← Retour au blog

Plus que 7 mois avant le CRA — Savez-vous où sont vos CVE ?

· Verimu
Conformité CRACyber Resilience ActSurveillance CVESBOMRéglementation UE

Le 11 septembre 2026 n'est pas la date d'entrée en vigueur complète du Cyber Resilience Act européen. C'est le 11 décembre 2027. Mais le 11 septembre 2026 est la date à laquelle les obligations de déclaration des vulnérabilités du CRA deviennent juridiquement contraignantes — et cette échéance est désormais à environ sept mois.

À partir de cette date, tout fabricant de produits comportant des éléments numériques vendus dans l'UE devra signaler les vulnérabilités activement exploitées à l'ENISA dans les 24 heures suivant leur découverte. Une notification complète suit dans les 72 heures. Un rapport final est dû dans les 14 jours suivant la disponibilité d'une mesure corrective.

Cela s'applique aux produits déjà sur le marché. Cela s'applique aux logiciels que vous avez livrés en 2020. Cela s'applique que vous ayez commencé ou non votre parcours de conformité CRA.

La dépendance cachée que la plupart des équipes ignorent

La plupart des organisations planifient autour de la date de conformité complète du 11 décembre 2027. C'est à cette date qu'entrent en vigueur les exigences SBOM, les évaluations de conformité et les obligations de marquage CE. Le raisonnement est donc : nous avons le temps.

Mais voici le problème. Pour signaler une vulnérabilité activement exploitée dans les 24 heures, vous devez savoir :

  1. Quels composants logiciels sont dans votre produit
  2. Lesquels de ces composants sont affectés par un CVE donné
  3. Si ce CVE est activement exploité

Vous ne pouvez rien faire de tout cela sans un SBOM et un processus de surveillance des vulnérabilités. En pratique, la préparation SBOM est un prérequis pour septembre 2026, même si les SBOMs ne sont formellement exigés qu'à partir de décembre 2027.

Comme l'équipe de sécurité de Keysight l'a formulé : « On ne peut pas signaler ce qu'on ne connaît pas. »

À quoi ressemble le calendrier de déclaration

Lorsqu'un fabricant prend connaissance d'une vulnérabilité activement exploitée dans son produit, le CRA exige :

Échéance Exigence
24 heures Alerte précoce au CSIRT via la plateforme de signalement unique de l'ENISA
72 heures Notification complète incluant l'évaluation de la gravité et les produits affectés
14 jours Rapport final une fois qu'une mesure corrective ou d'atténuation est disponible

La Plateforme de signalement unique de l'ENISA sera opérationnelle d'ici septembre 2026. Une fois active, il n'y aura pas de période de grâce.

Le calcul des sanctions

Le non-respect du CRA peut entraîner des amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Pour donner une idée : une entreprise européenne de logiciels de taille moyenne avec un chiffre d'affaires annuel de 100 M€ fait face à une amende potentielle de 2,5 M€ — pour un seul défaut de déclaration.

Même pour les entreprises bien en dessous de ce seuil de chiffre d'affaires, les dommages à la réputation d'une notification CRA manquée peuvent être pires que l'amende elle-même.

Le paysage actuel : ce qui existe

Si vous commencez à évaluer les outils, le marché se décompose grossièrement ainsi :

Plateformes SCA enterprise — des outils comme Snyk, Sonatype et FOSSA proposent l'analyse de composition logicielle avec la génération SBOM comme fonctionnalité. Ces plateformes sont puissantes et matures, mais elles ont été conçues pour les équipes de sécurité américaines et coûtent souvent 2 000 à 5 000+ €/mois. Les workflows spécifiques au CRA (déclaration 24h→72h→14j, intégration EUVD, signalement ENISA) ne sont généralement pas intégrés.

Gestionnaires de cycle de vie SBOM — des outils comme Cybeats SBOM Studio et sbomify se concentrent sur la gestion, l'archivage et le partage des SBOM. Ils sont solides côté documentation mais peuvent nécessiter des outils séparés pour la détection et l'alerte de vulnérabilités.

Générateurs open source — Syft, cdxgen et npm-sbom peuvent générer des SBOM dans les pipelines CI/CD. Ils sont gratuits et flexibles, mais vous devrez construire vous-même le monitoring CVE, l'alerte et le workflow de déclaration.

Plateformes orientées CRA — une catégorie plus récente d'outils construits spécifiquement autour des calendriers et exigences CRA. ScanDog et Verimu font partie de cette catégorie : conçus pour la conformité européenne, avec la génération SBOM, la surveillance des vulnérabilités et le signalement réglementaire comme fonctionnalités principales plutôt que comme ajouts.

La question n'est pas de savoir si vous avez besoin d'un outil. Mais quels compromis vous êtes prêt à faire : construire vs. acheter, coût vs. couverture, natif CRA vs. adapté après coup.

Ce que « CRA-ready » signifie vraiment d'ici septembre

D'ici le 11 septembre 2026, vous devriez au minimum avoir :

  1. Un SBOM complet pour chaque produit sur le marché — couvrant toutes les dépendances directes et transitives, au format CycloneDX ou SPDX
  2. Une surveillance automatisée des vulnérabilités — croisant vos SBOM avec NVD, EUVD et idéalement CISA KEV pour les signaux de vulnérabilités activement exploitées
  3. Un workflow d'alerte — qui notifie les bonnes personnes en heures, pas en jours
  4. Un processus de déclaration — calqué sur le calendrier CRA 24h/72h/14j, avec des modèles prêts pour la plateforme ENISA
  5. De la documentation — montrant que ce processus existe, a été testé et était opérationnel avant l'échéance

Si l'un de ces éléments manque, vous êtes exposé.

Comment Verimu s'intègre

Verimu a été construit spécifiquement pour ce problème. Nous sommes une équipe d'ingénieurs medtech et de logiciels industriels qui avons nous-mêmes traversé la planification de conformité CRA et réalisé que le fossé en matière d'outillage était énorme — en particulier pour les petites et moyennes équipes logicielles européennes qui n'ont pas un budget de 50 000 €/an pour les outils de sécurité.

Voici ce que Verimu fait aujourd'hui :

  • Génération SBOM — CycloneDX 1.7, conforme NTIA, généré automatiquement à chaque commit via GitHub App
  • Surveillance CVE — croisement avec NVD, EUVD et CISA KEV
  • Alertes en temps réel — notifications par e-mail à votre équipe quand une vulnérabilité affecte vos dépendances
  • Modèles de rapport CRA — calqués sur le calendrier de notification 24h/72h/14j
  • Infrastructure hébergée dans l'UE — vos données restent en Europe

À partir de 49 €/mois — pas des milliers.

Nous commençons avec GitHub et npm/Node.js, avec C#, Java, Go et Rust sur la feuille de route.

Si vous voulez voir à quoi ressemble un SBOM conforme avant de vous engager, vous pouvez en générer un dans votre navigateur maintenant — sans inscription.

Sept mois, c'est moins de temps qu'il n'y paraît. Surtout quand le premier mois passe en évaluation, le deuxième en approvisionnement, le troisième en intégration, et que vous voulez au moins un trimestre de marge avant l'échéance.

Commencer gratuitement → ou réserver une démo pour voir comment Verimu peut vous rendre CRA-ready avant septembre.