SBOM : ce que le CRA exige concrètement et comment s'y préparer
Article 14 CRA Cybersécurité Firmware Gestion des vulnérabilités SBOM

SBOM : ce que le CRA exige concrètement et comment s'y préparer

Le SBOM (Software Bill of Materials) est requis par l'Annexe VII du CRA, mais sa valeur réglementaire dépasse la case à cocher documentaire : sans SBOM à jour et corrélable aux bases de vulnérabilités, le délai de 24 heures de l'Article 14 est intenable. Formats, contenu minimum, défis spécifiques au firmware embarqué, et ce qu'un SBOM viable ressemble pour une PME industrielle qui n'a pas de pipeline CI/CD complet.

 1 mai 2026  12 min
Article 14 CRA : le jalon de septembre 2026 que beaucoup de fabricants n'ont pas vu venir
Article 14 CRA CVD Cybersécurité Gestion des vulnérabilités PSIRT

Article 14 CRA : le jalon de septembre 2026 que beaucoup de fabricants n'ont pas vu venir

Le 11 septembre 2026, les obligations de notification des vulnérabilités activement exploitées (Article 14 du CRA) entrent en application. Elles concernent tous les produits déjà sur le marché, sans clause de grand-père. Pour un fabricant dont le SBOM est incomplet et dont la fonction PSIRT n'existe pas, le délai de 24 heures n'est pas tenable. Ce qui doit être en place, dans quel ordre, et ce qu'une autorité de surveillance du marché cherche dans un dossier de notification.

 1 mai 2026  11 min
CVD : rédiger et publier une politique de divulgation coordonnée des vulnérabilités
CRA CVD Conformité Cybersécurité Gestion des vulnérabilités PSIRT

CVD : rédiger et publier une politique de divulgation coordonnée des vulnérabilités

La politique de divulgation coordonnée des vulnérabilités (CVD) est un document public que la plupart des fabricants de produits connectés n'ont jamais rédigé, parce qu'avant le CRA, rien ne l'imposait. À partir du 11 septembre 2026, son absence constitue une non-conformité directe. Cet article explique ce que la CVD doit contenir selon l'Annexe I Partie II du CRA et la prEN 40000-1-3, ce qui la distingue de la procédure interne de traitement des vulnérabilités, comment la rendre opérationnelle plutôt que décorative, et ce que la clause de non-poursuite implique juridiquement.

 30 avr. 2026  11 min
Tous ANFR Annexe III Article 14 CRA CVD Conformité Conformité CE Contrôle de marché Cybersécurité DDADUE DGCCRF Directive Machines Directive RED Dossier technique Due diligence EN 18031 EN 304 632 Firmware Gestion des vulnérabilités Marquage CE PSIRT SBOM Surveillance du marché