Score
0 / 60 pts
CRA-02 — Loi européenne sur la cyber-résilience

Secure-by-default

Votre produit sera expédié dans 8 semaines. Le dossier technique ne fait aucune mention de la cybersécurité. Prouvez qu'il est secure-by-design.

NIVEAU DE MENACE : VERT

Vous êtes ingénieur en chef chargé du micrologiciel chez Kastos IoT. Quatre semaines se sont écoulées depuis le « zero-day » — cette faille permettant de contourner l’authentification qui a déclenché la première intervention de Kastos dans le cadre de la CRA. Le correctif a été déployé. La liste des composants (SBOM) a été reconstituée. La collaboration avec l’organisme notifié est en cours. Vient maintenant la question la plus difficile : pouvez-vous prouver que le K400 était secure-by-design ? Votre mission : produire le dossier de documentation technique requis en vertu de l’article 31 de la CRA pour la version 4.0 du micrologiciel du K400. Le dossier existant a été rédigé pour la directive sur les équipements hertziens. Il couvre l'EMC et la sécurité RF. Il ne mentionne en rien la cybersécurité.

  • Kastos IoT — 340 employés, 62 millions d'euros de chiffre d'affaires, siège social à Rotterdam
  • La sortie de la version 4.0 du micrologiciel du K400 est prévue dans huit semaines
  • Dossier technique actuel : conforme à la directive RED (EMC + sécurité RF), sans section consacrée à la cybersécurité
  • La liste des composants logiciels (SBOM) a été générée à nouveau après le module 1 — elle a désormais été vérifiée par rapport aux artefacts de compilation
  • La collaboration avec l'organisme notifié (BSI Netherlands) est en cours dans le cadre d'une évaluation de classe I importante
  • 40 % des installateurs sont des petites entreprises qui ont des difficultés à configurer SSH
Présentation de la mission

Comment ça marche

Il s'agit d'un scénario de type « choisissez votre propre aventure ». Vous prendrez les mêmes décisions concrètes qu'un ingénieur en chef chargé du micrologiciel doit prendre lors de l'élaboration d'un dossier technique conforme au règlement CRA — et vos choix détermineront votre note finale en matière d'opérations.

Historique des modifications apportées au document

Examinez le dossier technique existant et signalez les sections qui ne satisfont pas aux exigences de la CRA.

Trois décisions

Chaque décision est notée. Vos choix déterminent une note opérationnelle exprimée en pourcentage. Les mauvaises décisions entraînent des conséquences en chaîne.

Éventail des évaluations des risques

Utilisez le curseur pour déterminer le niveau de détail approprié pour l'évaluation des risques liés à la cybersécurité du K400.

Constructeur de clauses

Constituez le dossier technique de l'annexe VII en sélectionnant la clause appropriée pour chaque section obligatoire.

--:--:-- VERT CRA-02 : Sécurisé par défaut
Réunion d'information du personnel

Votre équipe

Vous travaillerez avec ces quatre personnes tout au long du scénario. Leurs priorités s'opposent. Votre mission consiste à trouver la solution qui soit valable sur les plans juridique, technique et commercial.

Tomasz Kowalski
Tomasz Kowalski
Ingénieur principal en micrologiciels
Il développe le produit. Il connaît toutes les dépendances. Il déteste la paperasse.
Nina Berger
Nina Berger
Product Manager
Il est responsable de la date de livraison. Il s'opposera à tout ce qui pourrait retarder le lancement.
Sophie Laurent
Sophie Laurent
Responsable des affaires juridiques et réglementaires
Veille à ce que Kastos respecte la loi. S'exprime en termes de références réglementaires.
Jan Mulder
Jan Mulder
Vice-président de l'ingénierie
Le patron de Tomasz. Il compte chaque sprint. Il déteste les surprises du service juridique.
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation

Le dossier technique

Lundi, 9 h 15 (heure d'Europe centrale)

Vous ouvrez le dossier technique du K400. Il a été mis à jour pour la dernière fois dans le cadre de la certification RED v3.0, il y a 18 mois. Ce dossier traite des essais de compatibilité électromagnétique, des évaluations de sécurité en matière de radiofréquences et des normes de sécurité électrique. Sous la rubrique « Sécurité », on trouve un seul paragraphe : « Le K400 utilise un cryptage AES-256 pour les communications avec le cloud. »

L'annexe VII du règlement CRA exige que la documentation technique comprenne : une description générale du produit, l'évaluation des risques liés à la cybersécurité, une description de la manière dont les exigences essentielles sont satisfaites, la liste des normes harmonisées appliquées, la déclaration de conformité de l'UE et la liste des composants logiciels (SBOM). Votre dossier présente des lacunes concernant l'un de ces éléments.

Sophie nous a transmis le calendrier d'évaluation de BSI Netherlands : l'organisme notifié a besoin du dossier technique d'ici six semaines pour mener à bien son examen avant la date de livraison de la version 4.0.

OF
OPS FEED — Flux d'informations sur la situation
[09:15] DOCUMENTATION — Examen du dossier technique du K400 en cours. Conformité à l'Annexe VII de la CRA : 1 des 6 sections requises est présente (partielle).
Tomasz Kowalski
Tomasz Kowalski — Ingénieur principal en micrologiciels
Un paragraphe sur le chiffrement. C'est tout. Nous partons de zéro.
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Activité

Fiche technique (version révisée)

Partie d'entraînement — non comptabilisée. Votre score est déterminé par ces trois décisions.

Lundi, 10 h 30 (heure d'Europe centrale)

Avant de commencer à rédiger, vous devez déterminer dans quelle mesure le dossier technique existant présente des lacunes. Passez en revue la documentation technique actuelle du K400 et signalez les sections qui ne répondent pas aux exigences de la CRA. Cliquez sur chaque section problématique pour mettre en évidence les lacunes en matière de conformité.

--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation

La question du Telnet

Lundi, 14 h 00 (heure d'Europe centrale)

Vous présentez le rapport d'audit des preuves à l'équipe. Le problème majeur réside dans les lacunes liées aux paramètres secure-by-default. Nina soulève immédiatement la question du programme d'installation.

Le K400 est déployé par des entrepreneurs en bâtiment, et non par des équipes informatiques. Dans 40 % des cas, l'installateur est une petite entreprise comptant entre 2 et 5 employés et ne disposant d'aucun personnel informatique dédié. Ces entreprises utilisent Telnet car SSH nécessite une gestion des clés que leur processus de travail ne prend pas en charge. La désactivation de Telnet entraînerait des centaines d'appels au support technique et risquerait de retarder les déploiements.

Nina Berger
Nina Berger — Chef de produit
J'ai reçu 340 tickets d'assistance en six mois de la part d'installateurs qui ne parviennent pas à configurer SSH. Ce n'est pas une simple hypothèse : cela se traduit par une perte de revenus et des retards dans la livraison des bâtiments. Si nous désactivons Telnet, nous devons leur proposer une solution qui fonctionne réellement.
Sophie Laurent
SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires
La CRA exige une configuration par défaut sécurisée. Telnet est un protocole non chiffré qui transmet les identifiants en clair. Le fait qu'il soit activé par défaut constitue clairement un manquement aux exigences. La question n'est pas de savoir s'il faut s'attaquer au processus d'installation, mais comment le faire.
Jan Mulder
Jan Mulder — Vice-président de l'ingénierie
Nous ne pouvons pas nous permettre de perdre 40 % de nos installateurs. Ce n’est pas un problème de conformité, c’est une question de survie.
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Une décision s'impose

Paramètres par défaut sécurisés vs. processus d'installation

Le K400 est actuellement livré avec Telnet activé par défaut. Le CRA exige une configuration par défaut sécurisée. 40 % des installateurs ont recours à Telnet, car la gestion des clés SSH est trop complexe pour leur processus de travail. Comment résoudre ce problème ?

--:--:-- VERT CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Positive

Assistant SSH intégré

Votre équipe développe un assistant de configuration SSH guidé qui s'exécute sur l'écran intégré du K400 lors de la configuration initiale au premier démarrage. Il génère une paire de clés directement sur l'appareil, affiche un code QR que l'installateur scanne avec son téléphone pour finaliser l'appairage, puis stocke la clé en toute sécurité. Pas besoin de Telnet, ni de gestion manuelle des clés.

Une étude menée auprès de 12 entreprises d'installation montre que le temps moyen d'installation passe de 4 minutes (avec Telnet) à 6 minutes (avec l'assistant). Deux entreprises ont dû passer un appel téléphonique de 15 minutes au service d'assistance lors de leur première tentative. Par la suite, elles ont été plus rapides qu'avec Telnet, car le code QR a permis d'éliminer complètement la saisie du mot de passe.

Nina se montre prudemment optimiste : « Si le nombre d'appels au service d'assistance reste inférieur à 50 au cours du premier mois, cela fonctionnera. » Sophie consigne la solution dans le dossier technique à titre de preuve.

Regulatory Reference
Annexe I, section 1, paragraphe 3, de la CRA — Configuration par défaut sécurisée
Les produits comportant des éléments numériques doivent être fournis avec une configuration secure-by-default, incluant la possibilité de rétablir l'état de sécurité d'origine. L'expression « secure-by-default » signifie que le produit est livré dans son état d'utilisation le plus sécurisé possible : c'est à l'utilisateur d'entreprendre une action délibérée pour réduire le niveau de sécurité, et non l'inverse. Le remplacement d'un protocole non sécurisé par une alternative sécurisée répondant aux besoins en matière d'ergonomie constitue la référence absolue : cela permet de combler le déficit de conformité sans nuire à l'activité.
Nina Berger
Nina Berger — Chef de produit
« Si le nombre d'appels au service d'assistance reste inférieur à 50 au cours du premier mois, ça marche. »
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Neutral

Consentement physique

Telnet est désactivé par défaut. Un bouton encastré sur le panneau du K400 active Telnet lorsqu'on le maintient enfoncé pendant 5 secondes au cours des 24 premières heures suivant la réinitialisation d'usine. L'écran affiche un avertissement : « TELNET ACTIVÉ — PROTOCOLE NON CHIFFRE — À UTILISER UNIQUEMENT LORS DE LA CONFIGURATION INITIALE. »

Sophie passe cette approche en revue : « C'est défendable. Le paramètre par défaut est sécurisé. L'activation nécessite un accès physique et un consentement éclairé. Mais l'organisme notifié pourrait nous demander pourquoi nous n'avons pas supprimé complètement le protocole non sécurisé — soyez prêts à justifier pourquoi cette porte de sortie est proportionnée au cas d'utilisation de l'installateur. »

Nina acquiesce : « 60 % des installateurs n'en auront pas besoin. Les 40 % qui en ont besoin n'auront qu'à appuyer sur un bouton. Ça me suffit. »

Regulatory Reference
La proportionnalité dans la conception sécurisée
La CRA n'interdit pas toutes les fonctionnalités non sécurisées : elle exige des paramètres par défaut sécurisés et un choix éclairé de la part de l'utilisateur. La mise en place d'un mécanisme d'activation volontaire pour un protocole moins sécurisé peut être conforme si : (1) le paramètre par défaut est sécurisé, (2) l'utilisateur effectue une action délibérée et documentée pour le modifier, (3) le risque est clairement communiqué, et (4) le produit peut être réinitialisé à l'état sécurisé. L'essentiel est de démontrer la proportionnalité : le risque résiduel est accepté par l'utilisateur, et non imposé par le fabricant.
Sophie Laurent
Sophie Laurent — Responsable des affaires juridiques et réglementaires
« C'est défendable. Le paramètre par défaut est sécurisé. L'activation nécessite un accès physique et un consentement éclairé. Mais soyez prêt à justifier pourquoi cette échappatoire est proportionnée au cas d'utilisation de l'installateur. »
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Negative

Solution de contournement pour la désactivation automatique

Le K400 v4.0 est livré avec Telnet activé pendant les 72 premières heures suivant le démarrage. Au cours de l'évaluation menée par le BSI des Pays-Bas, l'évaluateur demande : « Le produit est donc livré dans un état non sécurisé de par sa conception ? » Tomasz explique le processus d'installation. L'évaluateur note : « La CRA exige une configuration par défaut sécurisée au moment de la mise sur le marché. Une fenêtre de 72 heures non sécurisée ne constitue pas une configuration secure-by-default — il s’agit d’une vulnérabilité programmée. »

Cette constatation retarde l'évaluation de la conformité de quatre semaines, le temps que Kastos mette en place un mécanisme « secure-by-default » adéquat. La date de lancement de la version 4.0 est repoussée. Jan est furieux : « Nous avons essayé de gagner trois semaines de développement et nous en avons perdu quatre. »

Regulatory Reference
« Par défaut » signifie « par défaut »
Un produit commercialisé avec une configuration non sécurisée — même temporairement — ne satisfait pas à l’exigence de sécurité par défaut de la CRA. La réglementation évalue l’état du produit au moment de sa mise sur le marché, et non après l’expiration d’un délai. Le fait qu’un produit « se sécurise ultérieurement » ne constitue pas une sécurité-by-default. Il s’agit d’un produit non sécurisé par défaut, dont la correction est différée. Les autorités de surveillance du marché et les organismes notifiés évaluent le comportement du produit dès sa sortie de l’emballage.
Jan Mulder
Jan Mulder — Vice-président de l'ingénierie
« Nous avons essayé de gagner trois semaines de développement et nous en avons perdu quatre. »
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation

Le déficit en matière d'évaluation des risques

Mercredi, 10 h 00 (heure d'Europe centrale)

Une fois la question des paramètres par défaut secure-by-default réglée, vous passez à l'évaluation des risques. Le modèle de menaces existant, qui compte trois pages, a été rédigé avant la découverte de la vulnérabilité du Module 1. Il couvre les menaces au niveau du réseau, mais passe complètement à côté du contournement de l'authentification BLE. La CRA exige une évaluation des risques qui couvre la finalité du produit, son utilisation raisonnablement prévisible et son cycle de vie — y compris la maintenance et la fin de vie.

Vous disposez de trois options concernant la portée de l'évaluation des risques, chacune présentant des compromis différents en termes de coût, de durée et de niveau de détail.

Catégorie de menaceSurface d'attaque K400Dossier actuelRequis
Usurpation Identifiant d'appairage BLE ✗ manquant Authentification mutuelle + ancrage de certificats
Falsification Pack de mise à jour du micrologiciel ⚠ partiel Mises à jour signées + démarrage sécurisé
Répudiation Journal d'audit des portes et des accès ✓ couvert Journal de contrôle d'intégrité
Divulgation d'informations API cloud + configuration BLE ✓ couvert Connexions sécurisées TLS 1.3 + LE
Déni de service Inondation de requêtes BLE + surcharge du cloud ✗ manquant Limitation du débit + cache hors ligne
Extension des privilèges Telnet (activé par défaut) + JTAG ✗ manquant SSH uniquement + JTAG intégré en phase de production
Chaîne d'approvisionnement Pile BLE + 23 bibliothèques gérées par un seul développeur ✗ manquant Provenance des composants + SBOM

3 des 7 catégories de menaces CRA sont couvertes. La faille de contournement BLE qui a déclenché le Module 1 se trouve dans la ligne Usurpation, qui n'a pas encore été écrite.

Sophie Laurent
SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires
La section 1 de l'Annexe I impose au fabricant de fournir le produit « sur la base d'une évaluation des risques liés à la cybersécurité ». Cette évaluation des risques doit être consignée dans le dossier technique et mise à jour en cas de modifications importantes. La publication d'une nouvelle version du micrologiciel à la suite d'une vulnérabilité critique est considérée comme une modification importante.
OF
OPS FEED — Fil d'actualité
[10 h 05] CONFORMITÉ — Examen de l'évaluation des risques : le document actuel couvre 3 des 7 catégories de menaces exigées par le CRA. Il manque les catégories suivantes : BLE, accès physique, mise à jour du micrologiciel et chaîne d'approvisionnement.
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Une décision s'impose

Portée de l'évaluation des risques

L'évaluation des risques actuelle est incomplète. Le dossier technique v4.0 doit comporter une évaluation des risques liés à la cybersécurité couvrant toutes les catégories exigées par l'Autorité de réglementation des produits de santé (CRA). L'organisme notifié en a besoin dans un délai de six semaines. Comment définissez-vous le périmètre de cette évaluation ?

--:--:-- VERT CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Positive

Modèle de menaces complet

Votre équipe consacre trois semaines à l'élaboration d'un modèle de menaces complet, en utilisant la méthodologie STRIDE pour l'ensemble des interfaces du K400. L'évaluation identifie 23 scénarios de menaces répartis sur 7 surfaces d'attaque. Pour chacun d'entre eux, vous consignez : la menace, les mesures d'atténuation existantes, le risque résiduel et l'exigence essentielle du CRA à laquelle il correspond.

L'évaluation a mis en évidence deux problèmes de gravité moyenne qui n'avaient échappé à personne : le mécanisme de mise à jour du micrologiciel ne vérifie pas la signature des paquets lors du téléchargement (mais uniquement lors de l'installation), et l'application mobile stocke la clé API en clair dans les préférences partagées. Ces deux problèmes ont été corrigés avant la sortie de la version 4.0.

L'évaluateur de l'organisme notifié fait remarquer : « Il s'agit de l'une des analyses de risques les plus approfondies que nous ayons examinées. La mise en correspondance du modèle STRIDE avec les exigences essentielles de la CRA est particulièrement utile. »

--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Neutral

Mise à jour et test d'intrusion

Vous mettrez à jour le modèle de menaces existant dans une semaine, en y ajoutant les catégories de menaces liées au BLE, à l'accès physique, aux mises à jour du micrologiciel et à la chaîne d'approvisionnement. Le test d'intrusion externe débutera la semaine suivante et portera sur ces nouvelles surfaces d'attaque.

Le test d'intrusion a mis en évidence les deux mêmes vulnérabilités de gravité moyenne (téléchargement de micrologiciel non signé, clé API en clair), ainsi qu'une autre vulnérabilité de faible gravité. Vous avez corrigé ces trois problèmes avant la sortie de la version 4.0. L'évaluation interne combinée au test d'intrusion externe fournit des preuves solides pour le dossier technique.

Sophie fait remarquer : « L'organisme notifié appréciera cette vérification indépendante. Les tests externes renforcent l'argument de la conformité. Le seul risque concerne le calendrier : si les testeurs de sécurité découvrent une faille critique, nous nous retrouvons à nouveau dans un cycle de correctifs. »

Sophie Laurent
Sophie Laurent — Responsable des affaires juridiques et réglementaires
« L’organisme notifié appréciera cette vérification indépendante. Les tests externes renforcent l’argument de conformité. Le seul risque concerne le calendrier : si les testeurs de sécurité découvrent une faille critique, nous retombons dans un cycle de correctifs. »
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Negative

Patch minimal

Vous mettez à jour l'évaluation des risques en ajoutant une page consacrée au contournement de l'authentification BLE. Le reste du document reste inchangé par rapport à la certification RED v3.0.

Au cours de l'audit BSI Pays-Bas, l'auditeur pose la question suivante : « Votre évaluation des risques porte sur les menaces réseau et le contournement BLE. Qu'en est-il de l'accès physique au panneau de commande ? De l'intégrité des mises à jour du micrologiciel ? Des risques liés à la chaîne d'approvisionnement pour les 312 dépendances de votre SBOM ? La CRA exige que l'évaluation couvre la finalité prévue et les conditions d'utilisation raisonnablement prévisibles. »

L'évaluateur signale officiellement que l'évaluation des risques est insuffisante. L'évaluation de la conformité est suspendue jusqu'à ce qu'une évaluation des risques conforme soit fournie. La date de livraison de la version 4.0 est désormais incertaine.

Regulatory Reference
Annexe I, section 1, paragraphe 2, de la CRA — Exigences en matière d'évaluation des risques
La CRA impose aux fabricants de réaliser une évaluation des risques liés à la cybersécurité avant de mettre un produit sur le marché et de la mettre à jour en cas de changements significatifs. Cette évaluation doit porter sur la destination du produit, les conditions d'utilisation prévisibles et l'ensemble du cycle de vie du produit. Une évaluation des risques qui ne couvre que les vulnérabilités connues par le passé est rétrospective ; la CRA exige une évaluation prospective des menaces auxquelles le produit sera confronté lors de son déploiement. Un organisme notifié évaluera si l'évaluation des risques est proportionnée à la complexité et au profil de risque du produit.
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Activité

Niveau de détail de l'évaluation des risques

Partie d'entraînement — non comptabilisée. Votre score est déterminé par ces trois décisions.

Semaine 4

La portée de l'évaluation des risques est un compromis. Faites glisser le curseur pour définir le niveau de détail de l'évaluation des risques de cybersécurité du K400. Chaque position indique le coût, le calendrier, la couverture et la validité réglementaire. Trouvez la position qui offre le meilleur équilibre entre la rigueur de l'évaluation et le délai de six semaines imposé par l'organisme notifié.

Minimal — corrige uniquement la faille de contournement BLE connue Exhaustif — modèle de menaces complet + test d'intrusion externe + simulation d'attaque (red team)
0% 25% 50% 75% 100%
RISK: LOW
Modèle de menace STRIDE complet couvrant l'ensemble des 7 surfaces d'attaque. 3 semaines, 0 €. Couverture complète grâce à l'expertise interne. Documentation solide, mais aucune validation indépendante.
L'ACR exige une évaluation des risques proportionnée — suffisamment approfondie pour couvrir toutes les menaces prévisibles, mais pas au point de retarder inutilement la mise sur le marché. Une fourchette comprise entre 50 et 75 % offre une couverture exhaustive étayée par des preuves solides. Un taux inférieur à 50 % entraîne des lacunes en matière de conformité. Un taux supérieur à 75 % est disproportionné par rapport au profil de risque du produit et ne permet pas de respecter les délais.
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Une décision s'impose

Date limite de remise du dossier technique

Le dossier technique v4.0 prend forme. L'organisme notifié en a besoin dans deux semaines. Votre analyse des risques est terminée, la SBOM est à jour et les paramètres secure-by-default sont mis en place. Mais les résultats des tests d'intrusion ne seront pas finalisés avant trois semaines, soit une semaine après la date limite fixée par le BSI des Pays-Bas. Que devez-vous soumettre ?

--:--:-- VERT CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Positive

Soumission transparente

BSI Netherlands accepte la soumission par étapes. L'organisme entame immédiatement l'examen des sections relatives à l'évaluation des risques, à la SBOM, à la documentation sur les paramètres secure-by-default et à l'architecture. Les résultats des tests d'intrusion parviennent trois semaines plus tard et confirment la validité des mesures correctives. L'évaluation de la conformité s'achève dans les délais prévus : le délai supplémentaire de trois semaines a pu être compensé grâce au fait que les évaluateurs ont travaillé en parallèle sur d'autres sections.

Jan est soulagé : « La date de livraison est maintenue. Et nous n’avons pas lésiné sur la qualité du dossier. » Sophie ajoute les commentaires de l’évaluateur à la bibliothèque interne de conformité : « Ils ont apprécié la transparence concernant le test d’intrusion en cours. Mieux vaut être clair sur ce que l’on n’a pas encore que de prétendre le contraire. »

Jan Mulder
Jan Mulder — Vice-président de l'ingénierie
« La date de livraison est maintenue. Et nous n’avons pas lésiné sur la qualité du produit. »
--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Neutral

Un ancien test, un nouveau contexte

Vous soumettez le rapport de test d'intrusion datant de 14 mois. L'évaluateur du BSI note : « Ce test a été réalisé sur la version 3.0 du micrologiciel. Le périmètre exclut la configuration BLE — précisément la surface d'attaque qui a été exploitée il y a quatre semaines. Une nouvelle vulnérabilité a été découverte et corrigée dans la version 3.2. Je ne peux pas utiliser un test d'intrusion antérieur à la découverte de la vulnérabilité comme preuve de conformité postérieure à celle-ci. »

L'évaluateur demande les nouveaux résultats des tests de pénétration avant de poursuivre. L'évaluation de la conformité n'est pas rejetée ; elle est simplement suspendue au niveau de la section consacrée aux tests. Les autres sections se poursuivent. Retard total : deux semaines de plus que le calendrier initial.

--:--:-- ORANGE CRA-02 : Sécurisé par défaut
Fil d'actualité
Le point sur la situation
Outcome: Negative

Soumission tardive

Vous repoussez tout de trois semaines. Le dossier technique est complet au moment de sa soumission : chaque section est définitive, chaque test est à jour. Mais la date de livraison de la version 4.0 a désormais été repoussée de trois semaines.

Jan est frustré : « Nous aurions pu soumettre les parties qui étaient prêtes et les laisser les examiner en parallèle. À présent, nous avons perdu trois semaines de chiffre d’affaires parce que nous avons attendu la perfection. » Sophie abonde dans son sens : « Une soumission par étapes, avec des lacunes clairement identifiées, est une pratique courante dans le cadre des missions des organismes notifiés. Ils ont l’habitude d’examiner les différentes parties en parallèle. Ce retard était tout à fait inutile. »

L'évaluation de la conformité en elle-même n'a pris que deux semaines — le dossier était complet. Mais la durée totale du processus est désormais de cinq semaines plus longue que celle qu'aurait nécessité l'approche parallèle.

Regulatory Reference
Collaboration avec les organismes notifiés
Les interventions des organismes notifiés ne sont pas des examens de type « réussite/échec » : il s'agit d'évaluations collaboratives. Les évaluateurs s'attendent à des soumissions par étapes et à un travail mené en parallèle sur l'ensemble des sections. La transparence concernant les livrables en cours (tels que les résultats des tests d'intrusion) est une pratique courante et ne constitue pas un signe de non-conformité. Attendre la perfection avant de s'engager fait perdre un temps que les deux parties pourraient mettre à profit de manière productive. L'objectif est de démontrer la conformité, et non de prouver que vous êtes capable de produire un document parfait en une seule soumission.
Jan Mulder
Jan Mulder — Vice-président de l'ingénierie
« Nous aurions pu soumettre les parties qui étaient prêtes et les faire examiner en parallèle. À présent, nous avons perdu trois semaines de chiffre d’affaires parce que nous avons attendu la perfection. »
--:--:-- VERT CRA-02 : Sécurisé par défaut
Fil d'actualité
Activité

Annexe VII — Constitution du dossier technique

Partie d'entraînement — non comptabilisée. Votre score est déterminé par ces trois décisions.

Semaine 6

Conformément à l'annexe VII, le dossier technique doit comporter six sections obligatoires. Veuillez constituer le dossier en sélectionnant, pour chaque section, la clause appropriée parmi les options proposées. Toute combinaison erronée entraînera un échec de la validation : l'organisme notifié n'acceptera pas un dossier comportant des sections manquantes ou non conformes.

--:--:-- VERT CRA-02 : Sécurisé par défaut
Fil d'actualité
Évaluation des connaissances

Avant de consulter vos résultats, voici quatre questions concernant la CRA. Veuillez choisir une réponse par question.