La Loi européenne sur la cyber-résilience (CRA) proposée récemment a suscité de sérieuses discussions sur son objet et sa portée pour l’avenir de la réglementation en matière de cybersécurité. Quelle que soit votre position dans ce débat, il est clair que cette réglementation sera centrée sur la manière dont les organisations sécurisent le développement de produits numériques. En particulier, la proposition met en évidence l’immaturité actuelle en matière de gestion des vulnérabilités pour les produits logiciels et hardware. Elle cite également la nécessité d’appliquer des pratiques de sécurité globales à la conception, au développement et à la commercialisation des produits. Pour anticiper cette réglementation, les organisations doivent examiner en premier lieu quelques domaines-clés de leur activité. La priorité : sensibiliser et former l’ingénierie de première ligne aux menaces existantes.