Auto-évaluation de maturité CRA
Évaluez 25 pratiques réparties sur cinq domaines pour connaître le niveau de maturité de votre dispositif de sécurité des produits au regard du Cyber Resilience Act, et obtenez une liste de contrôle personnalisée des points à améliorer. Tout s'exécute dans votre navigateur et est enregistré localement.
D'après le modèle de l'ENISA SME Cyber Resilience Maturity Assessment Model ↗ (ENISA, July 2026), reproduit avec mention de la source. Ce site est indépendant et n'est pas affilié à l'ENISA ni à l'EU.
Gouvernance et documentation
1.1Disposez-vous de politiques de sécurité des produits écrites et approuvées ?
1.2Les rôles et responsabilités relatifs aux activités de sécurité des produits (par exemple développement, gestion des vulnérabilités, mises à jour) sont-ils clairement définis ?
1.3Tenez-vous à jour une documentation technique au niveau du produit décrivant les fonctionnalités de sécurité mises en œuvre, les évaluations des risques, les décisions de conception et les procédures de mise à jour ?
1.4Existe-t-il un processus permettant de revoir régulièrement la sécurité des produits et la qualité de la documentation associée ?
1.5Connaissez-vous l'autorité de surveillance du marché chargée de faire appliquer le CRA, la procédure d'évaluation de la conformité applicable à vos produits, ainsi que les modalités d'interaction avec les autorités compétentes si nécessaire ?
Gestion des risques et sécurité dès la conception
2.1Réalisez-vous des évaluations des risques de cybersécurité et utilisez-vous leurs résultats pour orienter les décisions relatives à la conception, au développement, à la configuration et à la gestion des composants des produits ?
2.2Les produits sont-ils conçus dès l'origine selon les principes de sécurité dès la conception ?
2.3Les produits sont-ils livrés avec des configurations et des paramètres sécurisés par défaut ?
2.4Effectuez-vous des contrôles et des tests de sécurité avant de publier ou de mettre à jour un produit, et dans quelle mesure des outils automatisés sont-ils utilisés ?
2.5Lorsque les risques évoluent ou que de nouvelles menaces apparaissent, les évaluations des risques, les configurations et les composants tiers sont-ils révisés et mis à jour ?
Gestion des vulnérabilités et des correctifs
3.1Disposez-vous d'un processus permettant de recevoir, d'accuser réception, d'enregistrer et de suivre les vulnérabilités signalées par les clients, les chercheurs ou le personnel interne ?
3.2Disposez-vous d'un processus défini pour créer, tester, livrer et communiquer les mises à jour de sécurité aux clients pour les produits pris en charge ?
3.3Tenez-vous à jour et utilisez-vous un SBOM pour appuyer la gestion des vulnérabilités et des dépendances ?
3.4Les vulnérabilités et les mises à jour sont-elles priorisées en fonction du risque et de l'impact potentiel ?
3.5Vérifiez-vous que les mises à jour de sécurité résolvent effectivement les vulnérabilités signalées et conservez-vous une preuve de cette vérification ?
Gestion du cycle de vie du produit
4.1Existe-t-il une approche définie pour gérer la sécurité des produits pendant la phase opérationnelle ?
4.2La gestion du cycle de vie du produit est-elle activement assurée, y compris les périodes de support définies, les responsabilités en matière de mise à jour, les dispositions de fin de vie et la communication avec les clients ?
4.3L'expérience tirée de l'exploitation des produits, des retours d'expérience post-incident et des remarques des clients est-elle utilisée pour améliorer les produits au fil du temps ?
4.4Existe-t-il une méthode structurée et testée pour traiter les problèmes de sécurité des produits identifiés ?
4.5Les produits sont-ils surveillés pendant leur exploitation afin d'identifier les risques de sécurité, les vulnérabilités et les menaces émergentes ?
Sensibilisation, compétence et aptitudes
5.1Disposez-vous de compétences suffisantes pour concevoir, développer et maintenir les produits de manière sécurisée, y compris en recourant à une expertise externe lorsque les capacités internes sont limitées ?
5.2Le personnel concerné reçoit-il une formation adaptée aux pratiques de cybersécurité pertinentes pour son rôle, notamment la gestion des risques produits, la gestion des vulnérabilités et la sécurité dès la conception ?
5.3L'organisation promeut-elle une culture de développement responsable des produits, de signalement ouvert et de sensibilisation aux risques produits ?
5.4Suivez-vous les informations externes pertinentes relatives à la sécurité des produits (par exemple avis, alertes) ?
5.5Évaluez-vous et validez-vous que votre équipe dispose des compétences requises pour maintenir des produits sécurisés ?
Adapté du modèle de l'ENISA SME Cyber Resilience Maturity Assessment Model ↗ (© ENISA, July 2026), reproduit avec mention de la source conformément à la mention légale de l'ENISA. Cette version interactive est fournie à titre d'information uniquement et ne constitue pas un conseil professionnel ou juridique ; elle ne remplace pas une évaluation de conformité formelle. cyberresilienceact.eu est indépendant et n'est ni affilié à l'ENISA ou à l'Union européenne, ni approuvé par celles-ci.
