← Services

Audit CRA de vos firmwares

Préparez vos produits embarqués au Cyber Resilience Act européen : SBOM, gestion des CVE, secure-by-design, mécanismes de mise à jour et politique de divulgation.

· 2 min read

Audit CRA — Cyber Resilience Act

Le Cyber Resilience Act entre en application en 2027. Vos firmwares y sont-ils prêts ?

Pourquoi un audit CRA ?

Le règlement européen 2024/2847 (CRA) impose à tout produit comportant des éléments numériques — y compris vos firmwares — des exigences strictes en matière de cybersécurité. Sans conformité, c’est le marquage CE qui est en jeu, et avec lui l’accès au marché européen.

Notre approche combine notre expertise embarqué, nos pratiques CI/CD et notre culture qualité logicielle pour transformer la contrainte réglementaire en avantage produit.

Ce que nous auditons

SBOM (Software Bill of Materials)

  • Génération automatisée du SBOM (CycloneDX / SPDX)
  • Identification des composants tiers, y compris en environnement bare-metal et RTOS
  • Intégration dans votre pipeline CI/CD

Gestion des vulnérabilités (CVE)

  • Cartographie des CVE actives sur votre stack
  • Mise en place du suivi continu (scanning, alertes)
  • Politique de divulgation responsable (PSIRT)

Secure-by-design & Secure-by-default

  • Revue d’architecture sécurité (boot sécurisé, chiffrement, isolation)
  • Configuration par défaut durcie
  • Surface d’attaque et gestion des secrets

Mécanismes de mise à jour

  • Évaluation du dispositif OTA / mise à jour de firmware
  • Signature des mises à jour, rollback, intégrité
  • Durée de support et plan de fin de vie

Documentation technique

  • Analyse de risque cybersécurité
  • Documentation de conformité CRA
  • Procédures de gestion des incidents

Nos livrables

  1. Rapport d’écart CRA : diagnostic article par article du règlement, niveau de conformité actuel, écarts à combler.
  2. Feuille de route de conformité : plan d’action priorisé, intégrable à vos sprints, chiffré en story points.
  3. Templates et outillage : modèles SBOM, scripts CI/CD, politique de divulgation type — réutilisables sur votre flotte de produits.
  4. Restitution : présentation à vos équipes techniques et à votre direction.

Pour qui ?

  • Fabricants d’équipements connectés (industriel, IoT).
  • Intégrateurs commercialisant des produits embarqués sur le marché européen.
  • Équipes firmware qui veulent prendre l’avance sur la conformité avant l’échéance de fin 2027.

📧 info@adnt.io — précisez « Audit CRA » dans votre message.