Cyber Resilience Act : nouvelles obligations pour les fabricants et impact sur Sophos Firewall

Le Cyber Resilience Act changera les règles pour les fabricants de produits numériques à partir de 2027. Il faudra fournir des mises à jour de sécurité gratuites, définir clairement les périodes de support et démontrer la sécurité dès la conception. Pour les administrateurs informatiques, cela signifie plus de transparence et pour les fournisseurs comme Sophos, des ajustements dans leur stratégie de mise à jour.

Aperçu rapide

  • Le règlement européen s’applique à partir du 11/12/2027
  • Au moins cinq ans de mises à jour de sécurité gratuites exigées
  • Obligation de conception sécurisée, de documentation et de processus de notification
  • Sophos doit adapter sa politique de mise à jour
  • Les administrateurs informatiques bénéficient d’une plus grande sécurité de planification

Pourquoi le sujet est pertinent maintenant

Le Cyber Resilience Act est en vigueur depuis fin 2024. Les fabricants et les clients ont jusqu’à décembre 2027 pour adapter leurs processus. Pour la sécurité informatique en Europe, cela signifie une norme contraignante : les produits sans mises à jour de sécurité et les informations peu claires sur le cycle de vie doivent disparaître.

Ce qui change ou ce qui est nouveau

  • Mises à jour de sécurité gratuites : Les fabricants ne peuvent plus placer les correctifs critiques derrière un paywall.
  • Périodes de support transparentes : au moins cinq ans de mises à jour ou indication explicite de périodes plus courtes.
  • Marquage CE : à partir de 2027, le marquage CE attestera également de la conformité en matière de cybersécurité.
  • Obligations de notification : Les incidents de sécurité doivent être signalés aux autorités dans les 24 heures. Pour être précis : Alerte précoce dans les 24 heures, notification ultérieure dans les 72 heures ; les destinataires sont le CSIRT désigné (coordinateur) et l’ENISA via la plate-forme centrale.
  • Sanctions élevées : jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires en cas d’infraction.

Aperçu technique

Le Cyber Resilience Act s’adresse à tous les « produits contenant des éléments numériques ». Cela inclut les systèmes d’entreprise classiques tels que les pare-feu, les routeurs et les systèmes d’exploitation, mais aussi les appareils IoT grand public et les logiciels critiques pour la sécurité. Les exigences concernent donc pratiquement tout l’écosystème des produits connectés. Les fabricants doivent se conformer aux obligations suivantes dans le cadre du Cyber Resilience Act :

  • Démontrer la sécurité dès la conception (par exemple, paramètres par défaut sécurisés, cryptage, protocoles vérifiés, durcissement contre les attaques DoS).
  • Tenir à jour une liste de logiciels (SBOM) détaillant tous les composants, bibliothèques et dépendances pertinents afin d’assurer la transparence des mises à jour et de la gestion des vulnérabilités.
  • proposer des options de mise à jour automatique, au moins pour les corrections critiques en termes de sécurité, en s’assurant que ces mises à jour peuvent être installées sans interruption ou perturbation notable. Pour les environnements professionnels, il faut également prévoir une option d’installation contrôlée et programmée.
  • Conserver la documentation pendant dix ans, y compris les évaluations des risques, les rapports d’essai et les déclarations de conformité, afin de pouvoir vérifier à tout moment, en cas d’audit, comment la sécurité a été assurée.
  • Mettre en place un processus de gestion des vulnérabilités et un point de signalement des problèmes de sécurité afin que les chercheurs externes ou les clients puissent immédiatement signaler les failles découvertes.
  • Mettre en œuvre des mécanismes pour des mises à jour sécurisées (par exemple, signature, vérification), de sorte que toute manipulation pendant la distribution soit impossible.

Grâce à ces exigences détaillées, il est clair que le Cyber Resilience Act ne se contente pas de fixer des normes minimales, mais exige une gestion complète de la sécurité, du développement à l’exploitation et à la période de support.

Guide pratique pour les administrateurs informatiques

Préparation :

  • Vérifier les processus d’approvisionnement : à l’avenir, n’acheter que des produits conformes à la CRA.
  • Documenter les informations sur le cycle de vie et les compléter dans la gestion des actifs.
  • Clarifier les responsabilités au sein de l’équipe informatique et définir les rôles pour la gestion des mises à jour.
  • Comparer les politiques internes avec les exigences de la CRA et ajouter les processus manquants.

Mise en œuvre :

  • Prévoir des mises à jour de sécurité régulières, même si des mises à jour automatiques sont disponibles.
  • S’abonner aux notifications des fabricants et les intégrer dans les processus internes.
  • Utiliser des environnements de test pour vérifier les mises à jour avant leur déploiement sur les systèmes critiques.
  • Utiliser des interfaces avec des outils de ticketing ou de monitoring pour documenter automatiquement les processus de mise à jour.

validation :

  • Tester les correctifs après leur installation.
  • Vérifier la présence d’anomalies dans les journaux après la mise à jour.
  • Effectuer des analyses de réseau et de sécurité pour s’assurer que les vulnérabilités connues ont été corrigées.
  • générer des rapports de conformité qui répondent aux exigences de la CRA.

Retour en arrière et surveillance :

  • Maintenir des plans de rollback pour les systèmes critiques.
  • Utiliser le monitoring pour détecter rapidement les défaillances après les mises à jour.
  • Définir des alertes pour que les erreurs critiques soient immédiatement visibles.
  • Fournir des listes de contrôle d’urgence pour rétablir rapidement les opérations en cas d’urgence.

Recommandations et meilleures pratiques

SujetRecommandation
Choix du produitPréférer les fabricants conformes à la CRA
Durée du supportChoisir des appareils avec des promesses de mise à jour d’au moins 5 ans
Gestion des correctifsÉtablir une gestion centralisée des mises à jour
DocumentationInclure les données SBOM et de cycle de vie dans l’inventaire
CommunicationAutomatiser les messages de sécurité des fabricants

Impact sur Sophos et les autres plates-formes

Sophos a changé sa politique de mise à jour des firmwares en 2022 : Depuis lors, les mises à jour ne sont disponibles qu’avec une licence de support valide. Les correctifs de sécurité et les mises à jour de signatures sont restés gratuits, mais pas les firmwares réguliers. Le Cyber Resilience Act oblige les fabricants comme Sophos à reconsidérer cette séparation. Il est probable qu’à l’avenir, ils devront faire la distinction entre les « mises à jour de fonctionnalités » (payantes) et les « correctifs de sécurité » (gratuits).

Pour les administrateurs informatiques, cela signifie

  • Plus de clarté sur les périodes de support des appliances.
  • Accès fiable aux correctifs de sécurité critiques, même sans licence.
  • Une plus grande transparence sur le cycle de vie et les données de fin de vie.

Questions fréquentes

La loi sur la cyber-résilience s’applique-t-elle aux produits existants ?

Non, il s’applique aux produits nouvellement mis sur le marché à partir du 11/12/2027.

Que se passe-t-il avec les anciens appareils sans mises à jour ?

Les appareils sans support de sécurité ne seront plus conformes à la norme CRA à l’issue de la période de support et présentent des risques.

Les mises à jour doivent-elles être installées automatiquement ?

Pour de nombreux appareils grand public, oui. Pour les pare-feux ou les systèmes critiques, une option manuelle avec notification suffit.

Quelles sont les sanctions encourues par les fabricants ?

Jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial.

Quel est le rôle d’Avanet ?

Avanet aide à la planification du cycle de vie, aux stratégies de mise à jour et à la sélection de produits conformes au Cyber Resilience Act.

Quelles sont les données pertinentes pour la loi sur la cyber-résilience ?

Le règlement est en vigueur depuis le 10.12.2024 ; la plupart des obligations s’appliquent à partir du 11.12.2027. Les obligations de déclaration commencent déjà le 11.09.2026″. Sources : EUR-Lex et plusieurs cabinets spécialisés

Conclusion

Le Cyber Resilience Act crée un cadre contraignant pour la sécurité informatique à partir de 2027. Pour Sophos et d’autres éditeurs, cela signifie des ajustements dans les stratégies de mise à jour et les périodes de support. Pour les administrateurs, elle apporte une plus grande fiabilité dans les mises à jour et la planification du cycle de vie. C’est le bon moment pour aligner les processus d’approvisionnement et les stratégies de mise à jour sur les exigences de la CRA.

Patrizio
Patrizio

Patrizio est un spécialiste réseau expérimenté, spécialisé dans les pare-feux, les commutateurs et les points d'accès Sophos. Il aide les clients ou leur service informatique à configurer et à migrer les pare-feux Sophos et assure une sécurité optimale du réseau grâce à une segmentation propre et à la gestion des règles de pare-feu.

S'abonner à la newsletter

Nous envoyons chaque mois une newsletter contenant tous les articles de blog du mois en question.