EN 
FR 
DE 
IT CRA pour les logiciels vs les matériels : Différences d'application
Le Cyber Resilience Act s'applique-t-il différemment aux logiciels et aux matériels ? Découvrez les spécificités pour chaque type de produit et les obligations qui en découlent.
Le Cyber Resilience Act couvre à la fois les logiciels et les matériels comportant des éléments numériques, mais les obligations ne sont pas identiques. Comprendre les différences est essentiel pour adapter votre stratégie de conformité.
1. Produits concernés par le CRA
Logiciels purs (SaaS, applications, firmware)
Les logiciels sont clairement dans le scope du CRA. Cela inclut :
- Les applications web et mobiles
- Les plateformes SaaS
- Les systèmes d'exploitation
- Les firmware et micro-logiciels
- Les bibliothèques et composants logiciels
Pour les logiciels, l'accent est mis sur la sécurité par conception, le SBOM (Software Bill of Materials), la gestion des vulnérabilités et les mises à jour de sécurité.
Matériels connectés (IoT, dispositifs industriels)
Les produits matériels avec des éléments numériques sont également concernés :
- Objets connectés (IoT grand public)
- Dispositifs médicaux connectés
- Équipements industriels
- Composants matériels intégrant du firmware
Pour les matériels, les exigences incluent en plus la sécurité physique, la configuration sécurisée par défaut (pas de mots de passe génériques) et les mises à jour OTA (Over-The-Air).
2. Différences clés
| Aspect | Logiciel | Matériel |
|---|---|---|
| SBOM | Obligatoire | Obligatoire (logiciel embarqué + matériel) |
| Mises à jour | Via Internet (automatique recommandé) | OTA ou manuelle (doit être documenté) |
| Configuration par défaut | Comptes sécurisés par défaut | Pas de mots de passe génériques, ports sécurisés |
| Durée de vie support | Définie par le fabricant | Définie par le fabricant (souvent plus longue) |
3. Recommandations par type de produit
Pour les éditeurs de logiciels
Concentrez-vous sur le SBOM, la sécurisation de votre pipeline CI/CD et l'automatisation de la gestion des vulnérabilités. La plateforme Expert CRA s'intègre facilement à vos outils existants.
Pour les fabricants de matériels
Anticipez les contraintes physiques : mise à jour OTA, sécurisation des ports matériels, absence de mots de passe par défaut et documentation de la durée de vie support.
Que vous développiez des logiciels ou des matériels, le CRA vous concerne. La clé est d'adapter votre approche à la nature de vos produits.