Aller au contenu
COMPLIANCE CRA

Pas juste conforme —
démontrablement conforme

VAST aide à structurer et maintenir une démarche cohérente avec les attentes CRA : sécurité dès la conception, gestion continue des vulnérabilités, décisions traçables et preuves partageables.

Demander une démo Voir les use cases
CRA 2024
Cyber Resilience Act
4 piliers
Exigences couverts
360°
Traçabilité continue
0 export
Manuel nécessaire
Les 4 piliers

Ce que le CRA exige,
ce que VAST couvre

Le Cyber Resilience Act impose quatre exigences fondamentales aux fabricants de produits connectés. VAST structure une réponse opérationnelle à chacune.

Sécurité dès la conception

Analyse de risque structurée pour guider les priorités dès les phases amont : ce qui est critique, ce qui est exposé, et quelles décisions sont prises.

Gestion continue des vulnérabilités

Reliée au produit réel : assets, versions et contexte. Priorisation pertinente et suivi cohérent dans le temps, pas une liste de CVE hors contexte.

Traçabilité & preuves

Documentation compréhensible et partageable : décisions et statuts, éléments de justification, capacité à démontrer une maîtrise continue.

Transparence maîtrisée

Fournir des preuves aux clients sans divulguer d'informations sensibles de conception, grâce à une logique de partage contrôlé.

Exigences détaillées

Comment VAST structure la réponse

Chaque exigence CRA est couverte par une fonctionnalité concrète de VAST.

ART. 13 · §1

Inventaire des composants logiciels (SBOM)

VAST maintient un inventaire vivant de tous les composants, versions, dépendances et fournisseurs. Compatible CycloneDX et SPDX. Diff automatique entre versions pour suivre ce qui change.

SBOM VIVANT
ART. 13 · §6

Gestion et divulgation des vulnérabilités

Chaque CVE est corrélée aux assets et versions concernés. La décision (corriger, compenser, accepter) est documentée, approuvée et tracée. Le VEX est généré automatiquement pour la divulgation.

CVE + VEX
ART. 13 · §8

Analyse de risque & décisions traçables

VAST structure l'analyse de risque (menaces → scénarios → scoring → décisions) et conserve l'historique complet. Chaque décision est versionnée avec sa justification.

RISK ANALYSIS DÉCISIONS
ART. 13 · §11

Documentation technique & rapports

Génération de rapports versionnés par produit, version ou projet. Statuts clairs (draft / review / approved), traçabilité des changements et export maîtrisé pour les autorités et clients.

REPORTING VERSIONING
ART. 13 · §14

Surveillance continue sur la durée de vie

Les produits restent en service longtemps. VAST conserve l'historique complet — versions, décisions, actions, rapports — pour réévaluer et démontrer la maîtrise dans la durée, y compris lors des mises à jour.

CYCLE DE VIE
Réponse opérationnelle

De la conformité
à la démonstration

VAST ne génère pas un rapport de conformité statique. Il maintient un état vivant, continuellement à jour, exploitable à tout moment.

  • Sécurité by design, pas by compliance

    L'analyse de risque guide les décisions dès la conception, pas en fin de cycle.

  • CVE corrélées au contexte produit

    Pas de bruit : seules les vulnérabilités qui impactent réellement vos assets remontent.

  • Décisions documentées et versionnées

    Chaque choix est tracé, justifié, approuvé — et conservé pour les audits futurs.

  • Preuves partageables sans divulgation

    Rapports filtrés : ce qui est utile aux régulateurs et clients, sans exposer votre IP.

  • Historique complet sur tout le cycle de vie

    V1, V2, V3... chaque état du produit est conservé et accessible pour démontrer la continuité.

CRA COMPLIANCE DASHBOARD LIVE
Inventaire SBOM
147 composants · 3 fournisseurs
À JOUR
Gestion CVE
12 traitées · 3 en cours · 0 ignorées
EN COURS
Analyse de risque
8 scénarios · 24 décisions tracées
VALIDÉ
Documentation
Rapport CRA v3.1 · Approuvé
PRÊT
VEX exportés
4 livrés clients · 2 régulateurs
LIVRÉ
78%
COMPLIANCE SCORE
Article 13 ✓
Questions fréquentes

Ce qu'on nous demande
sur le CRA et VAST

VAST génère-t-il directement les livrables requis par le CRA ?

VAST génère des rapports structurés et versionnés (SBOM, analyse de risque, décisions, VEX) qui constituent une base solide pour les livrables CRA. La forme finale peut être adaptée selon le contexte réglementaire de chaque fabricant.

Doit-on être déjà avancé sur le CRA pour utiliser VAST ?

Non. VAST accompagne aussi bien les équipes qui démarrent leur démarche que celles qui souhaitent structurer ou consolider une démarche existante. Le point de départ peut être un simple inventaire de composants.

Comment VAST gère-t-il la confidentialité lors des audits ?

VAST applique une logique de partage contrôlé : les rapports destinés aux auditeurs ou régulateurs sont générés avec un niveau de détail configurable — informations de conformité et de décision partagées, détails d'architecture interne préservés.

Le CRA s'applique-t-il à mon produit ?

Le CRA s'applique aux produits comportant des éléments numériques mis sur le marché de l'UE — logiciels et matériels connectés. Les obligations varient selon la criticité du produit. Nous pouvons échanger sur votre périmètre spécifique lors d'une démonstration.

"

Pas juste être conforme.
Pouvoir le démontrer, à tout moment.

La promesse VAST · CRA & au-delà

Prêt à structurer votre démarche CRA ?

Discutons de votre périmètre produit et de comment VAST peut vous aider à être prêt — et à le prouver.

Demander une démo Voir les use cases
FR EN