Score
0 / 80 pts
CRA-04 — Loi européenne sur la cyber-résilience

Sous le feu des projecteurs

L'autorité de surveillance du marché est là. Vous avez cinq jours pour prouver que tout ce que vous avez mis en place fonctionne bel et bien.

NIVEAU DE MENACE : VERT

Vous êtes le PDG de Kastos IoT. Il y a huit mois, une vulnérabilité du K400 a déclenché votre première intervention en cas d’incident CRA. Depuis lors, votre équipe a reconstitué la SBOM, produit un dossier technique conforme aux exigences CRA, géré la divulgation d’un chercheur, défini une période de support de 7 ans et mis en place un programme de conformité de la chaîne d’approvisionnement. Aujourd'hui, l'autorité de surveillance du marché néerlandaise — la RDI — est là pour vérifier tout cela. Il ne s'agit pas d'une mesure punitive. C'est la première vague d'inspections de surveillance du marché CRA à l'échelle de l'UE. Les inspecteurs sont professionnels et minutieux. Ils disposent de 5 jours. Vous avez tout à prouver.

  • Kastos IoT — 340 employees, €62M revenue, HQ Rotterdam
  • K400 : Produit important de classe I. Évaluation de la conformité par BSI Netherlands
  • Module 1 : Vulnérabilité « zero-day » — Signalée à l'ENISA, corrigée, résolue
  • Module 2 : Dossier technique refait pour la CRA. Version 4.0 livrée avec certificat de conformité
  • Module 3 : Audit de la chaîne d'approvisionnement terminé. La pile BLE a fait l'objet d'un fork en interne
  • Inspection RDI : 5 jours. Inspectrice en chef : Dr. Elise Bakker
Présentation de la mission

Comment ça marche

Il s'agit d'un scénario de type « choisissez votre propre aventure ». Vous prendrez les décisions concrètes auxquelles un PDG est confronté lors d'une inspection de surveillance du marché — et vos choix détermineront si le rapport de RDI sera élogieux ou critique.

Trois décisions

Chaque décision fait l'objet d'une notation. La manière dont vous formulez la question relative à l'organe de gestion, la correction de la classification et les conclusions concernant la SBOM déterminent votre évaluation finale.

Assemblage des documents

Choisissez les bons documents à présenter parmi ceux de votre base de données. Certains sont à jour, d'autres sont des pièges obsolètes.

Entretien sur le grill

Quatre questions de gestion posées par l'inspecteur principal. Répondez-y vous-même ou remettez-les à plus tard — les deux options peuvent être justes ou fausses.

Classement des constats

Classez les quatre constatations de l'inspecteur par ordre de gravité. Votre classement permet de déterminer si la direction est en mesure de hiérarchiser correctement les risques liés à la conformité.

--:--:-- VERT CRA-04 : Sous la loupe
Réunion d'information du personnel

Dans la pièce

Vous incarnez Hendrik van Dijk, PDG de Kastos. Voici les personnes que vous devrez suivre et gérer au cours de ces cinq jours d’inspection. L’une d’entre elles cherche à vous piéger. Les autres s’efforcent de vous aider à tenir le coup.

Dr. Elise Bakker
Dr. Elise Bakker
Inspectrice principale, RDI Pays-Bas
Il a vu tous les cas de non-conformité imaginables. C'est un vrai pro. Il n'est pas impressionné par les effets de scène.
Sophie Laurent
Sophie Laurent
Responsable des affaires juridiques et réglementaires
Elle s’est préparée à cette inspection pendant trois mois. Elle sait exactement ce qu’elle peut dire et ce qu’elle ne peut pas dire.
Leah Voss
Leah Voss
Responsable de la sécurité produit
Il est responsable du processus PSIRT et de la SBOM. Il constitue le pilier technique de cette inspection.
Jan Mulder
Jan Mulder
Vice-président de l'ingénierie
Sous pression. D'une grande maîtrise technique. Pas vraiment connu pour sa patience dans les situations officielles.
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation

Jour 1 — Réunion d'ouverture

Mardi, 9 h 00 (heure d'Europe centrale)

Le Dr Bakker et son équipe arrivent. Deux inspecteurs du RDI, un évaluateur technique. Elle commence par un aperçu structuré : « Monsieur van Dijk, merci d’avoir accepté cette inspection. Nous sommes ici en vertu des articles 52 à 58 de la Loi européenne sur la cyber-résilience. Il s’agit d’une inspection de surveillance du marché de routine — la première vague à l’échelle de l’UE. Nous évaluons la conformité du K400 aux exigences essentielles de la CRA, votre évaluation de la conformité et vos obligations en cours en tant que fabricant. »

Elle présente le programme de cinq jours : Jour 1 — aperçu général et examen de la documentation. Jour 2 — analyse technique approfondie (SBOM, processus de gestion des vulnérabilités, tests de sécurité). Jour 3 — devoir de diligence concernant la chaîne d'approvisionnement et les composants. Jour 4 — entretiens avec le personnel clé. Jour 5 — conclusions et évaluation préliminaire.

Sa première question s'adresse directement à vous : « Pouvez-vous décrire, avec vos propres mots, ce que la CRA exige de Kastos en tant que fabricant du K400 ? »

Dr. Elise Bakker
Dr. Elise Bakker — Inspectrice en chef, RDI
Je ne vous demande pas de me réciter le texte de la loi. Je veux savoir si l'organe de direction — c'est-à-dire vous-même — comprend le cadre réglementaire dans lequel votre entreprise évolue. Quelles sont les exigences de la CRA à l'égard de Kastos ?
OF
OPS FEED — Flux d'informations sur la situation
[09 h 05] INSPECTION — Début du Jour 1. Responsable : Dr. Elise Bakker, RDI. Objet : conformité aux exigences CRA, gamme de produits K400. Durée : 5 jours.
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Une décision s'impose

La question de l'organe de direction

Le Dr Bakker souhaite connaître VOTRE compréhension de la CRA — pas celle de Sophie, ni celle de Leah. Elle cherche à déterminer si le PDG comprend réellement le cadre réglementaire. Comment réagissez-vous ?

--:--:-- VERT CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Positive

Le PDG comprend le cadre

Vous intervenez pendant 3 minutes. Vous décrivez les exigences essentielles de la CRA avec vos propres mots — sans citer d’articles, mais en expliquant ce qu’elles impliquent pour Kastos. Vous évoquez le « zero-day » comme un signal d’alarme. Vous présentez la refonte du dossier technique, l’engagement concernant la période de support et le programme de chaîne d’approvisionnement. Vous faites preuve d’honnêteté quant aux lacunes identifiées et aux corrections apportées.

Le Dr Bakker prend des notes. Une fois que vous avez terminé, elle dit : « Merci. Vous avez clairement exposé vos obligations. J’apprécie votre franchise concernant la correction de classification — nous en discuterons plus en détail. Pour l’instant, je suis convaincue que l’organe de direction a une bonne compréhension du cadre de la CRA. »

Sophie vous fait un petit signe de tête. C'est un bon début.

Regulatory Reference
Responsabilité du CRA et de l'organe de direction
La CRA impose des obligations au fabricant, c'est-à-dire à l'entité juridique qui met le produit sur le marché. Les autorités de surveillance du marché évaluent si l'organe de direction comprend et supervise ces obligations. Un PDG capable d'expliquer le cadre réglementaire en termes concrets démontre que la conformité est ancrée au sein de la direction de l'organisation, et non confiée à une équipe chargée de la conformité.
Dr. Elise Bakker
Dre Elise Bakker — Inspectrice principale, RDI
« Merci. Cela résume clairement vos obligations. J’apprécie votre franchise concernant la correction de classification. Pour l’instant, je suis convaincu que l’organe de direction a une bonne compréhension du cadre de l’ARC. »
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Neutral

Renvoyé au service juridique

Sophie présente un résumé précis de deux minutes des exigences de la CRA. Vous poursuivez en replaçant cela dans son contexte opérationnel : « À mon sens, le changement le plus important a été de passer d'une approche axée sur la certification du matériel à une obligation permanente en matière de sécurité des logiciels. »

Le Dr Bakker ajoute : « Merci, Madame Laurent. Monsieur van Dijk, j’apprécie votre point de vue opérationnel. Je tiens à préciser que lorsque je demande à l’organe de direction de décrire le cadre réglementaire, c’est votre interprétation personnelle qui m’intéresse tout particulièrement. Les inspecteurs s’entretiendront séparément avec votre équipe juridique. Pour l’évaluation de l’organe de direction, j’ai besoin d’entendre votre point de vue directement. »

Elle est polie, mais le message est clair : le PDG ne devrait pas avoir besoin que l'avocat lui explique les obligations réglementaires de l'entreprise.

Dr. Elise Bakker
Dre Elise Bakker — Inspectrice principale, RDI
« Lorsque je demande à la direction de décrire le cadre réglementaire, ce qui m’intéresse particulièrement, c’est votre interprétation personnelle. Les inspecteurs s’entretiendront séparément avec votre service juridique. »
--:--:-- ROUGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Negative

Réalisations sans cadre

Vous passez quatre minutes à présenter les mesures prises par Kastos en matière de conformité. Le Dr Bakker vous écoute, puis déclare : « Monsieur van Dijk, ces mesures opérationnelles sont impressionnantes. Mais je vous ai demandé ce que la CRA exigeait de Kastos — le cadre réglementaire, pas les mesures concrètes. Les mesures sont la preuve de la conformité. Je dois savoir si l’organe de direction sait à quelles exigences il doit se conformer. Pouvez-vous décrire les exigences essentielles ? »

La question tombe. Vous réalisez que vous avez parlé de ce qu’a fait Kastos, et non de pourquoi. Sophie se penche vers vous avec une note : « Annexe I — exigences essentielles en matière de cybersécurité. Article 13 — obligations du fabricant. Article 14 — déclaration. » Vous vous reprenez, mais les inspecteurs ont noté que la compréhension du PDG est d’ordre opérationnel plutôt que réglementaire.

Dr Bakker : « Continuons. Nous pourrons y revenir lors de l'entretien de suivi prévu le quatrième jour. »

Sophie Laurent
Sophie Laurent — Responsable des affaires juridiques et réglementaires
« Annexe I — Exigences essentielles en matière de cybersécurité. Article 13 — Obligations du fabricant. Article 14 — Déclaration. » [ajouté en note]
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation

Jour 1 — La question de la classification

Mardi, 14 h 00 (heure d'Europe centrale)

Le Dr Bakker aborde la question de la classification du produit K400. Son équipe a examiné les documents publics : à l'origine, Kastos avait classé le K400 dans la catégorie par défaut et lui avait apposé le marquage CE en conséquence. Le produit est désormais classé dans la classe I importante et dispose d'un certificat de conformité délivré par l'organisme notifié BSI Netherlands.

Elle demande : « Le K400 était initialement classé dans la catégorie par défaut. Il est désormais classé dans la catégorie importante de classe I. Pourriez-vous m'expliquer ce qui s'est passé et à quel moment ce reclassement a eu lieu ? »

C'est là l'héritage du Module 1 : la question de la classification soulevée par Sophie lors de la réponse à la faille « zero-day ». La manière dont vous gérez cette situation aujourd'hui déterminera si les inspecteurs verront une entreprise qui a corrigé une erreur commise de bonne foi ou une entreprise qui a commercialisé des produits non conformes et s'est fait prendre.

Sophie Laurent
SOPHIE LAURENT — Responsable des affaires juridiques et réglementaires [à voix basse]
Commencez par la rectification. Expliquez ce qui s'est passé, à quel moment nous avons identifié l'erreur et quelles mesures nous avons prises pour y remédier. Ne minimisez pas l'erreur initiale : assumez-la. C'est la rectification qui est au cœur du récit, pas l'erreur.
OF
OPS FEED — Flux d'informations sur la situation
[14 h 00] INSPECTION — Révision de la classification. Classement initial : par défaut (auto-évaluation). Classement actuel : Classe I (BSI Pays-Bas).
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Une décision s'impose

Explication de la reclassification

L'inspecteur vous interroge sur le changement de classification du K400 — passant de la catégorie par défaut (auto-évaluation) à la classe I importante (organisme notifié). Comment présentez-vous cela ?

--:--:-- VERT CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Positive

Une transparence totale

Vous passez en revue le calendrier : auto-évaluation initiale en septembre 2027, examen par Sophie en octobre 2027 dans le cadre de la réponse aux vulnérabilités, intervention de BSI Netherlands en novembre, délivrance du certificat de conformité en janvier 2028. Vous tenez compte de la suspension des expéditions et des coûts associés (évaluation de 62 000 €, 6 semaines de suspension des ventes).

Dr Bakker : « Merci pour votre franchise. Corriger soi-même une erreur de classification avant que des mesures coercitives ne soient prises, c’est exactement ce que nous souhaitons voir. Le fait que vous l’ayez identifiée lors d’une intervention en cas d’incident — plutôt que d’attendre que nous la découvrions — démontre que votre processus de contrôle interne fonctionne. Je noterai cela comme un élément positif. »

Elle ajoute : « Pour mémoire, nous aurions de toute façon identifié ce problème lors de l'examen d'aujourd'hui. Mais le fait de le trouver consigné dans votre propre chronologie des mesures d'intervention, avec une correction déjà mise en place, modifie considérablement la nature de ce constat. »

Dr. Elise Bakker
Dre Elise Bakker — Inspectrice principale, RDI
« Corriger soi-même une erreur de classification avant qu’une mesure coercitive ne soit prise, c’est exactement ce que nous souhaitons voir. Le fait que vous l’ayez identifiée lors d’une intervention en cas d’incident démontre que votre processus d’examen interne fonctionne. Je noterai cela comme un élément positif. »
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Neutral

Priorités actuelles de l'État

Vous présentez le certificat BSI ainsi que la classification actuelle « Important Class I ». Le Dr Bakker examine les documents, puis demande : « Quand le K400 a-t-il été mis sur le marché de l'UE pour la première fois, et sous quelle classification était-il commercialisé à l'époque ? »

La question suivante était inévitable. Vous expliquez la classification initiale par défaut. Elle demande : « Y a-t-il eu une période pendant laquelle le K400 a été commercialisé sous une classification erronée ? » Vous confirmez que oui — environ six semaines entre la date de dépôt de la demande complète auprès de la CRA et la reclassification.

Le Dr Bakker consigne ceci dans son rapport : « La correction a été apportée en temps opportun et la situation actuelle est conforme. Je dois toutefois signaler que le produit a été mis sur le marché sur la base d'une évaluation de la conformité erronée pendant environ six semaines. Il s'agit d'un constat historique, et non d'une non-conformité actuelle — mais cela figurera dans le rapport. »

Sophie fait remarquer en privé : « Si nous avions commencé par lui raconter toute l'histoire, elle aurait constaté d'elle-même l'erreur. À présent, elle voit une erreur qu'elle a dû découvrir par elle-même. »

Sophie Laurent
Sophie Laurent — Responsable des affaires juridiques et réglementaires
« Si nous avions commencé par lui raconter toute l’histoire, elle aurait vu d’elle-même où elle s’était trompée. À présent, elle constate une erreur qu’elle a dû découvrir par elle-même. »
--:--:-- ROUGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Negative

La défensive se retourne contre soi

Vous affirmez que la classification initiale était défendable. Le visage du Dr Bakker reste impassible, mais elle demande : « Si la classification initiale était défendable, pourquoi l’avez-vous modifiée ? Et pourquoi avez-vous fait appel à un organisme notifié ? »

Le raisonnement ne tient pas la route. Si la classification initiale était correcte, il n’y avait pas lieu de la modifier. Si vous l’avez modifiée, c’est que la classification initiale était erronée. On ne peut pas avoir le beurre et l'argent du beurre. Sophie intervient : « Pour être claire, Dr Bakker, nous avons identifié l'erreur de classification lors d'un examen interne en octobre 2027 et avons pris des mesures correctives. M. van Dijk fait remarquer que les directives réglementaires n'étaient pas aussi claires qu'elles auraient pu l'être à l'époque. »

Dr Bakker : « Je vous remercie pour cette précision. Pour mémoire : le K400 gère l’accès physique aux locaux via des systèmes connectés au réseau. Il relève clairement de la classe d’importance I. L’auto-évaluation n’était pas conforme. Je constate que la correction a été apportée, mais je note également que l’organe de direction l’avait initialement qualifiée de justifiable plutôt que de reconnaître l’erreur. Cela sera mentionné dans la section du rapport consacrée à la supervision de la direction. »

Regulatory Reference
Articles 52 à 58 de la CRA — Surveillance du marché
Les autorités de surveillance du marché évaluent non seulement la conformité actuelle du produit, mais aussi les antécédents du fabricant, notamment la manière dont les erreurs ont été identifiées et corrigées. Le fait de corriger les problèmes de sa propre initiative avant toute intervention des autorités est considéré comme un atout. Tenter de justifier une non-conformité a posteriori nuit à la crédibilité. Les inspecteurs sont formés pour faire la distinction entre les erreurs commises de bonne foi (corrigées de manière proactive) et les attitudes défensives (erreurs minimisées après coup).
Sophie Laurent
Sophie Laurent — Responsable des affaires juridiques et réglementaires
« Pour être clair, Dr Bakker, nous avons identifié cette erreur de classification lors d’un examen interne en octobre 2027 et avons pris des mesures correctives. M. van Dijk fait remarquer que les directives réglementaires n’étaient pas aussi claires qu’elles auraient pu l’être à l’époque. »
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation

Jour 2 — Approfondissement technique

Mercredi, 10 h 00 (heure d'Europe centrale)

L'évaluateur technique examine la liste des composants logiciels (SBOM) du K400, les registres de gestion des vulnérabilités et les résultats des tests de sécurité. Leah présente le processus PSIRT, les registres de notification de l'ENISA et l'historique du déploiement des correctifs.

L'évaluatrice est impressionnée par la refonte de la SBOM et par la rapidité de la réponse aux vulnérabilités. Puis elle remarque quelque chose : « Votre SBOM fait état de 312 dépendances. Votre dernière version en compte 318. Six nouvelles bibliothèques ont été ajoutées lors de la version de maintenance v4.1 le mois dernier. Elles figurent dans la version, mais pas encore dans la SBOM. »

Component classv4.0v4.1
Top-level dependencies4747
Transitive dependencies265271
Security-critical (BLE, TLS, crypto)33
Diagnostic utilities (added v4.1)+6
Total dans la version de production312318
Total consigné dans la SBOM312312
Undocumented delta06

Six outils de diagnostic ont été ajoutés dans la version de maintenance v4.1. Aucune vulnérabilité CVE n'est connue. Cependant, la liste SBOM de la CRA n'est pas fondée sur les risques : elle exige une documentation complète des composants, quel que soit leur statut en matière de vulnérabilité.

Il s'agit d'une lacune dans le processus : la mise à jour de la SBOM n'a pas été intégrée à la liste de contrôle de la version 4.1. Cette anomalie est mineure (6 bibliothèques d'utilitaires, aucune vulnérabilité CVE connue), mais c'est le même type de lacune qui a posé problème dans le module 1.

Leah Voss
LEAH VOSS — Responsable de la sécurité des produits
Elle a raison. La version 4.1 a ajouté six bibliothèques pour une nouvelle fonctionnalité de diagnostic. Le pipeline de compilation les a signalées, mais la mise à jour de la SBOM a été reportée au prochain cycle de version majeur. Elle aurait dû être mise à jour avant la mise en production.
Jan Mulder
Jan Mulder — Vice-président de l'ingénierie [marmonnant]
Six bibliothèques utilitaires. Aucune incidence sur la sécurité. C'est exactement le genre de situation qui fait détester la conformité aux ingénieurs.
OF
OPS FEED — Flux d'informations sur la situation
[10 h 32] INSPECTION — Écart dans la liste SBOM : 318 dépendances dans la version compilée contre 312 dans la liste SBOM documentée. 6 bibliothèques non répertoriées dans la version 4.1.
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Activité

Réunion sur les éléments de preuve d'inspection

Partie d'entraînement — non comptabilisée. Votre score est déterminé par les trois décisions.

Mercredi, 14 h 00 (heure d'Europe centrale)

Le Dr Bakker a demandé le dossier de conformité K400. Veuillez sélectionner les documents que vous comptez présenter. Certains sont à jour, d'autres sont des versions obsolètes qui pourraient nuire à votre dossier, et d'autres encore manquent tout simplement. Si vous présentez une version erronée, l'inspecteur s'en rendra compte.

Selected: 0
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Une décision s'impose

Jour 4 — Les conclusions concernant la SBOM

Le Dr Bakker consigne officiellement cette anomalie dans la liste des éléments de la chaîne de composants (SBOM) : « 6 dépendances non documentées dans la version de production actuelle. » Elle demande : « Comment comptez-vous remédier à ce problème, et quelles mesures allez-vous prendre pour éviter qu’il ne se reproduise ? » C’est l’occasion pour vous de définir les mesures correctives à mettre en œuvre.

--:--:-- VERT CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Positive

Correction systématique

Vous vous engagez à respecter la mise à jour de la SBOM toutes les 48 heures et l'intégration CI/CD. Leah confirme : « Nous pouvons intégrer la génération de la SBOM dans le pipeline de build d'ici le prochain sprint. À chaque version, la SBOM sera automatiquement régénérée et vérifiée par rapport aux artefacts de build. Aucune intervention manuelle, aucun report possible. »

Le Dr Bakker fait remarquer : « Très bien. C'est exactement le genre de réponse systémique que j'attends. Le constat en lui-même est mineur — six bibliothèques d'utilitaires. Mais la tendance — la dérive de la SBOM d'une version à l'autre — est la même que celle qui a causé des problèmes lors de votre incident d'octobre. Le fait que vous vous attaquiez à la cause profonde, et non pas seulement au symptôme, est positif. »

Elle ajoute : « Je consignerai cela comme une non-conformité mineure pour laquelle une mesure corrective satisfaisante a été prise. Aucune inspection de suivi n'est nécessaire pour ce point. »

Leah Voss
Leah Voss — Responsable de la sécurité produit
« Nous pourrons intégrer la génération de la SBOM dans le pipeline de compilation d’ici le prochain sprint. À chaque nouvelle version, la SBOM sera automatiquement régénérée et vérifiée par rapport aux artefacts de compilation. Aucune intervention manuelle, aucun report possible. »
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Neutral

Solution rapide lors de l'inspection

Votre équipe met à jour la SBOM pendant la nuit. Au cinquième jour, le document fait état de 318 dépendances, toutes vérifiées. Vous ajoutez la « vérification de la SBOM » à la liste de contrôle de la mise en production.

Dr Bakker : « Merci pour cette mise à jour rapide. L'ajout de la liste de contrôle constitue une première étape raisonnable. Je vous encourage à envisager la mise en place d'une vérification automatisée dans votre pipeline de compilation — les listes de contrôle manuelles fonctionnent tant que personne n'est pressée par le temps. Je noterai cela comme un point mineur, pour lequel des mesures correctives sont en cours. »

Cette constatation figure dans le rapport sous la mention « non-conformité mineure, corrigée lors de l'inspection ». Ce n'est pas l'idéal, mais cela n'a pas de conséquences graves.

Dr. Elise Bakker
Dre Elise Bakker — Inspectrice principale, RDI
« Merci pour cette mise à jour rapide. L’ajout d’une liste de contrôle constitue une première étape judicieuse. Je vous encourage à envisager la mise en place d’une vérification automatisée dans votre pipeline de compilation — les listes de contrôle manuelles fonctionnent tant que personne n’est pressé. »
--:--:-- ROUGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Negative

Minimiser l'importance de cette conclusion

Vous expliquez les raisons qui motivent cette hiérarchisation des priorités. Le Dr Bakker écoute, puis répond : « Monsieur van Dijk, je comprends que ces bibliothèques ne présentent pas, à elles seules, un risque élevé. Mais l’exigence de la CRA concernant la SBOM n’est pas fondée sur le risque : elle impose la documentation de tous les composants. La SBOM constitue le fondement de votre capacité de gestion des vulnérabilités. Si 6 dépendances manquent, vous ne pouvez pas les surveiller pour détecter les CVE, vous ne pouvez pas les inclure dans les évaluations des risques, et vous ne pouvez pas fournir d’informations précises à l’ENISA si une vulnérabilité est détectée. »

Elle continue : « Je constate également qu’il s’agit là du même écart de documentation qui avait affecté votre SBOM lors de l’incident d’octobre 2027 — 7 divergences à l’époque, 6 aujourd’hui. Cette tendance suggère que la correction apportée au processus dans le cadre du Module 1 n’a pas été pleinement mise en œuvre. Je noterai cela comme un constat récurrent. »

Jan fixe la table du regard. Une « constatation récurrente » de la part d'une autorité de surveillance du marché est bien plus grave qu'une première infraction mineure.

Regulatory Reference
Annexe VII de la CRA — La SBOM en tant que document évolutif
La CRA exige que la liste des composants logiciels (SBOM) soit exacte et à jour. Il ne s'agit pas d'un instantané à un moment donné, mais d'un document évolutif qui doit être mis à jour à chaque nouvelle version du produit. Une SBOM qui ne reflète pas la version de production actuelle n'est pas conforme, que les composants manquants présentent ou non des vulnérabilités connues. L'objectif de la SBOM ne se limite pas au suivi des vulnérabilités : elle sert à prouver que le fabricant connaît la composition exacte de son produit.
Dr. Elise Bakker
Dre Elise Bakker — Inspectrice principale, RDI
« Cette tendance semble indiquer que la mesure corrective prévue dans le module 1 n’a pas été pleinement mise en œuvre. Je vais noter cela comme un problème récurrent. »
--:--:-- ROUGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation

Jour 3 — Découverte imprévue

Jeudi, 11 h 20 (heure d'Europe centrale)

L'évaluatrice technique a procédé à un audit de votre registre de déploiements à distance. Elle a découvert un élément inattendu : un seul panneau K400 déployé au Lessing-Gymnasium de Düsseldorf fonctionne avec la version 3.2 du micrologiciel — celle qui présente la vulnérabilité datant d'octobre 2027. Il n'a jamais été mis à jour.

D'après vos dossiers, l'établissement a accepté le correctif OTA. Le panneau n'a jamais été installé. Le prestataire informatique de l'établissement a désactivé les mises à jour sortantes sur le sous-réseau du contrôleur du bâtiment il y a six mois — une modification du réseau dont Kastos n'a jamais été informé. Le panneau vulnérable se trouve au fond d'un couloir de service peu fréquenté.

Avant même que vous n'ayez le temps de répondre, Jan perd son sang-froid.

Jan Mulder
Jan Mulder — Vice-président de l'ingénierie [d'une voix forte, à l'intention de Bakker]
Vous êtes sérieux ? Un seul panneau. Dans un couloir de service. Dans une école. Personne ne va s'en prendre à lui. C'est exactement le genre d'absurdité bureaucratique qui pousse les ingénieurs à quitter les équipes chargées de la conformité.

L'expression de Mme Bakker reste impassible. Elle prend une note. Le silence règne dans la pièce.

Sophie Laurent
SOPHIE LAURENT — Responsable du service juridique [à voix basse, d'un ton pressant]
Hendrik, deux choses à la fois. Le panneau de Düsseldorf constitue un nouveau déclencheur de notification au titre de l'Article 14 : un micrologiciel v3.2 activement exploitable, déployé et non corrigé. Et Jan vient de signaler le problème à un inspecteur. Vous devez vous occuper des deux, dans cet ordre.
OF
OPS FEED — Flux d'informations sur la situation
[11 h 23] DÉCOUVERTE — K400 SN-K4-08812, Lycée Lessing de Düsseldorf. Micrologiciel v3.2 (AVANT MISE À JOUR). Dernier contact il y a 184 jours. Mise à jour jamais installée.
--:--:-- ROUGE CRA-04 : Sous la loupe
Fil d'actualité
Une décision s'impose

Deux incendies à la fois

Un panneau de version 3.2 non mis à jour vient d'apparaître devant l'inspectrice. Votre vice-présidente de l'ingénierie vient de lui répondre sèchement dans la salle de réunion. Comment réagissez-vous — face à ces deux situations, à cet instant précis ?

--:--:-- VERT CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Positive

Les deux incendies ont été maîtrisés

Vous vous adressez d'abord à Jan. « Jan, le contexte de déploiement est bien réel. Un panneau installé dans le couloir d'une école ne présente pas le même profil de risque qu'un autre installé dans le hall d'une banque. Vous avez raison sur ce point. Cela ne change rien non plus à notre obligation au titre de l’Article 14. Nous avons une version 3.2 non corrigée en service. Nous signalons le problème. Nous procédons à un rappel. Nous cherchons à comprendre comment le client a désactivé notre chemin de mise à jour. » Jan expire. Il ne conteste pas. Il acquiesce.

Vous vous tournez vers Bakker. « Docteur Bakker, nous allons déposer aujourd’hui une nouvelle notification d’alerte précoce auprès de l’ENISA. Nous présenterons un plan de remédiation au comité de Düsseldorf d’ici 48 heures et réaliserons un audit à l’échelle de la flotte pour détecter d’éventuels problèmes similaires liés aux chemins de mise à jour dans un délai de deux semaines. Je comprends que cela risque de prolonger votre inspection. »

Bakker prend le temps de réfléchir longuement. « Merci, M. van Dijk. Je noterai deux points dans le rapport. Premièrement : la constatation de Düsseldorf est importante, mais la réaction a été exemplaire. Deuxièmement : la prise de décision managériale à laquelle nous venons d’assister. Qu’un vice-président de l’ingénierie exprime sa frustration, c’est humain. Qu’un PDG corrige le cap en temps réel sans dénigrer son équipe, c’est faire preuve de leadership. Cela ira dans la section consacrée à la supervision managériale, en note positive. »

Regulatory Reference
Article 14 de la CRA — Une prise de conscience renouvelée entraîne de nouvelles obligations
Le délai de notification de 24 heures ne s'applique pas une seule fois lors de la divulgation initiale. Chaque nouvelle prise de connaissance d'un produit déployé et susceptible d'être exploité donne lieu à une nouvelle obligation au titre de l'Article 14. Un déploiement que l'on croyait corrigé mais qui ne l'est pas — découvert à la suite d'un audit, d'un signalement d'un client ou d'une analyse effectuée par un tiers — constitue un nouveau motif de notification.
Dr. Elise Bakker
Dre Elise Bakker — Inspectrice principale, RDI
« Qu'un vice-président de l'ingénierie exprime sa frustration, c'est humain. Qu'un PDG corrige le tir en temps réel sans dénigrer son équipe, c'est faire preuve de leadership. Cela relève clairement, de manière positive, de la supervision managériale. »
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Neutral

Réinitialiser et revenir

Vous demandez à Mme Bakker une pause de 30 minutes. Elle accepte sans faire de commentaire. Vous emmenez Jan dans votre bureau. Il s'excuse avant même que vous n'ayez eu le temps de parler. « Je n'aurais pas dû dire ça devant elle. Je le sais. » Vous acquiescez brièvement, puis vous passez aux choses sérieuses : il faut envoyer une notification au comité de Düsseldorf, le bloc de mise à jour côté client doit faire l'objet d'une analyse, et l'inspection est prolongée.

Vous revenez à 11 h 55. Vous transmettez la nouvelle notification à l'ENISA avant la fin de la journée. Bakker consigne l'incident de la matinée dans ses notes : l'éclat, la pause, le retour à la normale. Son compte rendu du cinquième jour contient une phrase à laquelle vous ne vous attendiez pas : « L'organe de direction a identifié un moment difficile et a décidé de le traiter en privé. C'était la bonne décision. J'aurais préféré ne pas avoir besoin d'une pause pour parvenir à ce résultat, mais la réaction a été judicieuse. »

Bilan : ni néfaste, ni exemplaire. Cette rupture est officielle.

Dr. Elise Bakker
Dre Elise Bakker — Inspectrice principale, RDI
« L'organe de direction a pris conscience de la situation difficile et a suspendu la séance. C'était la bonne décision. J'aurais préféré qu'il ne soit pas nécessaire de suspendre la séance pour parvenir à ce résultat, mais la réaction a été judicieuse. »
--:--:-- ROUGE CRA-04 : Sous la loupe
Fil d'actualité
Le point sur la situation
Outcome: Negative

Défendre la mauvaise colline

Vous prenez le parti de Jan. Vous expliquez l'emplacement du couloir, la modification du réseau côté client et l'absence de tout élément prouvant que le panneau ait été attaqué. Vous faites valoir qu'il s'agit d'informations destinées au client et non d'un événement nécessitant une notification à la CRA.

Mme Bakker écoute. Une fois que vous avez terminé, elle déclare : « Monsieur van Dijk, je comprends votre point de vue opérationnel. Voici maintenant le point de vue réglementaire. Vous disposez d’un produit déployé fonctionnant avec un micrologiciel présentant une vulnérabilité activement exploitable et rendue publique. La réduction des risques offerte par l’emplacement physique du panneau ne relève pas du seuil prévu à l’Article 14. Le fait que votre client ait désactivé les mises à jour OTA constitue un constat concernant votre processus de gestion des mises à jour — et non un moyen de défense. »

Elle continue : « Je tiens à souligner trois points. Le constat de Düsseldorf constitue désormais un manquement grave, et non plus une simple observation d'audit. Le PDG n'a pas contesté la formulation choisie par votre vice-président de l'ingénierie, ce que j'interprète comme reflétant la position de la direction. Et la succession de problèmes — dérive de la SBOM, correction de classification, et désormais une version 3.2 non corrigée en service — fait passer cette inspection du statut de routine à celui de contrôle renforcé. Nous allons élargir notre champ d'action. »

Jan fixe la table. Sophie a cessé d'écrire.

Regulatory Reference
Article 14 de la CRA + Limites des obligations du fabricant
Les fabricants ne peuvent pas se décharger de leurs obligations au titre de la CRA sur les clients en invoquant la configuration réseau de ces derniers. Si la politique réseau d’un client bloque les mises à jour de sécurité, le fabricant a pour obligation d’en prendre connaissance, de signaler ce risque et de proposer une solution — et non de considérer cela comme un problème relevant de la responsabilité du client. L’argument selon lequel « nous avons essayé de déployer la mise à jour » n’est pas valable au regard de la CRA.
Dr. Elise Bakker
Dre Elise Bakker — Inspectrice principale, RDI
« La succession d’événements — dérive de la SBOM, correction de la classification, et maintenant une version 3.2 non corrigée en circulation — fait passer cette inspection du statut de routine à celui de contrôle renforcé. Nous allons élargir notre champ d’action. »
--:--:-- ORANGE CRA-04 : Sous la loupe
Fil d'actualité
Activité

Jour 4 — Entretien avec la direction

Partie d'entraînement — non comptabilisée. Votre score est déterminé par les trois décisions.

Vendredi, 9 h 00 (heure d'Europe centrale)

La dernière étape de l'entretien avec le Dr Bakker est l'entretien de gestion. Elle pose quatre questions approfondies. Pour chacune d'entre elles, choisissez la réponse qui témoigne d'une véritable maîtrise de la gestion — et non pas simplement d'un discours bien rodé.

--:--:-- VERT CRA-04 : Sous la loupe
Fil d'actualité
Activité

Jour 5 — Conclusions de l'inspection

Partie d'entraînement — non comptabilisée. Votre score est déterminé par les trois décisions.

Vendredi, 14 h 00 (heure d'Europe centrale)

Le Dr Bakker présente quatre constatations issues de l'inspection. Classez-les par ordre de gravité (1 = le plus grave, 4 = le moins grave). Votre classement détermine la priorité des mesures correctives pour Kastos — et indique à l'inspecteur si la direction est en mesure de hiérarchiser correctement les risques liés à la conformité.

--:--:-- VERT CRA-04 : Sous la loupe
Fil d'actualité
Évaluation des connaissances

Avant de consulter vos résultats, voici quatre questions concernant la CRA. Veuillez choisir une réponse par question.