Guide opérationnel · 2026

Cybersécurité par conception
Guide pratique du Cyber Resilience Act

Équipements radio, IoT et systèmes embarqués — De l'évaluation des risques à la mise sur le marché européen
Abdoul Karim Mamani Malam Goga
Expert Cybersécurité · Sécurité des équipements IoT & radio · Gouvernance & conformité CRA/RED/ETSI
📥 Télécharger le livre — PDF ✉️ Envoyer un retour
Accès libre · Version intégrale · De l'analyse de risques au marquage CE
Cybersecurity by design
Cybersécurité par conception
Guide pratique du CRA
Équipements radio, IoT et systèmes embarqués
De l'évaluation des risques à la mise sur le marché européen
Abdoul Karim Mamani Malam Goga
Niamey — 2026 (Édition révisée)
CRA · RED · ETSI
450+
pages
15
chapitres
6
annexes opérationnelles
21
exigences essentielles (Annexe I)
41
normes harmonisées (mandat M/606)
juin 2026
1ers organismes notifiés
“La sécurité ne peut plus être une couche ajoutée en bout de chaîne. Elle doit être pensée dès la conception — exigence au cœur du CRA. Ce guide transforme le texte réglementaire en feuille de route praticable.”
— Extrait de l'avant-propos · Niamey, avril 2026
Genèse du guide

Ce guide est né d’un constat de terrain, nourri par quinze années passées à l’intersection de l’ingénierie radio, de la régulation technique et de la cybersécurité. Des équipements IoT et radio, techniquement conformes sur le papier, révélaient pourtant des lacunes critiques : mots de passe par défaut non modifiables, absence de mécanismes de mise à jour sécurisée, interfaces d’administration exposées. Le Cyber Resilience Act (CRA) apporte une réponse structurelle à ces vulnérabilités, longtemps ignorées des processus d’homologation classiques.

Adopté le 23 octobre 2024, le règlement (UE) 2024/2847 impose désormais aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques des obligations contraignantes et vérifiables. Ce guide se veut le compagnon opérationnel de cette transformation.

Il s’adresse d’abord aux acteurs directement concernés par le marché européen — fabricants, OEM, laboratoires de tests, organismes de certification. Mais il a également été pensé pour les régulateurs, experts techniques et décideurs africains : comprendre cette réglementation, c’est anticiper son influence croissante sur les chaînes d’approvisionnement mondiales, et s’en inspirer pour construire des cadres de cybersécurité adaptés aux réalités du continent. L’objectif reste le même : transformer la complexité normative en actions concrètes, du premier audit interne jusqu’au marquage CE.

Plan de l'ouvrage
Structure du guide CRA
I
Comprendre le CRA
Genèse, champ d'application, classification des produits et acteurs.
  • De l'attaque Mirai au CRA : pourquoi un règlement ?
  • Champ d'application matériel : produits, composants, logiciels SaaS
  • Classification : Standard, Classe I, II, Critique + règlement exéc. 2025/2392
  • Rôles : fabricant, importateur, distributeur, open source steward
II
Exigences essentielles (Annexe I)
Les 13 exigences produit et les 8 exigences de gestion des vulnérabilités.
  • Propriétés de cybersécurité des produits (Partie 1)
  • Gestion des vulnérabilités, SBOM, CVD (Partie 2)
  • Évaluation des risques : méthodologie (STRIDE/TARA/EBIOS RM)
  • Matrice de conformité et template d'évaluation
III
Conformité & normalisation
Procédures d'évaluation, documentation technique, normes harmonisées (M/606).
  • Modules A · B+C · H · EUCC : choisir la bonne voie
  • Documentation technique (Annexe VII) et déclaration de conformité UE
  • Mandat M/606 : 41 normes harmonisées (Types A, B, C)
  • Présomption de conformité et anticipation normes (EN 18031, ETSI EN 303 645, IEC 62443)
📡 Expertise terrain · 15 ans RF & Cyber
Abdoul Karim Mamani Malam Goga
Expert Cybersécurité · Sécurité des équipements IoT & radio · Gouvernance & conformité
ISO 27001 / 27005 NIST / EBIOS RM Directive RED / CRA Régulation télécoms IoT Security APSI-NE
📘 Mastère Politique de Cybersécurité (TECH) 🎓 Master Sécurité des Systèmes d'Information (UIT/OC)
L'auteur
Un praticien du terrain à la régulation

Fort de plus de 15 ans d'expérience au carrefour des réseaux mobiles, de la régulation technique et de la cybersécurité, Abdoul Karim Mamani Malam Goga a construit son parcours à la croisée du terrain opérateur (ingénierie radio, optimisation QoS) et de l'administration réglementaire.

Il a contribué à l'intégration formelle de la cybersécurité dans les procédures d'homologation des équipements télécoms et IoT — une démarche aboutissant à un arrêté ministériel et une décision du Conseil de Régulation. Une première en Afrique de l'Ouest francophone, en phase avec les exigences du CRA et de la directive RED.

Titulaire d'un Master Spécialisé en Gestion des Politiques de Cybersécurité (TECH Université, Espagne) et d'un Master Sécurité des Systèmes d'Information en cours (UIT / OpenClassrooms), il préside le Club Cybersécurité de l'ESPA-MT et représente la communauté nigérienne de la sécurité de l'information au sein de l'APSI-NE.

Sa double compétence — régulation radio (bancs R&S CMW500/CMX500) et cybersécurité des équipements (analyse firmware, tests d'intrusion, conformité CRA/RED/ETSI) — lui confère une perspective unique sur la mise en œuvre des exigences essentielles du CRA.

Contenu opérationnel
Outils & méthodologies
A Texte intégral des 13 exigences (Partie 1) + tableau de mise en œuvre
B Les 8 exigences de gestion des vulnérabilités (Partie 2) + référentiel
C Checklist documentation technique (Annexe VII) — template opérationnel
D Arbre de décision : classification & sélection de la procédure d'évaluation
E Glossaire des termes clés du CRA et de la cybersécurité des produits
F Références réglementaires (EUR-Lex, ENISA, ANSSI) et ressources techniques

Ces annexes forment un corpus documentaire directement utilisable : templates d'évaluation des risques, checklists de documentation technique, modèles de déclaration de conformité UE et cartographie des textes réglementaires connexes (RED, NIS2, DORA, AI Act, Data Act).

Retours & contributions
Contribuer à l'amélioration du guide

Ce guide s'appuie sur le texte du règlement (UE) 2024/2847, sur les orientations de la Commission européenne (mars 2026) et sur l'expérience terrain de l'auteur en matière d'homologation et d'évaluation de la cybersécurité des équipements.

Si vous identifiez une erreur, une inexactitude ou un point nécessitant une mise à jour (notamment sur l'état d'avancement des normes harmonisées ou la disponibilité des organismes notifiés), merci de me le signaler.

Vos retours, retours d'expérience sur la mise en conformité CRA, ainsi que vos suggestions pour les prochaines éditions sont les bienvenus.

📧 feedback@karimgoga.com

Ce formulaire ouvre votre messagerie avec le retour pré-rempli.

✓ Votre messagerie s'ouvre avec le retour pré-rempli.