La cybersécurité des équipements connectés ne s’arrête pas à la protection du réseau sur lequel ils sont installés. Une partie importante du risque se trouve directement à l’intérieur du produit : dans son système d’exploitation, ses bibliothèques, ses composants open source, ses fichiers de configuration ou encore les services intégrés à son firmware.
Pour un fabricant d’équipements industriels, IoT ou embarqués, une question devient incontournable : connaissez-vous précisément les composants présents dans vos produits et les vulnérabilités auxquelles ils peuvent être exposés ?
À l’approche des premières échéances du Cyber Resilience Act, Integral System propose aux fabricants et éditeurs une analyse découverte gratuite de leur firmware Linux, réalisée avec la technologie Exein Analyzer et accompagnée d’une restitution par notre équipe.
Le Cyber Resilience Act entre dans sa phase opérationnelle

Le Cyber Resilience Act, ou CRA, instaure des exigences communes de cybersécurité pour les produits comportant des éléments numériques commercialisés dans l’Union européenne.
Le règlement est entré en vigueur le 10 décembre 2024. Ses principales obligations seront applicables à compter du 11 décembre 2027, mais une première échéance importante interviendra dès le 11 septembre 2026 :
Les fabricants devront être en mesure de signaler les vulnérabilités activement exploitées ainsi que les incidents graves affectant la sécurité de leurs produits.
Cette obligation suppose notamment de pouvoir :
- identifier les produits et versions concernés ;
- connaître les composants logiciels intégrés à votre firmware ;
- déterminer si une vulnérabilité touche votre produit ;
- qualifier le niveau de criticité ;
- organiser les circuits internes de décision, de correction et de notification ;
- conserver les éléments permettant de justifier les actions engagées.
Pour rappel, à partir de décembre 2027, la démarche devra être étendue à l’ensemble du cycle de vie du produit : sécurité dès la conception, gestion des vulnérabilités, documentation technique, mises à jour de sécurité et suivi pendant la période de support.
Le premier défi : savoir ce que contient vraiment son firmware

Les firmwares reposent rarement sur des composants développés intégralement en interne. Ils combinent généralement un noyau Linux, des bibliothèques open source, des libriaries tierces, des pilotes, des services réseau, des outils système et différents éléments cryptographiques.
Cette accumulation de composants peut rendre la cartographie difficile, en particulier lorsque :
- le produit est développé depuis plusieurs années ;
- plusieurs équipes ou sous-traitants sont intervenus ;
- la documentation des dépendances n’est pas complète ;
- certaines versions ne sont plus maintenues ;
- plusieurs branches du firmware coexistent ;
- le produit utilise une distribution Linux personnalisée.
Une simple liste des logiciels installés ne suffit pas toujours. Il faut également identifier leurs versions, rechercher les vulnérabilités connues, détecter certaines mauvaises configurations et hiérarchiser les résultats pour distinguer les alertes réellement importantes du bruit technique.
Sans cela, il devient difficile de savoir où concentrer les efforts de remédiation ou de répondre rapidement lorsqu’une nouvelle vulnérabilité critique est publiée.
Que contient le diagnostic proposé par Integral System ?

L’objectif de cette offre n’est pas de transmettre une longue liste de vulnérabilités sans explication. Elle permet de replacer les alertes dans le contexte de votre produit, de répondre aux questions des équipes et de distinguer les risques techniques immédiats des chantiers plus structurants liés au Cyber Resilience Act.
- mesurer la connaissance architecturale actuel de votre firmware ;
- détecter rapidement certains risques critiques ;
- identifier les produits nécessitant une investigation complémentaire ;
- préparer les équipes aux futures obligations de surveillance et de notification ;
- disposer d’un premier état des lieux
Vous développez ou commercialisez un équipement industriel, une passerelle IoT, un automate, un système embarqué ou tout autre produit intégrant un firmware Linux ?