Le contenu de ce site web est également disponible dans d’autres langues :
Allemand | Anglais | Espagnol | Italienien | Chinois simplifié | Chinois traditionnel | Japonais
Nous sommes engagés envers
la conformité au CRA
Depuis plus de 35 ans, Moxa développe des solutions pour les environnements industriels les plus critiques et exigeants au monde. Bien avant le Cyber Resilience Act (CRA), nous étions déjà engagés dans des pratiques de cybersécurité et faisions partie des premiers fournisseurs de premier plan à obtenir la certification IEC 62443-4-1, la référence en matière de cybersécurité industrielle. Ces fondations démontrent que notre priorité de concevoir des produits sûrs, fiables et résilients est ancrée dans notre démarche et non dictée par de nouvelles réglementations.
Sécurité systématique
Notre Cycle de Vie de Développement Sécurisé (SDL) certifié IEC 62443-4-1 est aligné sur les exigences du CRA.
Confiance vérifiée
Nous fournissons à nos clients des mises à jour de sécurité appropriées et une gestion efficace des vulnérabilités.
Des solutions pérennes
Alignement proactif sur les obligations réglementaires et les normes européennes en évolution.
Notre compréhension stratégique du CRA
Le règlement (UE) 2024/2847 dit Cyber Resilience Act (CRA) est un texte législatif majeur de l’UE qui établit des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques mis sur le marché de l’UE.
Le CRA en bref
Le CRA instaure des exigences claires et horizontales de cybersécurité pour les produits comportant des éléments numériques tout au long de leur cycle de vie. Les fabricants doivent satisfaire à ces exigences pour obtenir le marquage CE, sans lequel ils ne peuvent pas mettre des produits sur le marché de l’UE.
En bref, les principaux objectifs du CRA sont les suivants :
- Renforcer la résilience du marché numérique européen ;
- Accroître la transparence de la cybersécurité pour les utilisateurs ;
- Veiller à ce que les produits numériques comportent moins de vulnérabilités.
Examen approfondi des exigences du CRA
Exigences essentielles de cybersécurité énoncées à l’annexe I :
A. Exigences essentielles relatives aux propriétés du produit (Partie I) : du processus de conception à la production, les fabricants doivent assurer une cybersécurité adéquate sur la base des risques identifiés. Exigences clés : sécurité par conception/par défaut et contrôle d’accès.
B. Exigences essentielles de gestion des vulnérabilités (Partie II) : les fabricants doivent veiller à ce que les vulnérabilités soient traitées efficacement pendant toute la période de support.
Calendrier et échéances du CRA
Depuis le 10 décembre 2024, le règlement est en vigueur, lançant une mise en œuvre progressive sur plusieurs années. Une échéance intermédiaire clé est le 11 septembre 2026, date à laquelle la notification des vulnérabilités devient obligatoire. La date critique de conformité est le 11 décembre 2027 : d’ici là, tous les produits concernés (produits comportant des éléments numériques) mis sur le marché de l’UE doivent satisfaire à l’ensemble des exigences du CRA.
Mettre à profit notre expertise OT et les pratiques « Secure by Design » pour établir les fondements du design exigé par la CRA.
Nos fondamentaux reposent sur plusieurs piliers conçus pour répondre aux exigences de sécurité essentielles du CRA en s'appuyant sur notre expertise existante, notamment le référentiel IEC 62443.
Tirer parti des normes internationales
Nous reconnaissons que le meilleur moyen d’assurer la conformité réglementaire consiste à recourir à des cadres internationaux reconnus. Notre stratégie est fondée sur les exigences fondamentales du CRA et sur les normes européennes harmonisées.
- Alignement sur l’IEC 62443 : notre processus de développement sécurisé et nos spécifications fonctionnelles sont alignés sur l’IEC 62443‑4‑1 et -4‑2 , couvrant ainsi les exigences de sécurité fondamentales.
- Normes harmonisées : nous nous alignons activement sur les organisations européennes (CEN/CENELEC/ETSI) pour adopter des normes horizontales de cyber-résilience générale et des normes verticales spécifiques aux produits.
Adopter une gestion sécurisée du cycle de vie
Nous appliquons une approche indépendante du processus fondée sur les risques pour garantir la sécurité dès la conception tout au long du cycle de vie du produit.
- Évaluation continue : les produits font l’objet d’évaluations documentées des risques de cybersécurité lors des phases de planification, de conception, de production et de maintenance.
- Sécurité de la chaîne d’approvisionnement : nous faisons preuve d’une grande rigueur lors de l’intégration de composants tiers et open source afin d’éviter toute faille de sécurité.
- Support durable : nous mettons en place des mécanismes de mise à jour sécurisés, fournissant sans délai des mises à jour de sécurité pendant la période de support définie.
Traitement réactif des vulnérabilités
Pour répondre aux exigences de notification rapide des incidents prévues par le CRA, nous disposons d’une équipe PSIRT dédiée (Product Security Incident Response Team) qui se concentre sur la réalité à long terme des équipements industriels.
- Cadres mondiaux : nos équipes suivent ISO 29147 (divulgation des vulnérabilités) et ISO 30111 (traitement des vulnérabilités), cadres de référence également adoptés par le CRA.
- Réponse coordonnée : nous utilisons le FIRST Service Framework pour traiter de manière fiable les vulnérabilités signalées et publier des avis.
- Vision à long terme : nos processus soutiennent des équipements industriels destinés à fonctionner en toute sécurité pendant des décennies.
Contrôles de sécurité et documentation
Nous maintenons des preuves solides et prêtes pour l’audit de notre position de sécurité, tout en veillant à ce que nos produits intègrent des fonctionnalités permettant une exploitation sécurisée pour nos clients.
- Transparence pour les utilisateurs : les produits incluent des informations claires sur l’usage prévu, les dates de fin de support et les points de contact pour le signalement des vulnérabilités.
- Défense intégrée : les équipements sont dotés d’un système d’authentification robuste, de configurations par défaut sécurisées et d’outils permettant un déploiement rapide des correctifs.
Foire aux questions (FAQ)
Le Cyber Resilience Act (CRA) est un règlement de l’Union européenne qui fixe des exigences obligatoires en matière de cybersécurité pour tous les produits comportant des éléments numériques (matériels et logiciels) vendus sur le marché de l’UE. Il vise à garantir que ces produits maintiennent un niveau élevé de sécurité tout au long de leur cycle de vie.
Le CRA s’applique à tous les produits comportant des éléments numériques, y compris le matériel connecté (p. ex. smartphones, équipements IoT, routeurs) et les logiciels (p. ex. systèmes d’exploitation, applications, bibliothèques logicielles), dès lors qu’ils peuvent se connecter directement ou indirectement à un équipement ou à un réseau. En sont exclus certains produits déjà couverts par d’autres réglementations (comme les équipements médicaux et les automobiles), ainsi que les logiciels open source développés à des fins non commerciales. La gamme d’équipements de communication industrielle de Moxa relève du champ d’application du CRA et couvre des catégories clés avec des routeurs de sécurité industriels, des commutateurs Ethernet, des serveurs de ports série et le logiciel d’administration de réseau.
Les fabricants doivent effectuer une évaluation des risques de cybersécurité avant la mise sur le marché d’un produit, garantir que le produit répond aux exigences essentielles de cybersécurité et fournir des mises à jour de sécurité ainsi qu’un traitement des vulnérabilités tout au long du cycle de vie. Ils doivent également préparer la documentation technique, réaliser une évaluation de conformité, apposer le marquage CE et signaler aux autorités compétentes les vulnérabilités exploitées ou les incidents graves.
Les normes harmonisées du CRA sont des normes européennes élaborées par des organismes européens de normalisation reconnus (CEN, CENELEC et ETSI), spécifiquement à la demande de la Commission européenne. Elles sont essentielles pour la mise en œuvre du CRA, car elles traduisent les exigences essentielles de cybersécurité énoncées dans le règlement, en spécifications techniques détaillées. Les travaux de normalisation sont en cours, ils s’appuient sur des normes internationales et européennes existantes. La disponibilité des normes horizontales est attendue pour août 2026 et celle des normes verticales pour octobre 2026. (Source : www.cencenelec.eu)
Les fabricants doivent signaler les vulnérabilités et incidents à partir du 11 septembre 2026, toutes les autres exigences du CRA (y compris la conformité pré-commercialisation ) s’appliquent au 11 décembre 2027.
Les entreprises s’exposent à de lourdes amendes si elles ne respectent pas le CRA. Pour les infractions les plus graves, les sanctions peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial total de l’entreprise, le montant le plus élevé s’appliquant. Des amendes moindres s’appliquent aux autres violations.
Le CRA et la directive NIS2 visent toutes deux à renforcer la cybersécurité en Europe, mais leurs priorités diffèrent. La NIS2 met l’accent sur la sécurité des réseaux et des systèmes d’information pour les infrastructures critiques et les fournisseurs de services essentiels. Le CRA s’attache à garantir la sécurité des produits numériques eux-mêmes en intégrant les aspects liés à la sécurité dès la phase de conception.
Une nomenclature logicielle (ou SBOM pour Software Bill of Materials) s’apparente à une liste pour les logiciels ; elle détaille tous les composants logiciels et bibliothèques utilisés dans un produit. Le CRA exige que les fabricants créent une nomenclature logicielle pour faciliter le traitement des vulnérabilités, sans en imposer pour l’instant sa publication. La nomenclature logicielle complète doit être mise à la disposition des organismes notifiés et des autorités de surveillance du marché sur simple demande afin de faciliter l’application du règlement.
