Préparez-vous à la CRA avant septembre 2026
La CRA rend les fabricants responsables de la cybersécurité de leurs produits, quelle que soit la manière dont le code a été créé. SonarQube offre aux équipes une couche de vérification automatisée permettant d’identifier les vulnérabilités à un stade précoce, d’appliquer les normes de sécurité et de commercialiser leurs produits en toute confiance.
Portée mondiale
S’applique aux fabricants de produits concernés comportant des éléments numériques mis à disposition sur le marché de l’UE, y compris les fabricants basés en dehors de l’UE.
Champ d’application étendu
Couvre de nombreux produits logiciels et matériels comportant des éléments numériques, notamment les logiciels B2B, l’électronique grand public, les appareils connectés et les composants.
Sanctions sévères
Le non-respect de la réglementation peut entraîner des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Le code généré par l’IA relève de votre responsabilité
La CRA ne fait aucune distinction entre le code écrit par l’homme et celui généré par l’IA ; vous en êtes responsable dans son intégralité.
Décembre 2024
Entrée en vigueur du CRA
11 septembre 2026
Les obligations de signalement des vulnérabilités activement exploitées et des incidents graves deviennent obligatoires
11 décembre 2027
La CRA s’applique de manière générale aux produits concernés comportant des éléments numériques mis à disposition sur le marché de l’UE
Disponible plus tard en 2026Rapport dédié à la conformité à la CRA
Un rapport spécialement conçu qui met en correspondance l’ensemble de votre base de code avec les exigences spécifiques de l’annexe I de la CRA, offrant aux équipes de sécurité et de conformité une visibilité immédiate sur leur niveau de conformité ainsi que des preuves partageables à l’intention des autorités de régulation.
SAST avancé
Une analyse statique approfondie et inter-procédurale couvrant plus de 30 langages détecte les vulnérabilités de sécurité, notamment celles du Top 10 de l’OWASP, du Top 25 du CWE et des ensembles de règles personnalisés alignés sur votre profil de risque.
Analyse de la composition logicielle (SCA)
Analyse continue de toutes les dépendances open source par rapport aux bases de données NVD, EPSS, KEV et OSV.
Génération automatisée de SBOM
Générez des nomenclatures logicielles (SBOM) lisibles par machine en un seul clic, fournissant ainsi l’inventaire traçable des dépendances que la CRA exige explicitement pour chaque produit.
Détection des secrets
Détection de pointe de plus de 450 types de secrets avec un taux de faux positifs inférieur à 1 %. Empêche les identifiants codés en dur d’atteindre les référentiels ou les agents de codage IA avant qu’ils ne constituent un risque de violation.
Contrôles de qualité et profils
Appliquez de manière cohérente vos règles précises de conformité et de qualité à chaque développeur et à chaque outil de codage IA. Bloquez automatiquement la fusion du code non conforme — avec génération d’une piste d’audit complète.
Rapports de conformité intégrés
Des rapports prêts à l’emploi pour l’OWASP Top 10, l’OWASP ASVS, la norme PCI DSS, le CWE Top 25, les STIG, la norme MISRA C++:2023 et désormais la loi sur la cyber-résilience — tous disponibles au sein de votre workflow existant.
Gouvernance des risques liés aux dépendances
Allez au-delà de la simple détection grâce à l’examen, l’attribution des tâches, le suivi de l’état d’avancement, les conseils de correction, l’application des politiques de licence et les alertes relatives aux paquets malveillants pour les dépendances tierces.
1. Réduire au minimum les vulnérabilités grâce au SAST
Identifiez les failles exploitables dès les premières phases de développement, conformément à l’obligation prévue à l’article 13 de réduire au minimum les vulnérabilités avant la mise sur le marché des produits.
2. Sécuriser l’accès au système
Analyser l’intégralité de la base de code pour détecter et bloquer les clés API, mots de passe et jetons sensibles codés en dur, répondant ainsi à l’exigence de l’annexe I relative aux accès non autorisés.
3. Évaluer en continu les risques liés à l’open source
Surveiller en permanence toutes les dépendances tierces à la recherche de CVE connus, conformément aux obligations de la CRA en matière de transparence et de gestion des risques tout au long du cycle de vie.
4. Vérifier l’absence d’exploits connus
Utiliser les bases de données NVD, EPSS, KEV et OSV pour vérifier que les composants ne présentent aucun risque connu — répondant ainsi directement à l’exigence de l’annexe I de commercialiser les produits sans vulnérabilités exploitables connues.
5. Maîtriser la transparence de la chaîne d’approvisionnement
Générer automatiquement des SBOM lisibles par machine afin de garantir un processus de gestion des stocks traçable, conformément aux exigences explicites de la CRA en matière de chaîne d’approvisionnement.
6. Générer des pistes d’audit et des preuves
Maintenir des journaux d’audit sécurisés enregistrant les modifications du cycle de vie, les mises à jour de configuration et les événements de sécurité — ce qui simplifie la documentation relative à l’évaluation des risques de la CRA.
7. Appliquer les normes dès la création
Donner aux développeurs les moyens d’agir grâce à des retours d’information dans l’IDE et à des contrôles de qualité configurables afin de garantir qu’aucun code non conforme ne passe jamais en production.
8. Évaluez les risques grâce à une gouvernance stratégique
Tirez parti des tableaux de bord de portefeuille pour obtenir une vue d’ensemble de la posture de conformité de l’organisation, transformant ainsi la dette technique invisible en données visibles pour les responsables de la sécurité et de la gestion des risques.
La loi sur la cyber-résilience : pourquoi la rapidité de l'IA exige une vérification automatisée
Le débat n'est plus axé sur l'adoption, mais sur la responsabilité. L'IA n'est plus un objectif futur : c'est désormais la nouvelle norme en matière de développement logiciel.
En savoir plus >
Loi sur la cyber-résilience : concilier rapidité et sécurité grâce au codage par IA
La loi européenne sur la cyber-résilience (CRA) impose des obligations réglementaires strictes aux éditeurs de logiciels, notamment en matière de développement « sécurisé dès la conception », de gestion des vulnérabilités, de signalement des incidents 24 heures sur 24 et de génération de listes de composants logiciels (SBOM).
En savoir plus >
Construisez dès aujourd’hui votre dossier de conformité CRA
SonarQube offre aux équipes de conformité et de sécurité l’infrastructure automatisée nécessaire pour prouver leur état de préparation, sans ralentir le développement.