de code à travers votre portefeuille de produits, de la fabrication à la fin de vie.

Parler à un expert Découvrir Horizon
Retour au centre de conformité Bénéficiez de conseils d’experts