Le CRA impose le signalement des vulnérabilités activement exploitées, sous 24 heures. Pour les éditeurs, développeurs et infogéreurs, le compte à rebours a commencé.
Alerte précoce sous 24 heures, notification complète sous 72 heures, rapport final sous 14 jours après correctif.
Exigences complètes de sécurité des produits, traitement et remédiation des vulnérabilités sur tout le cycle de vie.
Tout produit comportant des éléments numériques mis sur le marché européen entre dans le champ du règlement.
Vous opérez pour vos clients des produits concernés. Vous devez maîtriser leurs vulnérabilités et le leur démontrer.
Le code généré et les composants tiers élargissent la surface. Le CRA ne fait pas d'exception pour la vitesse de livraison.
Une estimation immédiate de votre exposition. Le calcul se fait dans votre navigateur ; vos réponses ne sont transmises que si vous demandez à être recontacté.
1. Mettez-vous sur le marché européen un produit comportant du logiciel ?
2. Développez-vous ou infogérez-vous ce produit pour des tiers ?
3. Avez-vous un processus formel de signalement des vulnérabilités exploitées ?
4. Sauriez-vous notifier une vulnérabilité exploitée sous 24 heures ?
Signaler toute vulnérabilité activement exploitée dès sa connaissance.
Transmettre une notification complète via la plateforme de signalement.
Après qu'une mesure corrective est disponible pour la vulnérabilité exploitée.
Un tableur ne tient pas ces délais.
Le signalement structuré exige de savoir, à tout instant, quelles vulnérabilités sont exploitées, sur quels actifs, et où en est la correction.

Le CRA n'est pas qu'un sujet juridique. C'est un flux à mettre en place, du repérage d'une vulnérabilité exploitée jusqu'à sa notification dans les délais.
Piloter vos vulnérabilités et celles de vos clients, et sortir un reporting présentable, sans construire d'outil interne.
Toutes vos sources consolidées, la connaissance en temps réel de ce qui est exploité.
Des rapports clairs pour vos clients, en marque blanche pour les infogéreurs.
Hébergé en France, en SaaS ou sur instance privée dans votre infrastructure.
Le Cyber Resilience Act s'applique aux fabricants, développeurs et distributeurs de produits comportant des éléments numériques mis sur le marché européen, ce qui inclut la plupart des éditeurs de logiciels et, par ricochet, les sociétés d'infogérance qui opèrent ces produits.
L'obligation de signalement des vulnérabilités activement exploitées s'applique au 11 septembre 2026, avec une alerte sous 24 heures et une notification sous 72 heures. L'ensemble des obligations s'applique au 11 décembre 2027.
Une alerte précoce sous 24 heures, une notification complète sous 72 heures, puis un rapport final sous 14 jours après qu'une mesure corrective est disponible pour les vulnérabilités activement exploitées.
Le VOC illicium centralise et priorise les vulnérabilités, pilote la remédiation et produit un reporting présentable à vos clients, avec une déclinaison en marque blanche pour les infogéreurs.