{"id":168902,"date":"2025-08-04T07:47:00","date_gmt":"2025-08-04T06:47:00","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/cyber-resilience-act-sophos-firewall\/"},"modified":"2025-09-18T14:19:56","modified_gmt":"2025-09-18T13:19:56","slug":"cyber-resilience-act-sophos-firewall","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/fr\/blog\/cyber-resilience-act-sophos-firewall\/","title":{"rendered":"Cyber Resilience Act : nouvelles obligations pour les fabricants et impact sur Sophos Firewall"},"content":{"rendered":"\n<p>Le Cyber Resilience Act changera les r\u00e8gles pour les fabricants de produits num\u00e9riques \u00e0 partir de 2027. Il faudra fournir des mises \u00e0 jour de s\u00e9curit\u00e9 gratuites, d\u00e9finir clairement les p\u00e9riodes de support et d\u00e9montrer la s\u00e9curit\u00e9 d\u00e8s la conception. Pour les administrateurs informatiques, cela signifie plus de transparence et pour les fournisseurs comme Sophos, des ajustements dans leur strat\u00e9gie de mise \u00e0 jour.  <\/p>\n\n<p><strong>Aper\u00e7u rapide<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Le r\u00e8glement europ\u00e9en s&rsquo;applique \u00e0 partir du 11\/12\/2027<\/li>\n\n\n\n<li>Au moins cinq ans de mises \u00e0 jour de s\u00e9curit\u00e9 gratuites exig\u00e9es<\/li>\n\n\n\n<li>Obligation de conception s\u00e9curis\u00e9e, de documentation et de processus de notification<\/li>\n\n\n\n<li>Sophos doit adapter sa politique de mise \u00e0 jour<\/li>\n\n\n\n<li>Les administrateurs informatiques b\u00e9n\u00e9ficient d&rsquo;une plus grande s\u00e9curit\u00e9 de planification<\/li>\n<\/ul>\n\n<div class=\"wp-block-rank-math-toc-block\" id=\"rank-math-toc\"><h2>Th\u00e8mes<\/h2><nav><ul><li class=\"\"><a href=\"#warum-das-thema-jetzt-relevant-ist\">Pourquoi le sujet est pertinent maintenant<\/a><\/li><li class=\"\"><a href=\"#was-sich-andert-oder-was-neu-ist\">Ce qui change ou ce qui est nouveau<\/a><\/li><li class=\"\"><a href=\"#technischer-uberblick\">Aper\u00e7u technique<\/a><\/li><li class=\"\"><a href=\"#praxisleitfaden-fur-it-administratoren\">Guide pratique pour les administrateurs informatiques<\/a><\/li><li class=\"\"><a href=\"#empfehlungen-und-best-practices\">Recommandations et meilleures pratiques<\/a><\/li><li class=\"\"><a href=\"#auswirkungen-auf-sophos-und-andere-plattformen\">Impact sur Sophos et les autres plates-formes<\/a><\/li><li class=\"\"><a href=\"#haufige-fragen\">Questions fr\u00e9quentes<\/a><ul><li class=\"\"><a href=\"#faq-question-1758003889771\">La loi sur la cyber-r\u00e9silience s&rsquo;applique-t-elle aux produits existants ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003903517\">Que se passe-t-il avec les anciens appareils sans mises \u00e0 jour ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003913172\">Les mises \u00e0 jour doivent-elles \u00eatre install\u00e9es automatiquement ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003927303\">Quelles sont les sanctions encourues par les fabricants ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758003941910\">Quel est le r\u00f4le d&rsquo;Avanet ?<\/a><\/li><li class=\"\"><a href=\"#faq-question-1758012263652\">Quelles sont les donn\u00e9es pertinentes pour la loi sur la cyber-r\u00e9silience ?<\/a><\/li><\/ul><\/li><li class=\"\"><a href=\"#fazit\">Conclusion<\/a><\/li><li class=\"\"><a href=\"#weiterfuhrende-links\">Liens compl\u00e9mentaires<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2 class=\"wp-block-heading\" id=\"warum-das-thema-jetzt-relevant-ist\">Pourquoi le sujet est pertinent maintenant<\/h2>\n\n<p>Le Cyber Resilience Act est en vigueur depuis fin 2024. Les fabricants et les clients ont jusqu&rsquo;\u00e0 d\u00e9cembre 2027 pour adapter leurs processus. Pour la s\u00e9curit\u00e9 informatique en Europe, cela signifie une norme contraignante : les produits sans mises \u00e0 jour de s\u00e9curit\u00e9 et les informations peu claires sur le cycle de vie doivent dispara\u00eetre.  <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"was-sich-andert-oder-was-neu-ist\">Ce qui change ou ce qui est nouveau<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><strong>Mises \u00e0 jour de s\u00e9curit\u00e9 gratuites :<\/strong> Les fabricants ne peuvent plus placer les correctifs critiques derri\u00e8re un paywall.<\/li>\n\n\n\n<li><strong>P\u00e9riodes de support transparentes :<\/strong> au moins cinq ans de mises \u00e0 jour ou indication explicite de p\u00e9riodes plus courtes.<\/li>\n\n\n\n<li><strong>Marquage CE :<\/strong> \u00e0 partir de 2027, le marquage CE attestera \u00e9galement de la conformit\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9.<\/li>\n\n\n\n<li><strong>Obligations de notification :<\/strong> Les incidents de s\u00e9curit\u00e9 doivent \u00eatre signal\u00e9s aux autorit\u00e9s dans les 24 heures. Pour \u00eatre pr\u00e9cis : Alerte pr\u00e9coce dans les 24 heures, notification ult\u00e9rieure dans les 72 heures ; les destinataires sont le CSIRT d\u00e9sign\u00e9 (coordinateur) et l&rsquo;ENISA via la plate-forme centrale. <\/li>\n\n\n\n<li><strong>Sanctions \u00e9lev\u00e9es :<\/strong> jusqu&rsquo;\u00e0 15 millions d&rsquo;euros ou 2,5 % du chiffre d&rsquo;affaires en cas d&rsquo;infraction.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"technischer-uberblick\">Aper\u00e7u technique<\/h2>\n\n<p>Le Cyber Resilience Act s&rsquo;adresse \u00e0 tous les \u00ab\u00a0produits contenant des \u00e9l\u00e9ments num\u00e9riques\u00a0\u00bb. Cela inclut les syst\u00e8mes d&rsquo;entreprise classiques tels que les pare-feu, les routeurs et les syst\u00e8mes d&rsquo;exploitation, mais aussi les appareils IoT grand public et les logiciels critiques pour la s\u00e9curit\u00e9. Les exigences concernent donc pratiquement tout l&rsquo;\u00e9cosyst\u00e8me des produits connect\u00e9s. Les fabricants doivent se conformer aux obligations suivantes dans le cadre du Cyber Resilience Act :   <\/p>\n\n<ul class=\"wp-block-list\">\n<li>D\u00e9montrer la s\u00e9curit\u00e9 d\u00e8s la conception (par exemple, param\u00e8tres par d\u00e9faut s\u00e9curis\u00e9s, cryptage, protocoles v\u00e9rifi\u00e9s, durcissement contre les attaques DoS).<\/li>\n\n\n\n<li>Tenir \u00e0 jour une liste de logiciels (SBOM) d\u00e9taillant tous les composants, biblioth\u00e8ques et d\u00e9pendances pertinents afin d&rsquo;assurer la transparence des mises \u00e0 jour et de la gestion des vuln\u00e9rabilit\u00e9s.<\/li>\n\n\n\n<li>proposer des options de mise \u00e0 jour automatique, au moins pour les corrections critiques en termes de s\u00e9curit\u00e9, en s&rsquo;assurant que ces mises \u00e0 jour peuvent \u00eatre install\u00e9es sans interruption ou perturbation notable. Pour les environnements professionnels, il faut \u00e9galement pr\u00e9voir une option d&rsquo;installation contr\u00f4l\u00e9e et programm\u00e9e. <\/li>\n\n\n\n<li>Conserver la documentation pendant dix ans, y compris les \u00e9valuations des risques, les rapports d&rsquo;essai et les d\u00e9clarations de conformit\u00e9, afin de pouvoir v\u00e9rifier \u00e0 tout moment, en cas d&rsquo;audit, comment la s\u00e9curit\u00e9 a \u00e9t\u00e9 assur\u00e9e.<\/li>\n\n\n\n<li>Mettre en place un processus de gestion des vuln\u00e9rabilit\u00e9s et un point de signalement des probl\u00e8mes de s\u00e9curit\u00e9 afin que les chercheurs externes ou les clients puissent imm\u00e9diatement signaler les failles d\u00e9couvertes.<\/li>\n\n\n\n<li>Mettre en \u0153uvre des m\u00e9canismes pour des mises \u00e0 jour s\u00e9curis\u00e9es (par exemple, signature, v\u00e9rification), de sorte que toute manipulation pendant la distribution soit impossible.<\/li>\n<\/ul>\n\n<p>Gr\u00e2ce \u00e0 ces exigences d\u00e9taill\u00e9es, il est clair que le Cyber Resilience Act ne se contente pas de fixer des normes minimales, mais exige une gestion compl\u00e8te de la s\u00e9curit\u00e9, du d\u00e9veloppement \u00e0 l&rsquo;exploitation et \u00e0 la p\u00e9riode de support.<\/p>\n\n<h2 class=\"wp-block-heading\" id=\"praxisleitfaden-fur-it-administratoren\">Guide pratique pour les administrateurs informatiques<\/h2>\n\n<p><strong>Pr\u00e9paration :<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>V\u00e9rifier les processus d&rsquo;approvisionnement : \u00e0 l&rsquo;avenir, n&rsquo;acheter que des produits conformes \u00e0 la CRA.<\/li>\n\n\n\n<li>Documenter les informations sur le cycle de vie et les compl\u00e9ter dans la gestion des actifs.<\/li>\n\n\n\n<li>Clarifier les responsabilit\u00e9s au sein de l&rsquo;\u00e9quipe informatique et d\u00e9finir les r\u00f4les pour la gestion des mises \u00e0 jour.<\/li>\n\n\n\n<li>Comparer les politiques internes avec les exigences de la CRA et ajouter les processus manquants.<\/li>\n<\/ul>\n\n<p><strong>Mise en \u0153uvre :<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Pr\u00e9voir des mises \u00e0 jour de s\u00e9curit\u00e9 r\u00e9guli\u00e8res, m\u00eame si des mises \u00e0 jour automatiques sont disponibles.<\/li>\n\n\n\n<li>S&rsquo;abonner aux notifications des fabricants et les int\u00e9grer dans les processus internes.<\/li>\n\n\n\n<li>Utiliser des environnements de test pour v\u00e9rifier les mises \u00e0 jour avant leur d\u00e9ploiement sur les syst\u00e8mes critiques.<\/li>\n\n\n\n<li>Utiliser des interfaces avec des outils de ticketing ou de monitoring pour documenter automatiquement les processus de mise \u00e0 jour.<\/li>\n<\/ul>\n\n<p><strong>validation :<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Tester les correctifs apr\u00e8s leur installation.<\/li>\n\n\n\n<li>V\u00e9rifier la pr\u00e9sence d&rsquo;anomalies dans les journaux apr\u00e8s la mise \u00e0 jour.<\/li>\n\n\n\n<li>Effectuer des analyses de r\u00e9seau et de s\u00e9curit\u00e9 pour s&rsquo;assurer que les vuln\u00e9rabilit\u00e9s connues ont \u00e9t\u00e9 corrig\u00e9es.<\/li>\n\n\n\n<li>g\u00e9n\u00e9rer des rapports de conformit\u00e9 qui r\u00e9pondent aux exigences de la CRA.<\/li>\n<\/ul>\n\n<p><strong>Retour en arri\u00e8re et surveillance :<\/strong><\/p>\n\n<ul class=\"wp-block-list\">\n<li>Maintenir des plans de rollback pour les syst\u00e8mes critiques.<\/li>\n\n\n\n<li>Utiliser le monitoring pour d\u00e9tecter rapidement les d\u00e9faillances apr\u00e8s les mises \u00e0 jour.<\/li>\n\n\n\n<li>D\u00e9finir des alertes pour que les erreurs critiques soient imm\u00e9diatement visibles.<\/li>\n\n\n\n<li>Fournir des listes de contr\u00f4le d&rsquo;urgence pour r\u00e9tablir rapidement les op\u00e9rations en cas d&rsquo;urgence.<\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"empfehlungen-und-best-practices\">Recommandations et meilleures pratiques<\/h2>\n\n<figure class=\"wp-block-table\"><table class=\"has-fixed-layout\"><thead><tr><th>Sujet<\/th><th>Recommandation<\/th><\/tr><\/thead><tbody><tr><td>Choix du produit<\/td><td>Pr\u00e9f\u00e9rer les fabricants conformes \u00e0 la CRA<\/td><\/tr><tr><td>Dur\u00e9e du support<\/td><td>Choisir des appareils avec des promesses de mise \u00e0 jour d&rsquo;au moins 5 ans <\/td><\/tr><tr><td>Gestion des correctifs<\/td><td>\u00c9tablir une gestion centralis\u00e9e des mises \u00e0 jour<\/td><\/tr><tr><td>Documentation<\/td><td>Inclure les donn\u00e9es SBOM et de cycle de vie dans l&rsquo;inventaire<\/td><\/tr><tr><td>Communication<\/td><td>Automatiser les messages de s\u00e9curit\u00e9 des fabricants<\/td><\/tr><\/tbody><\/table><\/figure>\n\n<h2 class=\"wp-block-heading\" id=\"auswirkungen-auf-sophos-und-andere-plattformen\">Impact sur Sophos et les autres plates-formes<\/h2>\n\n<p>Sophos a chang\u00e9 sa politique de mise \u00e0 jour des firmwares en 2022 : Depuis lors, les mises \u00e0 jour ne sont disponibles qu&rsquo;avec une licence de support valide. Les correctifs de s\u00e9curit\u00e9 et les mises \u00e0 jour de signatures sont rest\u00e9s gratuits, mais pas les firmwares r\u00e9guliers. Le Cyber Resilience Act oblige les fabricants comme Sophos \u00e0 reconsid\u00e9rer cette s\u00e9paration. Il est probable qu&rsquo;\u00e0 l&rsquo;avenir, ils devront faire la distinction entre les \u00ab\u00a0mises \u00e0 jour de fonctionnalit\u00e9s\u00a0\u00bb (payantes) et les \u00ab\u00a0correctifs de s\u00e9curit\u00e9\u00a0\u00bb (gratuits).   <\/p>\n\n<p>Pour les administrateurs informatiques, cela signifie<\/p>\n\n<ul class=\"wp-block-list\">\n<li>Plus de clart\u00e9 sur les p\u00e9riodes de support des appliances.<\/li>\n\n\n\n<li>Acc\u00e8s fiable aux correctifs de s\u00e9curit\u00e9 critiques, m\u00eame sans licence.<\/li>\n\n\n\n<li>Une plus grande transparence sur le cycle de vie et <a href=\"https:\/\/www.avanet.com\/es\/kb\/sophos-product-lifecycle-calendario-end-of-sale-end-of-life\/\">les donn\u00e9es de fin de vie<\/a>.<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n<h2 class=\"wp-block-heading\" id=\"haufige-fragen\">Questions fr\u00e9quentes<\/h2>\n<div id=\"rank-math-faq\" class=\"rank-math-block\">\n<div class=\"rank-math-list \">\n<div id=\"faq-question-1758003889771\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">La loi sur la cyber-r\u00e9silience s&rsquo;applique-t-elle aux produits existants ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Non, il s&rsquo;applique aux produits nouvellement mis sur le march\u00e9 \u00e0 partir du 11\/12\/2027.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003903517\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Que se passe-t-il avec les anciens appareils sans mises \u00e0 jour ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Les appareils sans support de s\u00e9curit\u00e9 ne seront plus conformes \u00e0 la norme CRA \u00e0 l&rsquo;issue de la p\u00e9riode de support et pr\u00e9sentent des risques.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003913172\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Les mises \u00e0 jour doivent-elles \u00eatre install\u00e9es automatiquement ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Pour de nombreux appareils grand public, oui. Pour les pare-feux ou les syst\u00e8mes critiques, une option manuelle avec notification suffit. <\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003927303\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Quelles sont les sanctions encourues par les fabricants ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Jusqu&rsquo;\u00e0 15 millions d&rsquo;euros ou 2,5 % du chiffre d&rsquo;affaires annuel mondial.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758003941910\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Quel est le r\u00f4le d&rsquo;Avanet ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Avanet aide \u00e0 la planification du cycle de vie, aux strat\u00e9gies de mise \u00e0 jour et \u00e0 la s\u00e9lection de produits conformes au Cyber Resilience Act.<\/p>\n\n<\/div>\n<\/div>\n<div id=\"faq-question-1758012263652\" class=\"rank-math-list-item\">\n<h3 class=\"rank-math-question \">Quelles sont les donn\u00e9es pertinentes pour la loi sur la cyber-r\u00e9silience ?<\/h3>\n<div class=\"rank-math-answer \">\n\n<p>Le r\u00e8glement est en vigueur depuis le 10.12.2024 ; la plupart des obligations s&rsquo;appliquent \u00e0 partir du 11.12.2027. Les obligations de d\u00e9claration commencent d\u00e9j\u00e0 le 11.09.2026&Prime;. Sources : EUR-Lex et plusieurs cabinets sp\u00e9cialis\u00e9s  <\/p>\n\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<h2 class=\"wp-block-heading\" id=\"fazit\">Conclusion<\/h2>\n\n<p>Le Cyber Resilience Act cr\u00e9e un cadre contraignant pour la s\u00e9curit\u00e9 informatique \u00e0 partir de 2027. Pour Sophos et d&rsquo;autres \u00e9diteurs, cela signifie des ajustements dans les strat\u00e9gies de mise \u00e0 jour et les p\u00e9riodes de support. Pour les administrateurs, elle apporte une plus grande fiabilit\u00e9 dans les mises \u00e0 jour et la planification du cycle de vie. C&rsquo;est le bon moment pour aligner les processus d&rsquo;approvisionnement et les strat\u00e9gies de mise \u00e0 jour sur les exigences de la CRA.   <\/p>\n\n<h2 class=\"wp-block-heading\" id=\"weiterfuhrende-links\">Liens compl\u00e9mentaires<\/h2>\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.avanet.com\/fr\/blog\/les-mises-a-jour-de-sophos-firewall-ne-seront-plus-gratuites-a-lavenir\/\">Avanet KB : les mises \u00e0 jour de Sophos Firewall ne seront plus gratuites \u00e0 l&rsquo;avenir<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.avanet.com\/es\/kb\/sophos-firewall-threat-feeds\/\">Avanet KB : flux de menaces Sophos Firewall<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/digital-strategy.ec.europa.eu\/en\/policies\/cyber-resilience-act\" target=\"_blank\" rel=\"noopener\">Commission europ\u00e9enne : Cyber Resilience Act<\/a><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Le Cyber Resilience Act changera les r\u00e8gles pour les fabricants de produits num\u00e9riques \u00e0 partir de 2027. Il faudra fournir des mises \u00e0 jour de s\u00e9curit\u00e9 gratuites, d\u00e9finir clairement les p\u00e9riodes de support et d\u00e9montrer la s\u00e9curit\u00e9 d\u00e8s la conception. Pour les administrateurs informatiques, cela signifie plus de transparence et pour les fournisseurs comme Sophos, [&hellip;]<\/p>\n","protected":false},"author":5,"featured_media":168836,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[371],"tags":[],"class_list":["post-168902","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee"],"blocksy_meta":[],"acf":[],"_links":{"self":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts\/168902","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/comments?post=168902"}],"version-history":[{"count":0,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/posts\/168902\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media\/168836"}],"wp:attachment":[{"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/media?parent=168902"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/categories?post=168902"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.avanet.com\/fr\/wp-json\/wp\/v2\/tags?post=168902"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}