Cyber Resilience Act : ce que ça change concrètement pour les fabricants
Le Cyber Resilience Act est entré en vigueur en décembre 2024. Pour les fabricants de produits connectés, il ne s’agit plus d’anticiper une future réglementation — il s’agit de se mettre en conformité avant les premières échéances. Voici ce qui change vraiment, et comment s’y préparer.
Qu’est-ce que le Cyber Resilience Act ?
Le Cyber Resilience Act (CRA) est un règlement européen qui impose des exigences de cybersécurité à tous les produits comportant des éléments numériques — logiciels embarqués, objets connectés, applications industrielles, dispositifs médicaux connectés, et bien d’autres. Il a été publié au Journal Officiel de l’UE en décembre 2024 et s’applique progressivement jusqu’en 2027.
Concrètement, le CRA oblige les fabricants à intégrer la cybersécurité tout au long du cycle de vie de leurs produits : de la conception jusqu’à la fin de support, en passant par la gestion des vulnérabilités après mise sur le marché. Ce n’est plus une bonne pratique optionnelle — c’est une obligation légale assortie de sanctions.
Quels produits sont concernés ?
Le règlement couvre tout produit « comportant des éléments numériques » mis sur le marché européen. La liste est large : routeurs, caméras connectées, logiciels industriels, applications mobiles, systèmes embarqués dans des machines, équipements médicaux connectés…
Un produit est concerné par le CRA dès lors qu’il peut se connecter — directement ou indirectement — à un autre appareil ou à un réseau, et qu’il comporte du code logiciel, qu’il soit intégré ou téléchargeable.
Le CRA distingue trois catégories selon le niveau de risque :
- Classe par défaut — la grande majorité des produits. Autocertification possible.
- Classe I — produits à risque élevé (ex : navigateurs, gestionnaires de mots de passe, produits industriels). Audit par un organisme notifié requis.
- Classe II — produits critiques (ex : hyperviseurs, pare-feux industriels, PKI). Exigences renforcées.
Si vous n’êtes pas sûr de la classe de votre produit, la règle est simple : appliquez les exigences de la classe par défaut et documentez votre raisonnement. En cas de doute, consultez l’ANSSI ou un juriste spécialisé.
Les 5 obligations principales pour les fabricants
Le CRA impose des obligations concrètes réparties sur l’ensemble du cycle de vie du produit. Voici les cinq points qui demandent le plus de changements organisationnels.
1. Produire et maintenir un SBOM
Le Software Bill of Materials (SBOM) est la liste exhaustive de tous les composants logiciels de votre produit — bibliothèques open source, dépendances, firmware, code propriétaire. Sans SBOM, il est impossible de répondre à une CVE en moins de 24 heures. Le CRA le rend obligatoire.
2. Gérer les vulnérabilités sur toute la durée de vie
Vous devez surveiller les vulnérabilités connues (CVE), évaluer leur impact sur vos produits, et les corriger dans des délais définis. En cas de vulnérabilité activement exploitée, vous avez 24 heures pour notifier l’ENISA et les autorités compétentes.
Délai de notification : 24 heures. C’est le délai imposé par le CRA pour signaler à l’ENISA toute vulnérabilité activement exploitée dans votre produit. Sans inventaire des composants à jour, respecter ce délai est pratiquement impossible.
3. Documenter et prouver
Chaque décision de sécurité doit être tracée : pourquoi avez-vous choisi de corriger, de compenser ou d’accepter un risque ? Cette documentation doit être accessible rapidement en cas d’audit — pas reconstituée a posteriori.
4. Informer vos clients et utilisateurs
Vos clients professionnels ont le droit de savoir si une vulnérabilité impacte le produit qu’ils ont acheté. Le format VEX (Vulnerability Exploitability eXchange) est le standard qui permet de communiquer cet impact sans divulguer vos secrets de conception.
5. Garantir un support sécurité sur la durée de vie
Le CRA impose une durée minimale de support sécurité, qui doit être communiquée à l’acheteur avant la vente. À l’issue de cette période, vous devez informer vos clients en avance suffisante pour qu’ils puissent migrer vers une solution à jour.
Checklist des 20 obligations concrètes — gratuite, livrée par email, prête à partager en interne.
Le calendrier d’application à connaître
Le CRA ne s’applique pas du jour au lendemain. La Commission européenne a prévu un calendrier progressif pour laisser aux fabricants le temps de se mettre en conformité.
- Décembre 2024 — Entrée en vigueur du règlement.
- Septembre 2026 — Les obligations de notification des incidents (vulnérabilités activement exploitées) deviennent applicables.
- Décembre 2027 — Application complète de toutes les obligations. Les produits mis sur le marché après cette date doivent être conformes.
En pratique, 2027 approche vite. Une mise en conformité sérieuse demande entre 12 et 24 mois selon la maturité de l’organisation. Les fabricants qui commencent aujourd’hui seront prêts. Ceux qui attendent 2026 prendront des risques.
Les produits déjà sur le marché avant décembre 2027 qui n’ont pas subi de « modification substantielle » bénéficient d’une période de transition. Mais si vous mettez à jour votre produit de manière significative après cette date, il entre dans le champ du CRA.
Ce que ça change dans votre organisation
Le CRA n’est pas seulement une contrainte réglementaire — il oblige à repenser la façon dont la cybersécurité est intégrée dans les processus produit. Voici les changements organisationnels les plus courants.
Pour les équipes produit et R&D
La sécurité doit devenir un critère de conception au même titre que la performance ou la consommation énergétique. Cela implique d’intégrer des revues de sécurité dans les sprints, de maintenir un inventaire des dépendances à jour, et de documenter les décisions d’architecture.
Pour les équipes conformité et juridique
Le CRA impose une documentation formelle : analyse de risque, déclaration de conformité, procédures de gestion des incidents. Ces documents doivent être maintenus à jour et accessibles rapidement en cas de contrôle par une autorité de surveillance de marché.
Pour la direction générale
La conformité CRA devient un argument commercial. Vos clients industriels et institutionnels vont vous demander des preuves avant de signer — exactement comme le RGPD est devenu un critère d’achat. Les fabricants conformes auront un avantage concurrentiel réel.
Par où commencer ?
La mise en conformité CRA peut sembler complexe, mais elle se décompose en étapes claires. L’erreur la plus fréquente est de vouloir tout faire en même temps. La bonne approche est séquentielle.
Étape 1 — Inventaire. Commencez par recenser tous vos composants logiciels. Sans SBOM, aucune autre obligation ne peut être remplie efficacement. C’est le socle de toute la conformité CRA.
Étape 2 — Analyse de risque. Identifiez les menaces pertinentes pour votre produit et évaluez leur criticité. Documentez vos conclusions même si elles sont encore incomplètes — une analyse partielle vaut mieux qu’aucune trace.
Étape 3 — Processus de surveillance. Mettez en place un processus pour surveiller les CVE qui concernent vos composants. Ce processus doit être opérationnel avant septembre 2026, date à laquelle les obligations de notification deviennent applicables.
Étape 4 — Documentation et preuves. Commencez à versionner vos rapports de sécurité dès maintenant. Chaque décision tracée aujourd’hui est une preuve disponible demain en cas d’audit.
Si vous ne savez pas où vous en êtes sur chacun de ces points, la checklist ci-dessous vous permet de faire le point en moins de 10 minutes.
Prêt à évaluer votre conformité CRA ?
Téléchargez la checklist des 20 obligations ou échangez directement avec notre équipe — sans partage d’informations sensibles, sous NDA si nécessaire.