Points clés
- Le règlement sur la cyberrésilience (CRA) fixe des exigences minimales pour la cybersécurité des produits comportant des éléments numériques.
- Le règlement ne se concentre pas sur les organisations, mais sur les produits eux-mêmes.
- Toute personne qui place un produit numérique sur le marché européen doit démontrer qu’il est conçu, construit et entretenu de manière sécurisée.
- La sécurité doit être intégrée à la fois dans la phase de construction (sécurisé par conception) et dans la phase de soutien.
- Les vulnérabilités doivent être surveillées activement et les incidents graves doivent être signalés à partir de septembre 2026.
- Le marquage CE devient une preuve de conformité, basée sur des processus documentés et des analyses de risques.
- La demande complète du CRA suivra en décembre 2027, mais la conformité nécessite une préparation rapide
Introduction : L’Europe trace une ligne claire
L’Europe s’engage à un avenir numérique sécurisé. Elle agit de différentes manières pour y parvenir. L’une des étapes concrètes dans cette direction consiste à rendre les produits numériques plus sécurisés.
Avec le Cyber Resilience Act (CRA), l’Union européenne fixe un seuil minimum clair pour la cybersécurité des produits comportant des éléments numériques. Là où NIS2 se concentre sur la sécurisation des organisations, le CRA se concentre sur autre chose : les produits eux-mêmes.
Jusqu’à récemment, les fabricants pouvaient souvent dire : « Voici notre produit. Le client doit l’utiliser en toute sécurité. » La responsabilité incombait en grande partie à l’utilisateur lui-même. Ce CRA renverse ce principe : toute personne qui apporte un produit comportant des éléments numériques sur le marché européen doit désormais pouvoir démontrer que le produit est conçu, construit et entretenu en toute sécurité.
Le CRA est donc plus qu’une nouvelle règle. Il fait de la cybersécurité une partie intégrante des produits numériques. Qu’est-ce que cela signifie concrètement pour les fabricants et les fournisseurs ? Vous le découvrirez sur ce blogpost.
Qu’est-ce que le règlement sur la cyberrésilience (CRA) ?
Le règlement sur cyberrésilience (CRA) est un règlement européen qui fixe des exigences minimales pour la cybersécurité des produits comportant des éléments numériques.
En résumé : le CRA détermine le niveau de sécurité qu’un produit numérique doit atteindre avant de pouvoir être mis sur le marché européen.
Alors que NIS2 exige que les organisations sécurisent mieux leurs systèmes et processus, le CRA se concentre sur le produit lui-même. L’objectif est de garantir que les produits numériques soient conçus et construits de manière sécurisée dès le départ, et qu’ils restent sécurisés même après leur vente.
Cette loi vise principalement à résoudre un problème fondamental : trop souvent, les produits ont été mis sur le marché sans une attention suffisante à la cybersécurité. Les mises à jour sont limitées, les vulnérabilités sont poursuivies tardivement et la responsabilité a été transférée au client.
Avec le CRA, l’Europe trace une ligne claire. Toute personne vendant un produit avec des éléments numériques dans l’UE doit :
- Intégrer de la sécurité dans la conception et le développement
- Surveiller activement les vulnérabilités
- Fournir des mises à jour de sécurité (pour la durée prévue du produit)
- Être capable de démontrer que tout cela est fait de manière structurelle
Il ne s’agit donc pas d’un contrôle technique ponctuel ni d’un exercice typique de « check in the box ». Il s’agit d’une responsabilité permanente sur tout le cycle de vie du produit.
À qui s’applique le CRA ?
Le règlement sur la cyberrésilience n’est pas spécifique à un secteur. Il ne s’agit donc pas seulement des infrastructures critiques, des institutions de santé ou des acteurs financiers comme pour NIS2.
Le CRA s’applique à toute personne qui place un produit comportant des éléments numériques sur le marché européen.
Un produit est compris comme : « Un produit logiciel ou matériel et ses solutions de traitement de données à distance ». Il peut donc s’agir de logiciels autonomes (tels que des applications ou programmes), du matériel avec logiciel embarqué (comme des dispositifs de l’Internet des objets), du matériel autonome (comme des circuits intégrés ou des cartes mères) ou une combinaison de ces options.
Les produits peuvent être commercialisés sur le marché européen par :
- Le fabricant
- L’importateur
- Ou toute partie qui propose le produit en premier dans l’UE (y compris en dehors de l’UE)
En pratique, c’est généralement le fabricant. Mais les importateurs portent aussi des responsabilités. Si vous placez un produit sur le marché européen, vous devez pouvoir démontrer qu’il répond aux exigences du CRA.
Cela s’applique-t-il aussi aux PME ?
Oui. La taille de votre organisation n’a pas d’importance. Si vous mettez un produit numérique sur le marché, vous relevez du CRA. Les petites et moyennes entreprises doivent également répondre aux exigences de base.
L’Europe reconnaît que cela peut représenter un défi plus important pour les PME. C’est pourquoi des mesures de soutien sont mises en place, notamment par le biais d’initiatives telles que l’ appel à financement en cascade Secure4SME. Dans le cadre de cet appel, les PME européennes peuvent demander un soutien financier pour renforcer leur cybersécurité et se préparer au CRA.
Voulez-vous en savoir plus ?
Cingulum peut guider les organisations dans la cartographie de leur maturité actuelle, l’élaboration d’une roadmap CRA et la mise en œuvre des processus techniques et de gouvernance nécessaires. Nous soutenons non seulement la préparation du CRA sur le fond, mais aidons également à évaluer comment des initiatives telles que Secure4SME peuvent être utilisées stratégiquement.
Souhaitez-vous savoir où en est votre organisation aujourd’hui et si vous êtes éligible au soutien ? Ensuite, nous aimerions examiner cela ensemble lors d’une réunion exploratoire.
Chaque produit numérique est-il traité de manière égale ?
Non. Le CRA adopte une approche basée sur le risque. Plus votre produit a un impact sur la sécurité des utilisateurs ou d’autres systèmes, plus les exigences peuvent être strictes.
Un produit qui remplit une fonction critique, comme un système de contrôle ou un composant de véhicule intelligent, sera évalué plus fortement qu’un produit ayant un impact moindre. Mais la base reste la même : toute personne vendant un produit comportant des éléments numériques dans l’UE doit démontrer qu’il a été conçu de manière sécurisée et qu’il restera sécurisé tout au long de sa durée de vie.
Qu’est-ce qui va changer concrètement ? Deux engagements majeurs
Le règlement sur la cyberrésilience apporte avec lui beaucoup de terminologie nouvelle et familière. Mais en pratique, cela se résume à deux obligations majeures. Le règlement distingue deux phases du cycle de vie d’un produit : la phase de construction et la phase de soutien. En d’autres termes, il faut construire un produit en toute sécurité et le garder en sécurité.
1. La phase de construction : produits de construction en toute sécurité
Le premier changement majeur se situe dans la phase de développement. La sécurité ne doit pas être une couche supplémentaire que vous ajoutez ensuite, mais doit être intégrée dans la conception et le développement du produit lui-même.
Le CRA parle souvent de « secure by design ». Cela peut sembler abstrait, mais le principe est simple : dès le premier design, il faut réfléchir à la manière dont le produit peut être mal utilisé et à la manière de l’éviter. Nous connaissons le même principe grâce au RGPD, qui parle de privacy by design.
Cela peut concerner des choses comme authentifier l’utilisateur lors de l’installation initiale, éviter les paramètres par défaut susceptibles d’être exploités, ou protéger des interfaces internes sensibles, mais cela ne s’arrête pas là. Les mesures exactes dépendent du type de produit et du risque encouru.
Ce qui est certain, c’est que les fabricants doivent être capables de démontrer qu’ils :
- ont identifié les risques,
- ont fait des choix de sécurité conscients intégrés,
- et aussi documenté ces choix.
Il s’agit donc moins d’une liste technique fixe qu’une manière structurée de travailler. La sécurité deviendra une composante intégrée du cycle de développement du projet.
2. La phase de support : Assurer la sécurité des produits
Le deuxième changement majeur a lieu après la vente.
Par le passé, la responsabilité de nombreux fabricants s’arrêtait en grande partie dès la livraison du produit. Les mises à jour étaient limitées dans le temps, les vulnérabilités étaient suivies de manière réactive et la sécurité supplémentaire reposait souvent sur le client.
Le CRA change fondamentalement cela. Les fabricants doivent continuer à surveiller, suivre et résoudre activement les vulnérabilités lorsque cela est nécessaire. Cela signifie que vous devez non seulement construire un produit sécurisé, mais aussi fournir un mécanisme pour déployer des mises à jour de sécurité. Ces mises à jour doivent rester disponibles pendant toute la durée de vie prévue du produit.
En d’autres termes, la cybersécurité deviendra une obligation permanente.
De plus, le CRA introduit également des obligations de déclaration. A partir de septembre 2026, les vulnérabilités activement exploitées et les incidents graves ayant un impact sur la sécurité du produit doivent être signalés aux autorités compétentes. Cela nécessite non seulement une capacité technique, mais aussi des processus internes clairs.
Et c’est un défi. Beaucoup d’organisations sous-estiment le degré de suivi structurel que cela requière. Il s’agit notamment de :
- responsabilités claires au sein de l’entreprise,
- processus de gestion des vulnérabilités,
- documentation et éléments de preuve,
- et une vision à long terme du support produit.
Protéger un produit n’est pas une action ponctuelle. C’est un choix opérationnel qui peut prendre des années.
Comment commencer en tant qu’entreprise ?
Pour de nombreuses organisations, le CRA semble complexe et technique. Le réflexe est souvent de chercher immédiatement des solutions dans des outils supplémentaires ou des vérifications additionnels. Mais la première question que vous devez vous poser est plus simple : où en êtes-vous aujourd’hui ? Avez-vous déjà des processus liés au développement sécurisé ? Les vulnérabilités sont-elles systématiquement surveillées ? Existe-t-il une procédure claire de mise à jour ? Les analyses de risques sont-elles réalisées et documentées ?
Un bon départ se compose généralement de trois étapes :
1. Création d’une vision claire
Cartographiez quels processus existent déjà et où se trouvent les plus grandes lacunes. Cela donne une image réaliste de votre maturité actuelle.
2. Définir les priorités
Tout n’a pas besoin d’être fait en même temps. Le CRA repose sur une approche basée sur les risques. Tout d’abord, concentrez-vous sur ce qui a le plus grand impact sur la sécurité de votre produit.
3. Ancrer dans la durée
La sécurité doit être intégrée dans vos processus de développement et de support. Cela signifie des responsabilités claires, de la documentation et du suivi.
Il est important d’intégrer cette opération dans toute votre organisation. Ce n’est pas un projet avec une date de fin, mais plutôt une façon de travailler modifiée. Les entreprises qui adoptent une approche stratégique utilisent le CRA non seulement pour se conformer à la législation, mais aussi pour améliorer la qualité de leurs produits et renforcer la confiance des clients.
Comment démontrer que vous êtes conforme ?
Être conforme, c’est une chose. Pouvoir le démontrer est autre chose.
Le CRA attend non seulement que vous preniez des mesures de sécurité, mais aussi que vous puissiez prouver que vous les avez prises. Cela signifie : documentation, justification et transparence.
Le marquage CE joue un rôle central dans ce processus. Comme pour d’autres lois européennes sur les produits, le marquage CE indiquera que votre produit répond aux exigences applicables, y compris celles du CRA. Mais ce marquage n’est pas une formalité. Il doit reposer sur une évaluation de la conformité étayée.
Concrètement, cela signifie que vous devez être capable de démontrer, entre autres choses :
- Quelle analyse des risques a été réalisée
- Quelles mesures de sécurité ont été prises
- Comment les vulnérabilités sont suivies
- Comment les mises à jour sont déployées
- Quels processus internes existent pour cela
Le CRA exige également que certaines informations soient rendues publiques (par exemple, dans la documentation technique et les informations destinées aux utilisateurs), telles que les risques pertinents et les aspects de sécurité du produit. La transparence devient donc une partie intégrante de la conformité.
Délais et conformité
Le règlement sur la cyberrésilience ne prendra pas pleinement effet du jour au lendemain. Des périodes de transition claires sont prévues. Mais cela ne signifie pas que les entreprises peuvent attendre la dernière minute.
Une première date importante est le 11 septembre 2026. À partir de ce moment, les obligations de déclaration s’appliqueront pleinement. Cela signifie que les vulnérabilités activement exploitées et les incidents graves qui affectent la sécurité des produits comportant des éléments numériques doivent être signalés aux autorités compétentes.
La demande complète de la CRA suivra plus tard, le 11 décembre 2027. À partir de ce moment, les produits mis sur le marché européen doivent être pleinement conformes aux exigences de sécurité établies.
Ceux qui attendent jusqu’en 2026 ou 2027 pour commencer remarqueront qu’il ne s’agit pas d’un ajustement rapide, mais d’un changement fondamental dans la façon de travailler.
