Outils · Liste de contrôle du fabricant
Matrice de conformité
Toutes les obligations des fabricants de produits comportant des éléments numériques, présentées selon le cycle de vie du produit avec leur référence d’article. Parcourez-la et suivez votre avancement ; la liste complète est consultable gratuitement. La progression est conservée dans ce navigateur.
Par défaut · route
Les produits par défaut peuvent s’auto-évaluer selon le module A. Aucun organisme notifié n’est requis, mais le dossier technique complet et la DoC doivent tout de même être en place.
1 · Fondations
Fondations au niveau de l’entreprise
0 / 4Exigences organisationnelles à mettre en place avant tout travail spécifique au produit.
Cycle de développement sécurisé documenté (SDL)Tenez à jour un SDL documenté définissant les phases, les rôles et les responsabilités. Une certification externe (IEC 62443-4-1, ISO/IEC 27001) est facultative mais crée une présomption de conformité.
Art. 13(1) · Annexe I
Preuve de conformité au SDLEn l’absence de certification externe, conservez des preuves documentées de conformité interne au SDL.
Annexe I · Pt I
Le SDL couvre la sécurité dès la conception et par défautNOUVEAULe SDL doit traiter explicitement la manière dont le produit réduit sa surface d’attaque sans configuration par l’utilisateur final.
Annexe I · I(2)(3)
Mandataire établi dans l’UE (fabricants hors UE)NOUVEAULes fabricants hors UE doivent désigner, par mandat écrit, un mandataire établi dans l’UE, nommé dans la documentation technique et la DoC.
Art. 19
2 · Avant le développement
Avant le début du développement
0 / 9La classification, l’évaluation des risques et les prérequis techniques fixent le périmètre de tout ce qui suit.
Déterminer la classification du produitNOUVEAUOUTIL DISPONIBLEDéterminez si le produit est par défaut, important (classe I/II) ou critique (annexes III et IV). La classification détermine la procédure d’évaluation de la conformité.
Annexe III/IV
Identifier la procédure d’évaluation de la conformitéNOUVEAUPar défaut : auto-évaluation module A. Important classe I : module A avec une norme harmonisée, sinon B+C ou H. Important classe II et critique : toujours via un organisme notifié. Des délais de 4 à 10 mois sont courants.
Art. 32 · Annexe VIII
Évaluation des risques de cybersécurité propre au produitRéalisez une évaluation des risques avant le développement. Conservez toutes les versions ; la version initiale, antérieure au développement, fait partie de la documentation technique.
Annexe I · I(1)
Modélisation des menacesNOUVEAUIdentifiez la surface d’attaque, les acteurs malveillants, les vecteurs d’attaque et les exigences de sécurité qui en découlent. Documentez la méthodologie employée.
Annexe I · I(1)
Politique relative aux composants tiers et open sourceNOUVEAUOUTIL DISPONIBLEDéfinissez comment les composants tiers et open source sont sélectionnés, évalués et approuvés, y compris les obligations minimales de fin de vie et de réponse aux vulnérabilités.
Annexe I · Pt II
Vérification de la fin de vie des outils et dépendancesOUTIL DISPONIBLEVérifiez la date de fin de vie de tous les outils, noyaux, bases de données et bibliothèques clés. Évitez les composants dont la fin de vie tombe pendant la période de support du produit.
Annexe I · Pt II
Faisabilité du chiffrement du stockageConfirmez que le matériel cible prend en charge le chiffrement des données au repos ; une exigence obligatoire qui peut imposer un changement de matériel.
Annexe I · I(4)(e)
Conception à surface d’attaque minimaleNOUVEAUPrévoyez de supprimer ou de désactiver par défaut toute interface, service, port et protocole non nécessaire à la fonction prévue.
Annexe I · I(2)(b)
Politique d’identifiants par défautNOUVEAULivrez sans mot de passe par défaut, ou obligez l’utilisateur à définir un identifiant unique à la première utilisation.
Annexe I · I(2)(c)
3 · Développement
Pendant le développement
0 / 5Codage sécurisé, tests et mécanisme de mise à jour, documentés tout au long de la fabrication.
Plan de tests axé sur la cybersécuritéCas de test ciblant l’authentification, le contrôle d’accès, la validation des entrées, le chiffrement et la gestion des erreurs. Documentés et conservés dans le dossier technique.
Annexe I · I(1)
Preuve de respect du SDLDémontrez, preuves documentées à l’appui, que le SDL a été suivi à chaque phase.
Annexe I · Pt I
Tests d’intrusion / évaluation des vulnérabilitésNOUVEAURéalisez des tests de sécurité sur le produit ou une version représentative avant la mise sur le marché.
Annexe I · I(1)
Mécanisme de mise à jour logicielle sécuriséNOUVEAUUn mécanisme de mise à jour authentifié et à intégrité vérifiée, vérifiable par l’appareil avant installation et automatique lorsque c’est possible.
Annexe I · I(2)(f)
Minimisation des donnéesNOUVEAUNe collectez, ne traitez et ne stockez que les données strictement nécessaires à la fonction prévue.
Annexe I · I(4)(f)
4 · Avant la mise sur le marché
Avant la mise sur le marché du produit
0 / 12SBOM, audit réseau, fin de vie, évaluation de la conformité, marquage CE et dossier technique.
SBOM préparé et analysé pour vulnérabilitésOUTIL DISPONIBLEPréparez un SBOM couvrant au moins toutes les dépendances de premier niveau et vérifiez qu’aucun composant ne présente une vulnérabilité connue déjà corrigée. Inclure une CVE résolue constitue une violation directe.
Annexe I · II(1)
SBOM dans un format lisible par machineNOUVEAUOUTIL DISPONIBLEStockez le SBOM au format SPDX ou CycloneDX (JSON/XML). Le PDF peut être rejeté comme non lisible par machine.
Annexe I · Pt II
Liste des connexions entrantesRecensez et justifiez individuellement chaque connexion entrante et port ouvert ; supprimez ou désactivez par défaut tout ce qui n’est pas nécessaire.
Annexe I · I(2)(b)
Liste des connexions sortantesAuditez et justifiez toutes les connexions sortantes, y compris celles du système d’exploitation, des bibliothèques tierces et de la télémétrie.
Annexe I · Pt I
Déclarer la fin de vie du produitOUTIL DISPONIBLECalculez et déclarez la fin de vie ; elle ne peut excéder celle des dépendances clés. Période de support minimale de 5 ans, sauf si la durée d’utilisation prévue est plus courte.
Art. 13(8)
Réaliser l’évaluation de la conformitéNOUVEAUSuivez la procédure applicable (module A, ou B+C / H / organisme notifié) et documentez-la avant d’apposer le marquage CE.
Art. 32
Préparer la déclaration UE de conformitéNOUVEAUOUTIL DISPONIBLERédigez et signez la DoC selon l’annexe V, en citant le règlement, le produit et la procédure d’évaluation. Conservez-la pendant 10 ans.
Art. 28 · Annexe V
Apposez le marquage CENOUVEAUApposez un marquage CE visible, lisible et indélébile. Pas de marquage CE, pas de marché de l’UE à partir du 11 décembre 2027.
Art. 30
Constituer le dossier techniqueNOUVEAUAssemblez le dossier de l’annexe VII : description, évaluation des risques, preuves du SDL, résultats de tests, SBOM, audits de connexions, DoC et déclaration de fin de vie.
Art. 31 · Annexe VII
Plan de conservation de 10 ansNOUVEAUArchivez toute la documentation technique, y compris chaque version du SBOM, pendant au moins 10 ans à compter de la première mise sur le marché.
Art. 31(3)
Documentation destinée à l’utilisateurNOUVEAUCommuniquez l’utilisation prévue, les propriétés de cybersécurité, la configuration de la sécurité, la fin de vie déclarée et la manière de signaler les vulnérabilités.
Annexe II · Art. 13(18)
Contact de divulgation des vulnérabilités publiéNOUVEAUPubliez un point de contact unique et activement surveillé pour le signalement des vulnérabilités.
Art. 13(5)
5 · Après la mise sur le marché
Après la mise sur le marché du produit
0 / 10Surveillance continue, calendrier de signalement de l’article 14 et obligations de mise à jour pendant la période de support.
Mettre à jour l’évaluation des risques en cas de changement notableRéévaluez lorsqu’un changement majeur du produit, une nouvelle menace importante ou une vulnérabilité exploitée est identifiée ; documentez l’élément déclencheur et le résultat.
Annexe I · I(1)
Surveillance automatisée des vulnérabilités du SBOMOUTIL DISPONIBLEDéployez un outillage qui surveille les composants du SBOM par rapport à des flux en direct (NVD, EUVD, OSV) à une fréquence suffisante pour respecter le délai de signalement de 24 heures. Une surveillance manuelle est insuffisante.
Art. 14
Rapport initial de vulnérabilité sous 24 heuresNOUVEAUDès la prise de connaissance d’une vulnérabilité activement exploitée, déposez un rapport initial dans les 24 heures via la plateforme de signalement unique de l’ENISA. Applicable à partir du 11 septembre 2026.
Art. 14(2)
Rapport technique sous 72 heuresNOUVEAUSoumettez un rapport technique détaillé à l’ENISA et au CSIRT national dans les 72 heures, incluant la gravité et toute mesure d’atténuation.
Art. 14(3)
Rapport final dans les 14 jours suivant la correctionNOUVEAUSoumettez un rapport final au plus tard 14 jours après la mise à disposition d’une mise à jour de sécurité ou d’une solution de contournement.
Art. 14(4)
Signalement des incidents gravesNOUVEAUSignalez les incidents graves affectant la sécurité du produit selon le même calendrier de 24/72 heures.
Art. 14(2)
Mise à jour automatique des vulnérabilités tiercesMaintenez un système de mise à jour automatique capable de corriger les vulnérabilités des composants tiers. Une correction sous 24 heures dispense du signalement, pas de la correction.
Art. 14(2)(a)
Mises à jour de sécurité gratuitesNOUVEAUFournissez toutes les mises à jour de sécurité gratuitement pendant toute la durée de la période de support.
Art. 13(9)
Préavis de fin de vieNOUVEAUInformez les utilisateurs au moins 12 mois avant la dernière mise à jour de sécurité, lorsque c’est possible.
Art. 13(8)
Mesures correctives pour les produits non conformesNOUVEAUCorrigez, retirez ou rappelez les produits non conformes et informez la surveillance du marché. L’inaction est elle-même une violation.
Art. 13(14)
Fin de la liste · l’ensemble des 40 éléments figurent ci-dessus
Exporter (facultatif)
Exportez votre matrice avec votre progression actuelle
Tout ce qui précède est consultable et imprimable gratuitement. Pour télécharger la liste et votre état en temps réel sous forme de tableur ou de PDF, laissez un e-mail et nous vous ajouterons à la newsletter CRA.