Tous les articles

Construire des produits numériques conformes au Cyber Resilience Act

Sam Katzen, Staff Product Marketing Manager

Si vous vendez des produits logiciels ou matériels intégrant des composants logiciels et destinés au marché européen, vous devez vous préparer au Cyber Resilience Act (CRA). Le CRA est une nouvelle réglementation de l’Union européenne qui entrera en vigueur en 2026 et qui relève significativement le niveau d’exigence en matière de sécurité pour tous les produits numériques du marché — y compris les applications, le matériel, les firmwares, les appareils connectés comme les wearables, et bien plus encore. Le CRA a été mis en place afin de réduire les risques posés par des acteurs malveillants qui ciblent de plus en plus la chaîne d’approvisionnement logicielle.

Le CRA impose le principe de security by design et exige la mise en œuvre de code sécurisé tout au long du cycle de vie du développement logiciel. Cela soulève une question majeure pour les équipes d’ingénierie, de plateformes et de DevOps : comment répondre aux exigences du CRA sans compromettre la vitesse de livraison ?

C’est là qu’intervient Chainguard. Chainguard partage le principe de conception « secure by default » promu par le CRA et aligne rapidement les processus de création des produits sur les exigences réglementaires. Chainguard prend en charge l’ensemble du travail lié aux vulnérabilités, aux bonnes pratiques de sécurité et aux processus de build sécurisés, éliminant une part importante du travail manuel et permettant un gain de temps considérable.

Pourquoi le CRA est important

Le CRA s’applique aux « produits comportant des éléments numériques » (Products with Digital Elements, PDE), ce qui englobe pratiquement tout ce qui exécute un logiciel. Que vous livriez un produit SaaS purement logiciel ou un appareil IoT, dès lors qu’il atteint des clients dans l’UE, le CRA s’applique. Au-delà de l’impact considérable sur la marque et la confiance en cas de non-conformité à une réglementation aussi visible, les conséquences financières sont importantes: des amendes allant de 5 à 15 millions d’euros, ou 2,5 % du chiffre d’affaires annuel mondial.

Les phases d’application débutent en 2026 et seront pleinement effectives en 2027:

  • Évaluation de conformité possible à partir du 11 juin 2026

  • Déclaration obligatoire des vulnérabilités et incidents de sécurité à partir du 11 septembre 2026

  • Application complète de toutes les exigences pour les nouveaux produits à compter du 11 décembre 2027

Le « pourquoi » du CRA explique pourquoi la réglementation cible les pratiques d’ingénierie et pas uniquement le produit final :

  • Plus de 245 000 packages open source malveillants ont été détectés en 2023

  • L’affaire SolarWinds a montré comment une seule chaîne de build compromise peut impacter des dizaines de milliers d’organisations

  • Les compromissions sur npm ont touché des milliards de téléchargements

  • Les attaques sur la chaîne d’approvisionnement assistées par l’IA augmentent rapidement en ampleur et en précision

Le CRA exige que les produits soient conçus, développés et fabriqués de manière à garantir un niveau de sécurité approprié. Pour de nombreuses organisations, cela implique de repenser la façon dont elles développent, mettent à jour, corrigent et livrent leurs logiciels.

Avant Chainguard : à quoi ressemble la conformité CRA aujourd’hui

Voici la réalité à laquelle de nombreuses équipes sont confrontées. Le chaos règne autour des images de base, car les équipes d’ingénierie utilisent souvent des images publiques non vérifiées « parce que ça fonctionne ». Les vulnérabilités s’accumulent ensuite, ces images n’ayant pas été conçues avec des principes de sécurité en tête. Des tickets sont ouverts pour corriger ces failles, générant une charge de travail importante : identifier les problèmes, les corriger et mettre à jour les dépendances. Résultat : les délais de livraison glissent et la sécurité est fragilisée.

Pour traiter les problèmes de sécurité, fournir des informations lors d’audits ou, surtout après un incident, les équipes se retrouvent à mener en urgence des analyses de risques et des recherches de causes racines. Les correctifs critiques de CVE donnent souvent lieu à des builds incohérents et non reproductibles : les développeurs construisent localement, tandis que le CI produit autre chose. La provenance des composants est floue, la visibilité sur une chaîne d’approvisionnement fragmentée et peu maîtrisée est limitée, et reconstituer des SBOM a posteriori revient à tenter de recoller Humpty Dumpty.

Tout cela va à l’encontre des exigences du CRA — sans parler du fait que la vélocité des équipes d’ingénierie chute drastiquement.

Après Chainguard : des fondations sécurisées, prêtes pour le CRA, intégrées au workflow

Chainguard propose des briques secure by default — images de conteneurs durcies, machines virtuelles et bibliothèques de langages — qui permettent aux équipes de passer d’une sécurité réactive à un développement sécurisé par défaut.

Après l’adoption de Chainguard, le fonctionnement DevOps change radicalement. Au lieu de partir d’images de distribution volumineuses et non vérifiées, contenant potentiellement des centaines de vulnérabilités, vous commencez avec :

  • une image distroless sans CVE (zero-CVE)

  • un utilisateur non-root par défaut

  • aucun shell

  • aucun gestionnaire de paquets

En plus d’une base sécurisée, Chainguard assure un patching continu, avec des mises à jour quotidiennes des images et un SLA de 7 jours pour les CVE critiques. Il suffit de reconstruire votre application pour être à jour. Les builds incluent automatiquement des SBOM complètes et des attestations, sans effort supplémentaire. Chaque artefact Chainguard est livré avec une SBOM signée, une provenance connue et un versionnement immuable.

Cela permet de satisfaire immédiatement plusieurs exigences de l’Annexe I du CRA. Lorsque les régulateurs ou les équipes sécurité demandent: « D’où cela vient-il ? », vous avez la réponse.

Exigences du CRA

Contribution de Chainguard

Impact pour l’ingénierie

Aucune vulnérabilité exploitable connue

Images zero-CVE

Élimination du besoin de patcher et de tracer les dépendances

Configuration sécurisée par défaut

Artefacts durcis appliquant le principe du moindre privilège

Pas de scripts de durcissement personnalisés; assurance que tous les conteneurs sont conformes

Remédiation des vulnérabilités

Mises à jour quotidiennes + SLA de 7 jours pour les correctifs critiques

Pas de patching ad hoc; corrections effectuées dans les délais

Fourniture de SBOM et de données sur les vulnérabilités, y compris les dépendances transitives

SBOM automatiques et signées pour chaque artefact

SBOM toujours exactes; plus besoin de rechercher manuellement les composants des builds

CRA et Chainguard : être conforme sans sacrifier la vélocité

Pour les équipes d’ingénierie, le CRA n’introduit pas seulement de nouvelles règles : il impose de se concentrer sur des domaines souvent complexes à maîtriser. Chainguard offre un moyen de répondre aux exigences du CRA sans ralentir, sans ajouter de charge opérationnelle et sans construire un framework de sécurité de zéro.

En adoptant des briques secure by default, vous pouvez :

  • Éliminer les arriérés de CVE

  • Réduire la charge d’ingénierie liée aux correctifs et au travail associé

  • Améliorer la transparence de la chaîne d’approvisionnement

  • Satisfaire les exigences du CRA comme une conséquence naturelle de votre manière de développer des logiciels

Chainguard fournit une base sécurisée pour le développement moderne, vous permettant de continuer à livrer rapidement tout en respectant les exigences de sécurité et de conformité, comme le CRA.

Contactez notre équipe pour en savoir plus sur la manière dont nous pouvons vous aider à répondre aux exigences du CRA.

Share this article

Articles connexes

Vous souhaitez en savoir plus sur Chainguard?

Contactez-nous