Logo Complikey
Accueil
Produits
Normes
Consultants
Tarifs
Blog
Contact
Planifier une démo

Cyber Resilience Act (CRA) : quelles documentations produire pour être conforme ? (guide CTO/CISO)

Par AlexV
Le 30/04/2026

Cyber Resilience Act : qu’est-ce que je dois documenter pour être conforme ?


Beaucoup de CTO et de CISO ont aujourd’hui la même réaction face au Cyber Resilience Act :

"Très bien, mais qu’est-ce qu’on doit documenter concrètement ?"

C’est une très bonne question, et c’est souvent là que le sujet se complique. Non pas parce que les équipes ne font rien, mais parce que la documentation existe rarement sous une forme cohérente. Une partie est dans les tickets, une autre dans le dépôt Git, une autre dans les politiques SSI, une autre chez le DevOps, une autre encore dans des fichiers d’audit ou des documents commerciaux.

Le CRA change justement cela. La Commission européenne rappelle que les fabricants doivent réaliser une évaluation de conformité, établir une documentation technique, rédiger une déclaration UE de conformité, indiquer la période de support et fournir des informations et instructions à l’utilisateur. Elle précise aussi que l’analyse de risque cybersécurité et les moyens choisis pour mettre en œuvre les exigences essentielles doivent être intégrés dans la documentation technique, tenue à disposition des autorités de surveillance du marché.

La bonne lecture est donc simple :

le CRA ne demande pas seulement d’avoir de la documentation. Il demande d’avoir une documentation structurée, reliée au produit, au cycle de développement, à la gestion des vulnérabilités et à la preuve de conformité.


Le vrai problème : la documentation existe souvent, mais elle n’est pas pilotée

Dans beaucoup d’équipes, la documentation sécurité est dispersée entre :

  1. politiques internes ;
  2. procédures DevSecOps ;
  3. tickets Jira ;
  4. README techniques ;
  5. schémas d’architecture ;
  6. inventaires de dépendances ;
  7. rapports de scans ;
  8. documents de support ;
  9. réponses à questionnaires clients.

Le problème n’est donc pas toujours l’absence totale de contenu. Le problème est plus souvent l’absence de chaîne documentaire cohérente.

Or le CRA ne raisonne pas en documents isolés. Il raisonne en démonstration de conformité produit. La Commission précise que, avant la mise sur le marché, le fabricant doit établir la documentation technique, effectuer la procédure d’évaluation de conformité, puis rédiger la déclaration UE de conformité et apposer le marquage CE.

Autrement dit, la documentation ne doit pas seulement “exister quelque part”. Elle doit permettre de répondre clairement à ces questions :

  1. quel est le produit concerné ;
  2. quels risques cyber ont été identifiés ;
  3. quelles mesures ont été choisies ;
  4. comment elles sont mises en œuvre ;
  5. comment les vulnérabilités sont gérées ;
  6. ce qui est communiqué à l’utilisateur ;
  7. et ce qui permet de démontrer la conformité.


Les 6 blocs documentaires que le CRA vous oblige, en pratique, à structurer

1. La documentation technique du produit

C’est le socle principal.

La Commission rappelle que le contenu minimal de cette documentation est prévu par l’annexe VII du règlement, et qu’elle doit être établie avant la mise sur le marché puis conservée à disposition des autorités. Elle précise aussi que l’analyse de risque cybersécurité ainsi que les moyens choisis pour satisfaire aux exigences essentielles doivent y figurer.

En pratique, cette documentation doit permettre de comprendre :

  1. ce qu’est le produit ;
  2. son périmètre ;
  3. son architecture ;
  4. ses fonctions pertinentes pour la cybersécurité ;
  5. les exigences CRA qui le concernent ;
  6. la manière dont ces exigences sont satisfaites.

Ce qu’il faut y retrouver concrètement

  1. description du produit et de ses versions ;
  2. périmètre fonctionnel et technique ;
  3. architecture ou schéma d’ensemble ;
  4. composants et dépendances pertinentes ;
  5. hypothèses d’usage et environnement prévu ;
  6. exigences CRA applicables et réponse associée ;
  7. références aux standards ou mesures retenues.

2. L’analyse de risque cybersécurité du produit

C’est un point non négociable.

La Commission indique explicitement que le fabricant doit effectuer une cybersecurity risk assessment et que cette analyse doit informer la planification, la conception, le développement, la production, la livraison et la maintenance du produit. Elle doit aussi être incluse dans la documentation technique.

C’est probablement le document qui change le plus la logique produit. Il ne s’agit pas seulement d’un exercice GRC séparé. Il s’agit d’une analyse qui doit expliquer pourquoi certaines décisions de sécurité ont été prises.

Ce que cette analyse doit couvrir

  1. actifs ou fonctions sensibles du produit ;
  2. scénarios de menace plausibles ;
  3. surfaces d’attaque ;
  4. impacts potentiels ;
  5. décisions de traitement ;
  6. hypothèses de sécurité ;
  7. risques résiduels pertinents.

Le point clé

Ce document ne doit pas vivre seul. Il doit être relié :

  1. aux choix d’architecture ;
  2. aux exigences sécurité du produit ;
  3. aux mesures mises en place ;
  4. à la maintenance et au traitement des vulnérabilités.

3. La documentation de gestion des vulnérabilités

Le CRA impose aussi une logique documentaire après la mise sur le marché.

La Commission rappelle que les fabricants doivent gérer les vulnérabilités pendant la support period, et notifier les vulnérabilités activement exploitées ainsi que les incidents sévères affectant la sécurité du produit. Elle précise aussi les délais de notification et l’usage de la plateforme de reporting CRA gérée par ENISA.

Cela veut dire qu’il faut documenter non seulement les contrôles initiaux, mais aussi le processus de vulnérabilité sur le cycle de vie.

Ce qu’il faut documenter

  1. politique ou procédure de gestion des vulnérabilités ;
  2. rôles et responsabilités ;
  3. sources de remontée ;
  4. triage et priorisation ;
  5. délais de traitement ;
  6. gestion des correctifs ;
  7. processus de notification CRA si applicable ;
  8. traçabilité des vulnérabilités et corrections ;
  9. suivi des composants tiers.

Ce point est renforcé par l’advisory ENISA 2026 sur l’usage sécurisé des package managers, qui insiste sur la sélection, l’intégration, la surveillance et le traitement des vulnérabilités liées aux dépendances tierces.

4. Les informations et instructions destinées à l’utilisateur

C’est souvent sous-estimé, alors que c’est explicitement prévu par le CRA.

La Commission rappelle que le produit doit être accompagné des information and instructions to the user prévues par l’annexe II, dans une langue compréhensible, claire, intelligible et lisible, afin de permettre une installation, une utilisation et un fonctionnement sûrs. Elle rappelle aussi que la fin de la période de support doit être indiquée.

En pratique, cela veut dire documenter

  1. les prérequis de sécurité ;
  2. les conditions de déploiement sécurisé ;
  3. les recommandations d’utilisation ;
  4. les restrictions ou limites connues ;
  5. les informations sur les mises à jour ;
  6. la durée de support et sa date de fin ;
  7. les points de contact utiles.

Le piège classique

Beaucoup d’éditeurs ont une documentation produit fonctionnelle, mais pas une documentation utilisateur réellement orientée sécurité. Le CRA rend ce point beaucoup plus important.

5. La déclaration UE de conformité

Quand la conformité a été démontrée via la procédure applicable, le fabricant doit établir une EU declaration of conformity. La Commission rappelle que les annexes V et VI donnent la structure du modèle, y compris une version simplifiée.

Ce n’est pas un document “technique” au sens engineering, mais c’est une pièce essentielle du dispositif.

Ce qu’il faut prévoir

  1. le modèle de déclaration ;
  2. l’identification du produit ;
  3. les références réglementaires ;
  4. le lien avec la procédure d’évaluation de conformité ;
  5. la gouvernance de validation et signature ;
  6. la gestion des versions de cette déclaration.

6. La documentation de support et de maintenance

Le CRA oblige le fabricant à indiquer la support period, c’est-à-dire combien de temps le produit sera pris en charge, et à traiter les vulnérabilités pendant cette période. La date de fin de support doit être clairement indiquée au moment de l’achat.

Cela implique que la maintenance sécurité du produit ne peut plus rester implicite.

Il faut donc documenter

  1. la durée de support ;
  2. la politique de mise à jour ;
  3. la gestion des versions supportées ;
  4. le traitement des versions obsolètes ;
  5. les modalités de fin de vie ;
  6. la manière dont les correctifs sécurité sont distribués ou mis à disposition.


Ce que beaucoup d’équipes oublient de documenter

Les CTO et CISO pensent souvent d’abord à :

  1. une politique sécurité ;
  2. quelques procédures ;
  3. des scans ;
  4. une documentation d’architecture.

Mais pour être réellement prêts, il faut aussi documenter des éléments plus transverses.

1. Le lien entre exigences CRA et contrôles réels

C’est souvent le plus gros manque.

Il faut pouvoir montrer, exigence par exigence, ce qui répond à quoi.

2. Les dépendances critiques

Le CRA pousse à une vraie diligence sur les composants tiers. La Commission précise que si le fabricant intègre des composants tiers, il doit exercer une due diligence pour qu’ils ne compromettent pas la cybersécurité du produit.

3. Les décisions de sécurité produit

Pourquoi tel choix d’authentification ? Pourquoi telle configuration par défaut ? Pourquoi tel mécanisme de mise à jour ? Sans trace de décision, la documentation devient faible.

4. Les preuves de fonctionnement

Une procédure seule ne suffit pas toujours. Il faut aussi pouvoir rattacher des preuves ou traces d’exécution quand c’est pertinent.


La bonne méthode : raisonner par chaîne documentaire

La manière la plus robuste d’aborder le CRA n’est pas de créer 15 documents isolés. C’est de structurer une chaîne documentaire cohérente.

Une chaîne simple et efficace ressemble à cela :

  1. fiche produit et périmètre ;
  2. analyse de risque produit ;
  3. exigences CRA applicables ;
  4. mesures de sécurité et choix techniques ;
  5. documentation vulnérabilités et maintenance ;
  6. instructions utilisateur ;
  7. support period ;
  8. déclaration UE de conformité ;
  9. preuves et références associées.

Cette logique est d’ailleurs cohérente avec le travail ENISA/JRC de mapping entre exigences CRA et standards, qui vise précisément à aider les fabricants à traduire les exigences en pratiques plus opérationnelles.


Les erreurs les plus fréquentes

Penser qu’une politique SSI générale suffit

Non. Le CRA demande une documentation reliée au produit.

Croire que les tickets remplacent la documentation

Les tickets sont utiles comme preuves ou traces, mais pas comme structure documentaire de conformité.

Laisser la documentation éclatée entre équipes

Si chaque équipe garde “sa part” sans gouvernance commune, la démonstration CRA devient très difficile.

Oublier l’utilisateur

Les instructions et informations de sécurité destinées à l’utilisateur font partie du dispositif, ce n’est pas un détail.

Ne pas documenter la maintenance

Le CRA couvre le cycle de vie, pas seulement la sortie initiale du produit.


Ce qu’un CTO ou CISO devrait faire maintenant

Le meilleur point de départ n’est pas de rédiger immédiatement tous les documents finaux. C’est de faire un gap assessment documentaire.

Il faut répondre à cinq questions :

  1. qu’est-ce qui existe déjà ;
  2. où est-ce stocké ;
  3. à quel produit cela se rattache ;
  4. qu’est-ce qui manque ;
  5. qui en est propriétaire.

Ensuite, il faut centraliser la structure autour de quelques blocs :

  1. produit ;
  2. risques ;
  3. mesures ;
  4. vulnérabilités ;
  5. support ;
  6. conformité ;
  7. preuves.


En bref

Pour être conforme au CRA, il ne suffit pas de documenter “la sécurité” en général.

Il faut au minimum structurer :

  1. la documentation technique du produit ;
  2. l’analyse de risque cybersécurité ;
  3. la gestion des vulnérabilités ;
  4. les informations et instructions à l’utilisateur ;
  5. la période de support et la maintenance ;
  6. la déclaration UE de conformité.

Le vrai enjeu n’est pas le volume de documentation.

Le vrai enjeu est sa cohérence, sa traçabilité et son lien direct avec le produit.


FAQ

Le CRA impose-t-il une documentation technique spécifique ?

Oui. La Commission précise que le fabricant doit établir une documentation technique contenant au minimum les éléments prévus à l’annexe VII, et la conserver à disposition des autorités.

Faut-il documenter l’analyse de risque produit ?

Oui. L’analyse de risque cybersécurité fait explicitement partie de ce qui doit informer la conception et être inclus dans la documentation technique.

Les instructions utilisateur sont-elles vraiment un sujet CRA ?

Oui. Les informations et instructions à l’utilisateur prévues par l’annexe II doivent accompagner le produit et permettre une installation, une utilisation et un fonctionnement sûrs.

Faut-il documenter la gestion des vulnérabilités et la période de support ?

Oui. Le CRA impose le traitement des vulnérabilités pendant la période de support, ainsi que l’indication claire de cette période.

COMPLIKEY
La méthode de supervision cyber incarnée
dans un logiciel
  • Tableau de conformité centralisé
  • Plan de traitement des risques & analyse
  • Tableaux de bord & KPIs en temps réel
  • Guidage et automatisation des revues/documentation
Plus d'informations
Logo complikey
COMPLIKEY
LinkedIn
Copyright 2026 CompliKey - Tous droits réservés.
Liens Utiles
Produits
Normes
Consultants
Contact
À propos de nous
Mentions légales
CGU
CGV
Politique de confidentialité
Politique de cookies