Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Réglementation UE À venir 2027

Résilience cyber Loi

La réglementation horizontale en cybersécurité de l'UE pour les produits à éléments numériques, imposant des principes de sécurité dès la conception, y compris l'agilité cryptographique et la sécurité de la chaîne d'approvisionnement logicielle.

Faits rapides

Statut
Adopté, déploiement progressif
Type
Réglementation UE
Portée
Produits à éléments numériques
Obligations de reporting
Sep 2026
Application complète
Dec 2027

Vue d'ensemble

Le Cyber Resilience Act (CRA) introduit des exigences obligatoires en matière de cybersécurité pour tous les produits contenant des éléments numériques vendus sur le marché de l'UE. Cette réglementation globale s'applique tant au matériel qu'au logiciel — des appareils IoT aux applications d'entreprise — obligeant les fabricants à gérer les vulnérabilités, à fournir des mises à jour de sécurité et à mettre en œuvre principes de sécurité dès la conception tout au long du cycle de vie du produit.

Une exigence fondamentale du CRA est agilité cryptographique — la capacité de mettre à jour ou de remplacer les algorithmes cryptographiques et les paramètres sans remplacer l’ensemble du produit. Cela est essentiel pour la préparation post‑quantique et garantit que les produits peuvent s’adapter à l’évolution des menaces. Pour la PKI, cela signifie que les certificats et les primitives cryptographiques doivent être conçus pour la rotation dès le premier jour.

Le CRA impose également la sécurité de la chaîne d'approvisionnement logicielle, y compris la signature de code pour garantir l'intégrité des logiciels et les fiches de matériaux logiciels (SBOM) pour la transparence. Ces exigences créent de nouvelles demandes de gestion de certificats à grande échelle, en particulier pour les fabricants gérant des flottes d'appareils connectés et des versions logicielles fréquentes.

Clé Exigences

Sécurité dès la conception (Annexe I)

Les produits doivent être conçus avec la sécurité dès le départ, incluant des protections cryptographiques appropriées, des surfaces d'attaque minimales et la capacité de mettre à jour les composants de sécurité.

Gestion des vulnérabilités & mises à jour

Les fabricants doivent identifier et documenter les vulnérabilités, fournir des mises à jour de sécurité pendant la durée de vie prévue du produit's, et garantir que les mises à jour peuvent être déployées de manière sécurisée et automatique.

Exigences d'agilité cryptographique

Les produits doivent prendre en charge la capacité de mettre à jour ou de remplacer les algorithmes cryptographiques et les paramètres sans nécessiter le remplacement complet du produit — essentiel pour la préparation post‑quantique.

Liste des composants logiciels (SBOM)

Les fabricants doivent documenter tous les composants et dépendances dans un SBOM lisible par machine, permettant la transparence de la chaîne d'approvisionnement et le suivi des vulnérabilités à travers la pile logicielle.

Évaluation de conformité

Les produits doivent subir des procédures d'évaluation de conformité — auto‑évaluation pour les produits standards, évaluation par un tiers pour les produits critiques — avant de porter le marquage CE.

Surveillance du marché & Reporting

Les vulnérabilités exploitées activement doivent être signalées dans les 24 heures. Les autorités de surveillance du marché peuvent retirer les produits non conformes et imposer des sanctions importantes.

Clé Jalons

22
2022

Proposé Sep 2022

La Commission européenne propose la loi sur la résilience cybernétique afin de pallier le manque d'exigences transversales en cybersécurité pour les produits contenant des éléments numériques.

24
2024

Adopté et publié

Le CRA est officiellement adopté en mars 2024 et publié au Journal officiel en novembre 2024 sous le règlement (UE) 2024/2847.

26
2026 Prochaine étape

Obligations de reporting sept. 2026

Les fabricants doivent commencer à signaler les vulnérabilités exploitées activement et les incidents de sécurité graves à l'ENISA et aux CSIRT nationaux.

27
2027

Application complète déc. 2027

Toutes les exigences du CRA deviennent pleinement applicables, y compris les évaluations de conformité, la gestion des vulnérabilités et les obligations de sécurité dès la conception.

28+
2028+

Application du marché

Les autorités de surveillance du marché lancent des actions d'application, les produits non conformes étant passibles d'amendes pouvant atteindre 15 millions d'EUR ou 2,5 % du chiffre d'affaires mondial.

Impact sur PKI & Certificates

La Cyber Resilience Act introduit de nouvelles exigences fondamentales concernant l'infrastructure PKI pour les fabricants de produits et les éditeurs de logiciels. Voici les domaines critiques :

1

Agilité cryptographique & Rotation d'algorithmes

Les produits doivent prendre en charge la capacité de faire pivoter les algorithmes cryptographiques, ce qui crée directement le besoin d'une préparation post‑quantique et d'une infrastructure de certificats capable de s'adapter sans perturber les systèmes déployés.

2

Signature de code pour la chaîne d'approvisionnement logicielle

Les certificats de signature de code deviennent obligatoires pour garantir l'intégrité du logiciel. Chaque mise à jour du firmware, correctif logiciel et version doit être signé cryptographiquement et vérifiable.

3

Certificats d'identité des appareils pour l'IoT

Les appareils connectés nécessitent des certificats d'identité uniques pour l'authentification et la communication sécurisée, créant d'énormes exigences d'émission et de gestion de certificats à l'échelle de la fabrication.

4

Rotation automatisée des certificats pour les correctifs

Les correctifs de vulnérabilité doivent être déployés rapidement et en toute sécurité, nécessitant des capacités de rotation automatisée des certificats pouvant s'étendre à l'ensemble des flottes de produits sans intervention manuelle.

Comment nous aidons

Evertrust & le Loi sur la résilience cyber

Tableau de bord d'agilité cryptographique — Suivez l'utilisation des algorithmes dans l'ensemble de votre parc de certificats, identifiez les primitives cryptographiques faibles ou obsolètes, et planifiez votre trajectoire de migration post-quantique.

Rotation automatisée des certificats — Faites pivoter rapidement les certificats à travers les flottes de produits en réponse aux vulnérabilités, assurant une sécurité continue sans interruption de service.

Mise en œuvre des politiques pour les normes cryptographiques — Définir et appliquer des normes cryptographiques minimales pour tous les produits, en assurant la conformité aux exigences de sécurité dès la conception du CRA, du développement au déploiement.

Inventaire des certificats à travers les flottes de produits — Maintenir une visibilité complète sur tous les certificats d'appareils et de signature de code dans l'ensemble de votre portefeuille de produits, de la fabrication jusqu'à la fin de vie.

Parler à un expert Découvrez Horizon
Retour au Centre de conformité Obtenez des conseils d'expert