Diagnostic Gratuit · Sans Engagement

Êtes-vous prêt pour le
Cyber Resilience Act ?

4 étapes, 5 minutes. Identifiez vos obligations, mesurez votre maturité et obtenez un plan d'action personnalisé — instantanément.

⏱ ~5 min

📋 4 étapes

🔒 Données locales

🇪🇺 Règl. UE 2024/2847

✅ 100% gratuit

Étape 1 sur 4

Votre rôle sur le marché

Quel est votre rôle pour ce produit ? Art. 3 §13-15

Le CRA distingue 3 rôles avec des obligations très différentes. Choisissez le rôle qui correspond à ce produit précis — une même entreprise peut avoir plusieurs rôles selon ses gammes.

Astuce : si vous faites concevoir le produit puis le vendez sous votre marque, vous êtes Fabricant, même sans usine.

🏭 Fabricant Je conçois ou commercialise sous ma propre marque

🚢 Importateur J'achète hors UE et je mets sur le marché européen

🏪 Distributeur Je revends un produit déjà marqué CE sans modification

⚠️ Veuillez sélectionner votre rôle pour continuer.

1 / 4

Étape 2 sur 4

Périmètre du produit

Le produit peut-il se connecter à un réseau ou un appareil ? Art. 3 §1

Un « Produit avec Éléments Numériques » (PDE) est tout logiciel ou matériel capable de se connecter — même occasionnellement — par Wi-Fi, Bluetooth, Ethernet, USB, API cloud, etc.

✅ OUI : montre connectée, caméra IP, app mobile avec back-end, si vous faites concevoir le produit puis le vendez sous votre marque, vous êtes Fabricant, même sans usine.

Le produit relève-t-il d'une réglementation sectorielle ? Art. 2 §2

Certains secteurs sont exclus totalement ou partiellement du CRA au profit de règles spécifiques.
Exemples : MDR / IVDR (médical) · EASA (avionique) · Homologation automobile · Équipements de défense

Non Aucune réglementation sectorielle UE ne couvre ce produit

Partiellement Certaines fonctions seulement sont couvertes

Oui, totalement Intégralement couvert par une autre réglementation

Quelle est la classe de risque du produit ? Art. 7 & Ann. III-IV

La classe détermine le niveau de certification exigé. En cas de doute, choisissez « Classe par défaut ».

Classe I : passerelles résidentielles, navigateurs web, antivirus, gestionnaires de mdp, VPN, appareils portables
Classe II : OS industriels, microprocesseurs sécurisés, cartes à puce, TPM, routeurs industriels critiques
Par défaut : tous les autres — smart TV, jouets connectés, applications grand public…

Classe par défaut Produit connecté standard non listé aux annexes III/IV

Classe I — Important Passerelles, navigateurs, gestionnaires de mdp, VPN...

Classe II — Critique OS industriels, microprocesseurs sécurisés, TPM...

⚠️ Veuillez répondre à toutes les questions ci-dessus.

2 / 4

Étape 3 sur 4

Cycle de vie & support

Le logiciel est-il open source non commercial ? Art. 3 §14a

Les logiciels open source développés hors toute activité commerciale (contributions bénévoles, hobby) sont exclus du CRA.
Attention : support payant, SaaS, ou composant intégré dans un produit vendu = CRA applicable.

Durée de support prévue Art. 13 §8

Le CRA impose de définir et de publier une durée de support. 5 ans minimum est la recommandation pour les fabricants. Elle doit être communiquée aux utilisateurs avant achat.

1 an 10+ ans

3 ans

⚠️ Durée inférieure à 5 ans — justification requise.

Comment les mises à jour sont-elles déployées ? Art. 13 §3

Le CRA exige que les correctifs de sécurité soient proposés automatiquement par défaut, sauf refus explicite de l'utilisateur.

✅ Automatique par défaut Les correctifs s'installent sans action utilisateur

⚠️ Manuel L'utilisateur doit déclencher les mises à jour

❌ Inexistant Pas de processus de mise à jour en place

⚠️ Veuillez répondre à toutes les questions.

3 / 4

Étape 4 sur 4 — Dernière étape !

Votre maturité de sécurité

Évaluez honnêtement votre niveau actuel sur chacune des 10 exigences clés du CRA.

Légende : ✅ Fait ⚠️ Partiel ❌ Non fait — N/A

⚠️ Veuillez évaluer toutes les exigences.

4 / 4

✓

Résultat du diagnostic

Produit hors périmètre CRA

✅ Non connecté — CRA non applicable

Votre produit ne comportant aucune connectivité numérique, il n'entre pas dans le périmètre du Cyber Resilience Act (Art. 2 §1 & Art. 3 §1).

ℹ️ À surveiller dans le temps Si le produit évolue et intègre une connectivité (mise à jour logicielle, module Bluetooth, API cloud…), il entrera dans le périmètre CRA et un programme de conformité devra être initié.

Consulter nos experts →

ℹ

Résultat du diagnostic

Exclusion sectorielle totale

ℹ️ Couverture sectorielle complète — CRA non applicable

Votre produit est intégralement couvert par une réglementation sectorielle UE spécifique (MDR, EASA, homologation véhicules…) — exclusion totale du CRA (Art. 2 §2).

⚠️ L'exclusion ne signifie pas l'absence d'obligation La réglementation sectorielle applicable peut imposer des exigences cybersécurité équivalentes ou plus strictes. Une analyse spécifique à votre secteur reste indispensable.

Analyse sectorielle par nos experts →

✓

Résultat du diagnostic

Open Source non commercial

✅ OSS non commercial — Hors périmètre CRA

Les logiciels open source développés hors toute activité commerciale sont exclus du périmètre du Cyber Resilience Act (Art. 3 §14a).

⚠️ La frontière commerciale est souvent floue Support payant, SaaS, ou composant intégré dans un produit vendu — dès qu'une activité commerciale est liée au logiciel, la qualification change et le CRA peut s'appliquer. Nos experts peuvent clarifier votre situation.

Clarifier votre situation →

Êtes-vous prêt pour leCyber Resilience Act ?

Votre rôle sur le marché

Périmètre du produit

Cycle de vie & support

Votre maturité de sécurité

Produit hors périmètre CRA

Exclusion sectorielle totale

Open Source non commercial

Êtes-vous prêt pour le
Cyber Resilience Act ?