CRA européen
Comment Scrydon prend en charge le règlement européen sur la cyber-résilience (CRA) — exigences de sécurité pour les produits numériques mis sur le marché européen.
Le règlement européen sur la cyber-résilience (règlement 2024/2847) impose des exigences en matière de cybersécurité aux fabricants de « produits comportant des éléments numériques » vendus dans l'UE. Il entre en vigueur par étapes, avec une application complète à partir de décembre 2027.
Cette page couvre ce que le CRA exige d'une plateforme comme Scrydon et comment la plateforme soutient votre mise en conformité.
Qui est concerné
Le CRA s'applique aux fabricants qui mettent des produits numériques sur le marché européen. Pour Scrydon :
- Scrydon (le fournisseur) est le fabricant de la plateforme. Scrydon est responsable de la conformité CRA de la plateforme.
- Vous (le déployeur) n'êtes pas le fabricant de Scrydon. Vous pouvez être le fabricant de vos propres produits construits sur Scrydon (p. ex. un chatbot proposé à des utilisateurs finaux européens) — auquel cas le CRA s'applique également à votre produit.
Posture CRA de Scrydon
Scrydon prend les mesures suivantes en matière de CRA :
| Exigence CRA | Mesure Scrydon |
|---|---|
| Annexe I.1.1(a) — Sécurité par conception | Autorisation, mTLS, durcissement de l'ingress, gestion des secrets, audit — tous activés par défaut. |
| Annexe I.1.2(a) — Gestion des vulnérabilités | Programme de divulgation coordonnée des vulnérabilités + avis signés. |
| Annexe I.1.2(b) — Mises à jour de sécurité | Mises à jour mineures trimestrielles avec correctifs de sécurité ; correctifs d'urgence si nécessaire. |
| Annexe I.1.2(c) — Configuration sécurisée par défaut | Tout le durcissement est activé par défaut ; le désactiver nécessite une désactivation explicite. |
| Annexe I.1.2(g) — Authentification | mTLS en interne, SSO + SCIM en externe. |
| Annexe I.1.2(h) — Intégrité | Charts Helm signés, images signées, SBOM à chaque version. |
| Annexe I.1.2(j) — Journalisation | Journal d'audit avec événements structurés. |
| Annexe II — Information à l'utilisateur | Ce site de documentation, incluant les guides de sécurité et d'exploitation. |
| Article 11 — Signalement | Les exploits actifs et incidents graves peuvent être signalés à l'ENISA dans les 24 heures. |
Ce que cela signifie pour les déployeurs
Si vous construisez un produit réglementé par le CRA sur Scrydon (un chatbot, un portail client, un agent IA réglementé), vous héritez de la posture CRA de Scrydon pour la couche plateforme. Votre propre produit a quand même besoin de :
- Votre propre analyse de sécurité par conception.
- Votre propre programme de divulgation des vulnérabilités.
- Votre propre processus de signalement des incidents.
- Votre propre documentation produit pour les utilisateurs.
Scrydon fournit les contrôles au niveau de la plateforme ; vous les intégrez dans votre gouvernance au niveau du produit.
Chaîne d'approvisionnement
Le CRA exige des SBOM et une vérification de l'intégrité. Scrydon émet :
- Un SBOM CycloneDX pour chaque version.
- Des signatures Cosign sur chaque chart Helm et image OCI publiés.
- Un manifest de build reproductible.
Les instructions de vérification se trouvent dans Déploiement → Opérations.
Voir aussi
- Déploiement — versions signées, SBOM, vérification de l'intégrité.
- Sécurité — les mesures de sécurité par conception.
- Conformité → Gouvernance de l'IA — recoupements avec les exigences de documentation produit du CRA.