Humanix-Cybersecurity Logo
Gouvernance

Cyber Resilience Act (CRA) : anticiper la conformité produit

Comprenez le CRA et transformez l'obligation en avantage : exigences produit, SBOM, gestion des vulnérabilités et obligations de déclaration.

Durée
21h · 3 modules de 7h
Public visé
Dirigeants, responsables produit, RSSI, DSI et chefs de produit d'éditeurs logiciels et de fabricants de produits connectés concernés par le règlement CRA.
Tarif inter
1 800 € HT / stagiaire (parcours 21h)
À la carte : 600 € HT / stagiaire (module 7h)
Tarif intra
5 000 € HT / groupe jusqu'à 10 stagiaires (parcours 21h)
À la carte : 1 800 € HT / groupe (module 7h)

Format modulaire : parcours de 21h en 3 modules de 7h. Suivez le parcours complet ou seulement les modules de 7h qui vous intéressent, à la carte.

Objectifs pédagogiques

  • Déterminer si ses produits entrent dans le périmètre du CRA et identifier leur catégorie (par défaut, important, critique)
  • Comprendre le calendrier d'application du CRA et les sanctions encourues
  • Identifier les exigences essentielles de cybersécurité applicables aux produits
  • Mettre en place une gestion des vulnérabilités sur tout le cycle de vie du produit, SBOM compris
  • Structurer un processus de divulgation coordonnée et de notification (ENISA)
  • Articuler le CRA avec NIS2, le RGPD et le marquage CE
  • Élaborer une feuille de route de mise en conformité produit priorisée et jalonnée

Prérequis

Aucun prérequis technique fort. Une connaissance de ses produits et de leur cycle de développement est utile.

Programme détaillé

M1

Comprendre le CRA & son périmètre · module 7h

  • Le CRA en clair : objectif, produits comportant des éléments numériques, calendrier d'application
  • REX terrain : anticipation du CRA chez un fabricant de produits connectés
  • Suis-je concerné ? Produits par défaut, importants, critiques : exercice de classification
  • Acteurs et responsabilités : fabricant, importateur, distributeur
  • Articulation CRA / NIS2 / RGPD / marquage CE : éviter les doublons
  • Sanctions et conséquences d'un défaut de conformité
  • Atelier : positionner ses produits dans le périmètre du CRA
M2

Exigences essentielles & gestion des vulnérabilités · module 7h

  • Sécurité by design et by default : ce que le CRA attend concrètement
  • SBOM et transparence sur les composants : une exigence centrale du CRA
  • Gestion des vulnérabilités sur le cycle de vie : correctifs, durée de support, mises à jour de sécurité
  • Documentation technique et évaluation de conformité
  • Atelier : grille d'auto-évaluation des exigences essentielles sur un de ses produits
  • Cartographie des écarts entre l'existant et les attendus du CRA
M3

Obligations opérationnelles & plan d'action · module 7h

  • Divulgation coordonnée des vulnérabilités : mettre en place un point de contact et un processus
  • Obligations de notification : vulnérabilités activement exploitées et incidents graves (délais 24h/72h, ENISA)
  • Mettre en place un PSIRT proportionné à sa taille
  • Maintenir la conformité dans la durée : veille, SBOM à jour, support
  • Atelier principal : chaque stagiaire produit SA feuille de route de conformité CRA (priorisée, jalonnée)
  • Restitution et feedback personnalisé
  • Prochaines étapes : comment Humanix accompagne la mise en conformité produit

Points forts

Sujet d'actualité réglementaire encore peu couvert, prise d'avance pour les éditeurs et fabricants
Approche terrain : SBOM, gestion des vulnérabilités et divulgation rendus concrets
Articulation claire avec NIS2 et le RGPD pour éviter le travail en double
Le stagiaire repart avec SA feuille de route de conformité produit
Prolongeable par un accompagnement Humanix à la mise en conformité

Ancrage terrain

Retour d'expérience mission (anonymisé)

Accompagnement d'un fabricant occitan de produits connectés à l'anticipation du CRA. Partant d'aucun processus formel de gestion des vulnérabilités, une feuille de route produit (SBOM, support, divulgation) a été structurée avant l'entrée en application. Ce cas sert de fil conducteur.

Modalités

Modalités pédagogiques
60 % pratique / 40 % théorie (ratio adapté au public dirigeant et produit). Ateliers de classification, d'auto-évaluation et de planification sur les produits réels de chaque stagiaire. REX d'anticipation CRA. Approche orientée décision, pas juridique pur.
Moyens techniques
Support de formation, grilles d'auto-évaluation CRA, modèles de SBOM, checklist de divulgation et de notification. Pas de lab technique requis.
Évaluation des acquis
Positionnement en amont (questionnaire). QCM de validation des connaissances. Évaluation des acquis : le stagiaire produit une feuille de route de conformité produit évaluée par le formateur. Questionnaire de satisfaction.
Modalités d'accès
Inscription par formulaire sur le site ou via Digital 113 / Human Coders. Délai d'accès : 2 à 4 semaines.
Accessibilité PSH
Formation accessible aux personnes en situation de handicap. Contactez-nous en amont pour adapter les modalités. Référent handicap : Florian Durano, fdurano@humanix-cybersecurity.fr.
Cadre légal
Règlement (UE) 2024/2847 (Cyber Resilience Act). Articulation avec la directive NIS2 et le RGPD abordée en formation.

Intéressé par cette formation ?

Inter, intra, sur-mesure, contactez-nous pour un devis ou une session.

Demander un devis Programme PDF One-pager PDF