Cybersécurité
Vous développez ou importez un appareil ou un logiciel intégrant des éléments numériques ?
La cyber sécurité devient une exigence réglementaire obligatoire pour pouvoir le mettre sur le marché de l’Union européenne et de la Suisse.
Säfeli vous accompagne de l’analyse d’applicabilité du Cyber Resilience Act jusqu’à l’intégration des exigences cyber dans votre produit et votre dossier de conformité, grâce à une équipe spécialisée en cyber.
CYBER RESILIENCE ACT (CRA)
Une obligation réglementaire européenne à anticiper dès aujourd’hui !
Le Cyber Resilience Act (CRA) est une nouvelle réglementation européenne qui rend obligatoire la cyber sécurité des produits mis sur le marché de l’UE.
Il s’appliquera aux produits matériels et logiciels comportant des éléments numériques, qu’ils soient connectés ou non.
Concrètement, le CRA impose aux fabricants d’intégrer la cyber sécurité dès la conception du produit. Il faut identifier les éléments numériques et interfaces du système, analyser les risques cyber réalistes, mettre en place des mesures de protection adaptées et documenter ces choix dans le dossier technique CE. La gestion des vulnérabilités sur le cycle de vie du produit devient également une exigence réglementaire.
Chez Säfeli, nous accompagnons les fabricants d’appareils et de logiciels pour intégrer les exigences du CRA de manière pragmatique et orientée certification, sans alourdir inutilement le développement. L’objectif est clair : sécuriser la mise sur le marché européen et éviter les blocages en phase de conformité.
ANALYSE DE RISQUE CYBER
La TARA (Threat Analysis and Risk Assessment) permet de démontrer de manière claire et structurée que les risques cyber d’un produit ont été identifiés, compris et traités de façon proportionnée. Elle constitue la base sur laquelle reposent toutes les décisions de sécurité.
C'est la première étape pour la mise en sécurité de vos produits et et logiciels.
En pratique, l’absence d’une TARA est souvent mise en évidence trop tard, lors des audits, des échanges avec les organismes notifiés ou des revues de dossier CE. Les questions arrivent alors quand le design est figé, obligeant à revoir l’architecture, ajouter des mesures de sécurité non prévues ou retarder la mise sur le marché, avec des coûts et des délais importants.
Chez Säfeli, nous réalisons des analyses de risque cyber orientées produits et certification, et non de la cyber sécurité théorique. Notre approche est adaptée aux appareils connectés et aux logiciels purs en lien direct avec les exigences du Cyber Resilience Act et des normes applicables.
NORMES CYBER
Les normes de cyber sécurité fournissent le cadre permettant de démontrer qu’un produit intégrant des éléments numériques est conçu de manière sécurisée et conforme aux exigences réglementaires.
Elles traduisent les principes du Cyber Resilience Act en exigences techniques concrètes, directement exploitables dans le développement et la documentation de conformité.
Parmi elles, la série EN 18031 joue un rôle central. Elle définit notamment les exigences liées à l’identification des assets cyber, à la gestion des accès, à la protection des interfaces et à la justification des mécanismes de sécurité mis en œuvre. Ces normes servent de référence pour structurer l’analyse de risque cyber et constituer une documentation cohérente pour le dossier CE.
Säfeli vous accompagne dans l’identification et l’application des normes cyber pertinentes, avec une approche pragmatique orientée conformité et mise sur le marché.
ISO 27001
Säfeli accompagne également les entreprises dans la mise en place et le déploiement de systèmes de management de la sécurité de l’information conformes à la norme ISO/IEC 27001.
Nous aidons nos clients à structurer leur gouvernance cybersécurité : analyse des risques, définition des politiques, procédures opérationnelles, gestion des accès, continuité d’activité et préparation à la certification.
Notre approche est pragmatique et proportionnée, adaptée aux PME et startups, afin de garantir un niveau de sécurité maîtrisé sans alourdir inutilement les processus.
QUESTIONS FRÉQUENTES
Le Cyber Resilience Act s’applique-t-il à mon produit ?
Le Cyber Resilience Act (CRA) s’applique à la majorité des produits comportant des éléments numériques (logiciels, firmware, connectivité réseau, IoT, machines connectées). Si votre produit est vendu dans l’Union européenne, une analyse réglementaire est nécessaire pour déterminer vos obligations exactes.
Qu’est-ce qu’une analyse TARA et est-elle obligatoire ?
La TARA (Threat Analysis and Risk Assessment) permet d’identifier, analyser et traiter les risques cyber de manière structurée. Elle est exigée ou fortement attendue dans les cadres réglementaires actuels (CRA, normes EN 18031) pour démontrer que les risques cyber ont été maîtrisés de façon proportionnée.
À quoi sert la norme EN 18031 pour la cybersécurité ?
La norme EN 18031 définit des exigences techniques pour la gestion des actifs, des accès et des mécanismes de sécurité sur les équipements et systèmes connectés. Elle permet de structurer la documentation cyber exigée dans un dossier de conformité ou de marquage CE.
Quelle est la différence entre ISO 27001 et la cybersécurité produit ?
L’ISO/IEC 27001 concerne la sécurité de l’information à l’échelle de l’entreprise (processus, gouvernance, organisation), tandis que les normes comme EN 18031 et les analyses TARA s’appliquent directement aux produits. Les deux approches sont complémentaires et souvent nécessaires.
ILS NOUS FONT CONFIANCE
