Foire aux questions

Le Cyber Resilience Act est un règlement européen novateur qui établit pour la première fois des exigences de cybersécurité à l'échelle de l'UE pour les produits comportant des éléments numériques. Cela signifie que presque tous les appareils connectés et produits logiciels doivent répondre à des normes de sécurité fondamentales pour être autorisés sur le marché européen. L'accent est mis sur l'ensemble du cycle de vie – du développement aux mises à jour de sécurité régulières.

ProductShield a été spécialement conçu pour les fabricants qui développent et commercialisent des produits matériels et logiciels (y compris les systèmes embarqués). Nous nous concentrons sur les PME, en particulier dans des secteurs tels que la construction mécanique, l'automatisation industrielle, la technologie médicale et les solutions IoT. Nous aidons à traduire les exigences réglementaires souvent complexes en un processus structuré et réalisable.

Bien que le texte soit adopté, différents délais de transition s'appliquent. L'application complète est attendue pour l'année 2027. Mais attention : comme le CRA exige une documentation sur l'ensemble du cycle de vie du produit, les processus pour les produits encore sur le marché en 2027 doivent souvent être adaptés dès aujourd'hui. Ceux qui ne commencent qu'en 2027 auront un déficit de documentation massif pour les versions existantes.

Les deux sont des listes d'inventaire essentielles pour la conformité :

SBOM (Software Bill of Materials) : Une liste d'inventaire de tous les composants logiciels. Elle permet de voir quelles bibliothèques tierces (open source ou propriétaires) vous utilisez.

CBOM (Cryptography Bill of Materials) : Une liste spécialisée de tous les actifs cryptographiques (algorithmes, protocoles, clés). Le CRA exige de la transparence sur la façon dont vous protégez les données et sur le cryptage utilisé.

Oui. Contrairement aux simples scanners, ProductShield permet de lier les actifs. Vous pouvez définir : "Ce produit se compose de la carte matérielle A, sur laquelle tourne le firmware B, qui communique à son tour avec le backend cloud C." Cette vision globale est cruciale pour une analyse des risques conforme au CRA, qui va au-delà des simples vulnérabilités logicielles.

Oui, c'est une fonction centrale pour les fabricants de matériel. Vous pouvez enregistrer les données de cycle de vie des composants. ProductShield les compare et vous avertit proactivement lorsqu'un composant atteint le statut "End-of-Life" (EOL) ou que la période de support se termine. Vous évitez ainsi les lacunes de conformité pour les produits industriels disponibles à long terme.

Chaque jour, des centaines de nouvelles vulnérabilités (CVE) sont découvertes. Notre moteur d'IA aide à filtrer ce flux. Il vérifie : "Cette vulnérabilité est-elle exploitable dans votre contexte matériel spécifique ?" L'IA propose des priorisations et aide à créer efficacement la justification écrite nécessaire pour l'évaluation des risques (un point obligatoire du CRA).

Oui. ProductShield est l'outil, mais nous savons que le chemin vers la conformité nécessite également des conseils en matière de processus. Nous proposons des forfaits d'onboarding et des ateliers au cours desquels nous effectuons le premier inventaire avec vos développeurs et product owners et clarifions la répartition des rôles dans l'entreprise.

Oui, un accès API est inclus dans les forfaits Professional et Enterprise. Cela vous permet d'intégrer la génération ou l'upload de SBOM directement dans votre processus de build, de sorte que ProductShield connaisse toujours l'état le plus récent de vos versions logicielles.

Absolument. La sécurité des produits et la confidentialité sont extrêmement importantes pour nous. Nous hébergeons ProductShield exclusivement sur des serveurs certifiés en Allemagne. Toutes les données sont stockées de façon cryptée et nous n'accordons aucun accès à des tiers. Pour les entreprises ayant des exigences de sécurité particulièrement élevées, nous proposons également des options on-premise ou des instances cloud dédiées.