Audit Rapide CRA

Audit rapide CRA — 5 questions pour décideurs | VAST-Security

AUDIT DÉCIDEUR · 5 QUESTIONS · 2 MIN

Êtes-vous prêt pour le CRA ?

5 questions clés pour évaluer votre exposition réglementaire — conçu pour les CEO, CTO et directeurs qui veulent un diagnostic rapide sans jargon technique.

2 minutes Sans inscription Résultat immédiat

Question 1 / 50%

Question 1 / 5

Votre organisation sait-elle si ses produits sont concernés par le CRA ?

Le CRA s’applique à tout produit connecté vendu en Europe. Identifier les produits concernés et leur classe est la première étape.

Oui — nous avons identifié nos produits et leur classe CRA

Inventaire fait, classe par défaut / I / II déterminée

Bien

Partiellement — nous avons commencé l’analyse

Certains produits identifiés, mais pas encore tous classifiés

En cours

Non — nous n’avons pas encore analysé notre périmètre CRA

Sujet identifié mais pas encore adressé

À faire

Question 2 / 5

Savez-vous exactement quels composants logiciels sont dans vos produits ?

Le CRA impose un SBOM (inventaire des composants) pour chaque produit. Sans cela, il est impossible de répondre aux alertes CVE en 24h.

Oui — SBOM généré automatiquement à chaque build

Inventaire à jour, dépendances transitives incluses

Conforme

Partiellement — nous avons une liste mais elle est manuelle

Inventaire existant mais non automatisé et probablement incomplet

Insuffisant

Non — nous n’avons pas d’inventaire structuré

Les composants ne sont pas documentés de façon exhaustive

Critique

Question 3 / 5

En cas de nouvelle CVE critique, pouvez-vous savoir en moins de 2 heures si vos produits sont affectés ?

Le CRA impose une notification à l’ENISA en 24h si une vulnérabilité est activement exploitée. 2h pour l’analyse, c’est le minimum pour avoir le temps de préparer la notification.

Oui — alerte automatique, réponse en moins de 2h

Corrélation SBOM ↔ CVE automatisée avec alertes en temps réel

Prêt

Partiellement — il nous faut plusieurs heures de recherche manuelle

Processus existant mais lent — on fouille les repos et on interroge l’équipe

À risque

Non — cela nous prendrait plusieurs jours

Pas de processus en place — délai 24h CRA impossible à tenir

Non conforme

Question 4 / 5

Avez-vous un canal public pour recevoir les signalements de vulnérabilités sur vos produits ?

Le CRA impose une politique de divulgation coordonnée (CVD). Sans canal public, un chercheur en sécurité peut publier directement une CVE sans vous laisser le temps de corriger.

Oui — adresse security@ et politique de divulgation publiées

Canal accessible publiquement avec délais de réponse communiqués

Conforme

Partiellement — un contact existe mais pas dédié à la sécurité

Formulaire de contact générique ou email support sans politique CVD

Insuffisant

Non — pas de canal de signalement sécurité

Aucun moyen pour un chercheur de nous contacter sur une vulnérabilité

Manquant

Question 5 / 5

À quel point votre direction est-elle impliquée dans la préparation CRA ?

La conformité CRA nécessite des ressources, des décisions et un budget. Sans engagement de la direction, les équipes techniques ne peuvent pas avancer.

La direction est impliquée — budget alloué et roadmap validée

Le CRA est inscrit dans les priorités et dispose de ressources dédiées

Engagé

La direction est sensibilisée mais pas encore engagée

Sujet connu mais sans budget ni feuille de route formelle

En attente

La direction n’est pas encore informée du CRA

Le sujet n’a pas encore été remonté au niveau décisionnel

Bloquant