Durée de support obligatoire :
ce que le CRA impose aux fabricants
Le CRA impose à chaque fabricant de définir et communiquer une durée de support pour ses produits — pendant laquelle les correctifs de sécurité doivent être fournis. Ce qu’il faut décider, publier et maintenir.
C’est l’une des obligations CRA les moins connues — et pourtant l’une des plus structurantes commercialement. Le CRA impose à chaque fabricant de définir explicitement pendant combien de temps son produit recevra des mises à jour de sécurité, de communiquer cette durée publiquement, et de tenir cet engagement.
1. Ce que le CRA impose exactement
L’article 13 §8 du CRA impose aux fabricants de « s’assurer que les vulnérabilités des produits comportant des éléments numériques peuvent être traitées par des mises à jour de sécurité pendant une période de support appropriée ».
Trois obligations distinctes en découlent :
- Définir une durée de support — chaque produit doit avoir une durée de support explicitement déterminée avant sa mise sur le marché.
- Communiquer cette durée — elle doit être publiée de façon accessible aux acheteurs — dans la documentation technique, sur le site web et sur l’emballage si applicable.
- Honorer cet engagement — pendant toute la durée de support déclarée, les correctifs de sécurité doivent être développés et mis à disposition dans un délai raisonnable après découverte d’une vulnérabilité.
Ce que le CRA ne précise pas : le texte ne fixe pas de durée minimale universelle. Il parle de durée « appropriée » compte tenu de la nature et de l’utilisation prévue du produit. En pratique, la Commission européenne cite 5 ans comme référence pour la plupart des produits connectés grand public et professionnels.
2. Pourquoi c’est une décision commerciale autant que technique
Définir une durée de support, c’est prendre un engagement contractuel envers vos clients — et assumer un coût de maintenance logicielle sur toute cette période. C’est une décision qui dépasse les équipes techniques et engage la direction.
Les implications concrètes :
- Coût de maintenance — vous devez avoir la capacité de corriger des vulnérabilités sur des versions de produit potentiellement très anciennes. Une bibliothèque intégrée en 2024 doit pouvoir être mise à jour en 2029.
- Gestion des dépendances obsolètes — les composants tiers et open source que vous utilisez aujourd’hui seront peut-être abandonnés ou incompatibles dans 5 ans. Votre engagement de support inclut indirectement la gestion de ces dépendances.
- Communication client proactive — quand la fin de support approche, vous devez informer vos clients avec un préavis suffisant pour qu’ils puissent migrer ou trouver une alternative.
Le piège des produits legacy : les produits déjà sur le marché au moment de l’entrée en vigueur du CRA (décembre 2024) ne sont pas exemptés si vous continuez à les commercialiser ou à les modifier substantiellement. Si vous vendez encore un produit sorti en 2019, vous devez définir et communiquer sa durée de support restante.
3. Durées de support par secteur — repères pratiques
Le CRA ne fixant pas de durée minimale universelle, voici les repères pratiques par type de produit selon les lignes directrices de la Commission et les standards sectoriels :
4. Ce que vous devez publier
Le CRA impose de rendre la durée de support accessible aux acheteurs. En pratique, cela signifie :
- Page de politique de support sur votre site — une page dédiée qui liste chaque produit avec sa date de fin de support (ou sa durée depuis la date d’achat). Mise à jour à chaque nouveau produit ou changement de politique.
- Documentation technique du produit — la durée de support doit figurer dans la documentation livrée avec le produit.
- Dossier technique CRA — la durée de support est une pièce du dossier technique que vous devez être capable de présenter aux autorités.
- Communication de fin de support — un préavis raisonnable (minimum 12 mois recommandés) avant la fin du support, avec informations sur les alternatives disponibles.
Documentation automatique du cycle de vie, alertes de fin de support approchante et traçabilité des correctifs fournis pendant toute la période de support.
5. Le lien entre durée de support et gestion des CVE
La durée de support n’est pas une obligation isolée — elle conditionne directement votre processus de gestion des vulnérabilités. Pendant toute la durée de support :
- Vous devez surveiller les CVE affectant tous les composants de ce produit — y compris les versions anciennes que vous ne développez plus activement.
- Vous devez être capable de produire et distribuer un correctif dans un délai raisonnable après découverte d’une vulnérabilité — même sur une version qui date de plusieurs années.
- Vous devez notifier l’ENISA en 24h si une vulnérabilité est activement exploitée — même sur un produit en fin de support actif mais dont la durée de support déclarée n’est pas encore écoulée.
6. Par où commencer
- Inventorier vos produits actuels — listez tous les produits que vous commercialisez avec leur date de première mise sur le marché. C’est la base pour définir les durées de support.
- Définir votre politique de support — décidez d’une durée standard par famille de produits. Cette décision doit impliquer la direction, les équipes R&D et les équipes commerciales.
- Évaluer la faisabilité technique — pour chaque durée de support envisagée, évaluez si vous avez la capacité de maintenir les composants utilisés pendant toute cette période. Les dépendances avec des durées de vie courtes sont un signal d’alerte.
- Publier votre politique — créer la page de politique de support sur votre site avant décembre 2027. Plus tôt c’est publié, plus vous démontrez une démarche proactive en cas d’audit.
VAST maintient votre conformité sur toute la durée de support
SBOM versionné, surveillance CVE continue et documentation des correctifs — pour honorer vos engagements de support sans mobiliser en permanence vos équipes R&D.