.jpg)
-2.png)
Le Cyber Resilience Act (CRA), règlement européen (UE) 2024/2847, est entré en vigueur le 10 décembre 2024. Ses premières obligations contraignantes s'appliquent dès le 11 septembre 2026, avec une application complète prévue pour décembre 2027.
Pour la première fois, l'Union européenne impose des exigences de cybersécurité obligatoires à l'ensemble des produits comportant des éléments numériques, matériels et logiciels, mis sur le marché européen.
Un règlement qui cible les produits numériques
Contrairement à la directive NIS2 qui porte sur la sécurité des organisations, le CRA s'applique aux produits eux-mêmes. Sa portée est large : applications, objets connectés, logiciels, composants matériels, tout produit intégrant des éléments numériques est concerné, à l'exception des services cloud purs (couverts par NIS2), des dispositifs médicaux et des véhicules, déjà encadrés par des réglementations spécifiques.
Le Cyber Resilience Act (CRA) classe les produits en trois niveaux de criticité, qui déterminent la procédure d'évaluation de conformité applicable : les produits "par défaut" (auto-évaluation), les produits "importants" de classe I et II (évaluation plus stricte, pouvant nécessiter un tiers), et les produits "critiques" (certification européenne obligatoire).
Les fabricants, éditeurs de logiciels, développeurs d'applications et constructeurs de matériel portent l'essentiel des obligations. Les importateurs et distributeurs sont également concernés, avec des obligations de vérification de conformité avant la mise sur le marché.
Les sanctions sont alignées sur celles du RGPD : jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial pour le non-respect des exigences essentielles de cybersécurité. Les autorités de surveillance peuvent également ordonner le retrait de produits non conformes du marché européen.
Les exigences clés et comment Yagaan y répond
L'Annexe I du Cyber Resilience Act définit les exigences auxquelles les produits doivent répondre. Ils doivent notamment être mis sur le marché sans vulnérabilité exploitable connue, avec une configuration sécurisée par défaut. Plusieurs de ces exigences touchent directement à la sécurité applicative, le cœur de métier de Yagaan, powered by Pradeo.
Sécurité dès la conception (Security by Design)
Le CRA exige que la cybersécurité soit intégrée dès la phase de conception. Un produit doit être mis sur le marché sans vulnérabilité exploitable connue, avec une configuration sécurisée par défaut, des mécanismes d'authentification robustes et une surface d'attaque minimisée. La sécurité n'est plus un ajout en fin de cycle, elle devient une obligation légale dès le début du développement.
Yagaan répond à cette exigence avec sa solution Static Application Security Testing (SAST) qui s'intègre directement dans les pipelines CI/CD pour analyser le code source à chaque itération, identifiant les failles avant la mise en production. L'outil utilise le machine learning pour prioriser les vulnérabilités selon leur criticité réelle et fournir une aide contextuelle à la remédiation.
Gestion des vulnérabilités et signalement sous 24 heures
Le CRA impose un processus structuré de détection, correction et communication des vulnérabilités pendant toute la durée de vie du produit, ou au minimum cinq ans après sa mise sur le marché. Dès le 11 septembre 2026, les fabricants devront notifier à l'ENISA toute vulnérabilité activement exploitée dans les 24 heures suivant sa découverte, fournir un rapport complet sous 72 heures et un rapport final sous 14 jours.
Le In-App Protection de Yagaan répond directement à cette exigence en détectant en temps réel les tentatives d'exploitation sur l'application déployée, permettant d'identifier et de neutraliser les attaques en production.
En amont, l'intégration de Yagaan Static Application Security Testing (SAST) dans le cycle de développement permet une détection des vulnérabilités dans le code source, alignée avec cette obligation de maintien en condition de sécurité. En identifiant et corrigeant les failles au fil du développement plutôt qu'en aval, les éditeurs réduisent le risque de devoir signaler des vulnérabilités exploitables après la mise sur le marché.
Traçabilité des composants logiciels
Le CRA impose la production d'un SBOM (Software Bill of Materials), un inventaire exhaustif de tous les composants logiciels intégrés dans le produit, incluant les bibliothèques tierces et les dépendances open source. Ce SBOM doit être disponible pour les autorités de surveillance sur demande.
Pour les applications mobiles, qui sont des produits numériques au sens du CRA, Yagaan Mobile Application Security Testing (MAST) permet d'auditer leur sécurité à partir de leur code binaire (Android et iOS), identifiant les composants tiers intégrés et leurs vulnérabilités. Cela couvre aussi bien les applications développées en interne que celles provenant de fournisseurs, contribuant à la traçabilité exigée par le règlement.
Protection contre l'altération et les attaques en production
Le CRA exige que les produits numériques minimisent leur surface d'attaque et soient protégés contre les accès non autorisés.
Yagaan contribue à ces exigences avec deux solutions complémentaires. Le Shielding protège le code de l'application contre le reverse engineering, le clonage et l'altération, réduisant concrètement la surface d'attaque exploitable par un attaquant. Le In-App Protection assure la protection de l'application en temps réel pendant son exécution, détectant et neutralisant les attaques directement sur le terminal.
Le moment de se préparer
La première échéance contraignante Cyber Resilience Act arrive dans quelques mois. Pour les développeurs d'applications, la mise en conformité passe par l'intégration de la sécurité dans le cycle de développement et la gestion structurée des vulnérabilités dans leurs applications.
Yagaan, powered by Pradeo, accompagne les organisations dans cette démarche en fournissant une suite de sécurité applicative complète, du développement à l’exécution.
.jpg?height=100&name=1711636314862%20(1).jpg)
