Cyber Resilience Act :
Comment préparer votre SCADA ?

Le Cyber Resilience Act marque un tournant pour les industriels : les logiciels qui pilotent, supervisent ou historisent vos opérations devront répondre à de nouvelles exigences européennes en matière de cybersécurité. SCADA, IHM, historiens, passerelles industrielles ou plateformes de données industrielles… vos choix logiciels seront bientôt examinés de près par vos équipes cybersécurité, vos auditeurs, vos assureurs et vos donneurs d’ordre. Grâce à son approche Secure by Design et à ses investissements continus en cybersécurité, AVEVA fait évoluer ses solutions pour accompagner les industriels dans la préparation aux exigences du Cyber Resilience Act. Factory Software vous aide à anticiper ces évolutions et à sécuriser durablement vos environnements industriels.

Le CRA en quelques chiffres

prev next

10K Md€

coût mondial de la cybercriminalité

26 %

des attaques ciblent l’industrie

200 jours

avant détection d’une intrusion

2,5 % du CA

amende maximale CRA

24 heures

pour déclarer une vulnérabilité

prev next

Presentation

Ce que le CRA change pour vos systèmes industriels

Le Cyber Resilience Act transforme profondément la manière dont les industriels doivent appréhender leurs systèmes numériques. Désormais, la cybersécurité ne repose plus uniquement sur les opérations internes : elle dépend directement des logiciels et équipements déployés dans vos environnements. SCADA, IHM, historians ou plateformes data devront prouver leur conformité, leur niveau de support et leur capacité à gérer les vulnérabilités dans le temps.

Pour les éditeurs, cela impose une responsabilité totale sur le cycle de vie des produits : sécurité intégrée dès la conception, maintenance continue, transparence et documentation accessible pour les audits. Pour les industriels, cela se traduit par une pression accrue lors des renouvellements de contrats, des audits clients et des exigences assurances.

Dans ce contexte, les solutions AVEVA répondent déjà à ces exigences, en intégrant des politiques de sécurité et de lifecycle alignées avec les standards européens à venir.

Le Cyber Resilience Act place les systèmes industriels sous haute surveillance

Le Cyber Resilience Act renforce les exigences de cybersécurité applicables aux logiciels et équipements qui pilotent les opérations industrielles. SCADA, IHM, historiens, automates et autres systèmes OT jouent un rôle essentiel dans la production et la continuité d'activité. Leur compromission peut entraîner des arrêts de production, des pertes financières ou des risques pour la sécurité. Les industriels devront donc s'assurer que les solutions déployées intègrent des mécanismes de cybersécurité robustes, une gestion rigoureuse des vulnérabilités et un cycle de vie logiciel conforme aux nouvelles exigences européennes.

Contactez-nous pour en discuter

Systèmes critiques en production

Ces solutions pilotent directement les opérations industrielles. Une faille peut entraîner arrêt de production, défaut qualité ou incident de sécurité.

Interconnexion des systèmes

SCADA, MES, ERP et cloud sont interconnectés. Une vulnérabilité peut se propager rapidement à l’ensemble du système industriel.

Surface d’attaque étendue

Historians, passerelles OPC-UA, edge devices : le périmètre dépasse le SCADA. Chaque composant devient un point d’entrée potentiel.

Impact opérationnel immédiat

Contrairement à l’IT, une attaque OT a des conséquences physiques : arrêt de ligne, perte de production, risques humains.

Exigence d’audit renforcée

Les systèmes Classe II doivent prouver leur conformité via des audits indépendants, avec documentation complète et traçabilité.

AVEVA, un éditeur déjà aligné avec les exigences du Cyber Resilience Act

Cybersécurité intégrée à toute l’organisation

La cybersécurité est portée au plus haut niveau de l’entreprise et diffusée à l’ensemble de l’écosystème AVEVA : équipes R&D, partenaires, distributeurs. Elle est intégrée dans les processus de décision, les méthodes de développement et les pratiques opérationnelles et non ajoutée a posteriori.

Lifecycle maîtrisé et transparent

La politique de lifecycle AVEVA garantit un suivi complet de chaque version logicielle : périodes de support définies, mises à jour de sécurité, gestion des vulnérabilités et plans de migration. Cette transparence permet aux industriels d’anticiper leurs audits CRA et de sécuriser leurs choix technologiques.

Sécurité by design sur toute la chaîne logicielle

AVEVA applique un Secure Development Lifecycle complet : analyse des composants tiers, scans de vulnérabilités, sécurisation des environnements de développement et intégration de mécanismes de protection dès la conception. Résultat : des logiciels sécurisés par défaut, conçus pour résister aux menaces actuelles.

Votre SCADA est-il conforme aux exigences du CRA ?

Découvrez ce que l'industrie européenne doit garantir d'ici décembre 2027 et pourquoi les logiciels AVEVA sont déjà prêts.

Télécharger le eBook

FAQ

Les questions que vous devez vous poser

Quels sont les risques concrets que nous encourons en cas de cyberattaque ou de non-conformité CRA ?

Une cyberattaque ou l’utilisation de logiciels non conformes au Cyber Resilience Act peut avoir des conséquences immédiates et critiques pour vos opérations. Vous pouvez faire face à un arrêt de production, une perte de données sensibles ou des perturbations majeures de vos systèmes industriels.

Des logiciels non conformes peuvent également être retirés du marché, bloquant certains projets ou déploiements en cours. Par ailleurs, vos donneurs d’ordre et assureurs exigent désormais des garanties de cybersécurité : sans attestation CRA, vos renouvellements peuvent être refusés et vos primes fortement augmentées.

Enfin, en cas d’incident, l’utilisation d’un logiciel non conforme peut être considérée comme une faute de diligence, engageant directement votre responsabilité.

Notre version actuellement déployée bénéficie-t-elle encore d’un support sécurité actif ?

Avec les solutions AVEVA, la phase lifecycle est clairement définie (LTS/STS) et documentée publiquement. Vous pouvez identifier précisément la durée de support sécurité, les mises à jour disponibles et les conditions de fin de vie. Cela garantit que vos environnements restent protégés dans le temps.

Quels sont les délais garantis pour corriger une vulnérabilité critique ?

AVEVA applique un processus structuré de gestion des vulnérabilités avec des délais encadrés : notification rapide, publication d’avis de sécurité et mise à disposition de correctifs dans des délais maîtrisés. Ces engagements sont alignés avec les exigences du CRA.

Comment les vulnérabilités sont-elles identifiées, évaluées et traitées ?

Les logiciels AVEVA s’appuient sur un processus complet : veille continue (CVE), évaluation du risque (CVSS), priorisation et publication d’avis de sécurité. Ce dispositif permet une gestion proactive et documentée des vulnérabilités sur l’ensemble du portefeuille.

Quels éléments pouvons-nous présenter lors d’un audit fournisseur CRA ?

AVEVA met à disposition des artefacts complets : trust center, certifications (ISO 27001, IEC 62443), documentation du Secure Development Lifecycle, politique lifecycle et avis de sécurité. Ces éléments sont directement exploitables pour vos audits fournisseurs.

L’éditeur est-il engagé dans une certification pour les produits Classe II ?

Les solutions industrielles AVEVA s’inscrivent dans une démarche de conformité avancée, incluant la préparation au marquage CE CRA et l’alignement avec les exigences des systèmes critiques (Classe II), avec évaluation par des organismes tiers.

La politique lifecycle a-t-elle été mise à jour pour intégrer les exigences du CRA ?

AVEVA a revu sa politique lifecycle en 2024 pour intégrer les exigences CRA : transparence des périodes de support, gestion des vulnérabilités et planification des migrations. Cette approche facilite l’anticipation des audits et des mises en conformité.

Comment la supply chain logicielle est-elle maîtrisée et sécurisée ?

AVEVA audite l’ensemble de ses composants tiers (open source et commerciaux), maintient un inventaire précis et évalue en continu leur exposition aux vulnérabilités. Cette maîtrise de la supply chain est un élément clé de sa stratégie cybersécurité.

Quels mécanismes de sécurité sont intégrés par défaut dans les solutions ?

Les solutions AVEVA intègrent nativement des mécanismes de sécurité : authentification forte, gestion des accès, chiffrement, journalisation et durcissement des configurations. Cette approche “secure by design” limite la dépendance aux couches externes.

Comment les environnements de développement et de livraison sont-ils sécurisés ?

AVEVA sécurise ses environnements via des pipelines de développement contrôlés, des scans automatisés et des audits réguliers. L’objectif est de garantir l’intégrité des logiciels depuis leur conception jusqu’à leur déploiement.

Avons-nous une traçabilité complète des versions et des correctifs appliqués ?

Les solutions AVEVA permettent une traçabilité précise des versions, correctifs et mises à jour. Cette visibilité est essentielle pour répondre aux exigences d’audit et assurer une gestion rigoureuse des environnements industriels.

Quelle est la stratégie de migration pour les versions en fin de vie ?

AVEVA propose des trajectoires de migration structurées, avec une visibilité claire sur les versions cibles et les plans de transition. Cela permet d’anticiper les évolutions sans rupture opérationnelle.

Nos solutions actuelles resteront-elles conformes et supportées après 2027 ?

AVEVA a engagé une démarche proactive d’alignement avec le CRA, incluant le maintien du support sécurité et la préparation au marquage CE. Les solutions s’inscrivent dans une logique de conformité durable pour les environnements industriels critiques.

Cyber Resilience Act : Comment préparer votre SCADA ?