Aller au contenu

Cyber Resilience Act : ce que ça change pour l’industrie

CRA · INDUSTRIE · ÉQUIPEMENTS CONNECTÉS

Cyber Resilience Act :
ce que ça change pour l’industrie

Automates, capteurs, passerelles IIoT, SCADA, équipements de contrôle — le CRA s’applique à tous les fabricants d’équipements industriels connectés vendus en Europe. Ce que ça impose concrètement, secteur par secteur.

Évaluer ma conformité Parler à un expert

L’industrie manufacturière est au cœur du Cyber Resilience Act. Les équipements industriels connectés — automates programmables, passerelles IIoT, systèmes de supervision, capteurs intelligents — sont précisément les produits que le CRA cible. Beaucoup de fabricants industriels pensent que le CRA concerne surtout les éditeurs de logiciels ou les fabricants de smartphones. Ce n’est pas le cas.

Un automate programmable avec interface réseau est un produit numérique au sens du CRA. Dès lors qu’un équipement industriel embarque un composant logiciel et dispose d’une interface de communication — Ethernet, Wi-Fi, Bluetooth, OPC-UA, Modbus TCP — il entre dans le périmètre du règlement.

1. Quels équipements industriels sont concernés

Le CRA couvre tout produit comportant des « éléments numériques » connectables à un réseau. Dans l’industrie, cela inclut :

Automates et contrôleurs
PLC, DCS, PAC — dès lors qu’ils disposent d’une interface réseau (Ethernet/IP, Profinet, EtherCAT).
Classe I probable
Passerelles et routeurs IIoT
Equipements de collecte de données terrain, passerelles protocole, concentrateurs de capteurs.
Classe I probable
Systèmes SCADA / HMI
Interfaces homme-machine connectées, logiciels de supervision industrielle, systèmes de contrôle distribué.
Classe II possible
Capteurs intelligents
Capteurs avec firmware embarqué et connectivité réseau — température, pression, débit, vibration.
Classe par défaut
Équipements de sécurité industrielle
Systèmes de sécurité fonctionnelle (SIS), relais de sécurité connectés, contrôleurs de sécurité.
Classe II probable
Robots et cobots connectés
Robots industriels avec interfaces réseau, cobots avec connectivité cloud, bras robotisés programmables.
Classe I probable

Les équipements legacy ne sont pas exemptés : si vous mettez à jour le firmware d’un équipement existant ou le remettez sur le marché après une modification substantielle, les exigences CRA s’appliquent. La mise à jour logicielle peut déclencher la conformité même sur du matériel ancien.

2. Les spécificités industrielles face au CRA

Les fabricants d’équipements industriels font face à des contraintes particulières que les éditeurs de logiciels grand public ne rencontrent pas :

Durées de vie très longues

Un automate industriel peut rester en service 15 à 25 ans. Le CRA impose de définir une durée de support pendant laquelle les correctifs de sécurité sont fournis. Pour l’industrie, cette obligation crée un engagement commercial et technique sur le très long terme — avec des coûts de maintenance logicielle qui n’étaient pas prévus dans les modèles économiques traditionnels.

Contraintes de mise à jour en environnement opérationnel

Dans un environnement de production industrielle, une mise à jour firmware ne se déploie pas comme une mise à jour Windows. Elle nécessite des fenêtres de maintenance planifiées, des tests en environnement de qualification, une validation par le client. Le délai entre la publication d’un correctif et son déploiement chez les clients peut être de plusieurs semaines à plusieurs mois.

Ce que le CRA accepte : le règlement ne demande pas des correctifs déployés instantanément. Il demande que les correctifs soient disponibles rapidement et que les clients soient informés — via un VEX — de la disponibilité et des conditions de déploiement. La responsabilité du déploiement revient à l’opérateur industriel.

Composants tiers et open source embarqués

Les équipements industriels embarquent souvent des systèmes d’exploitation temps réel (VxWorks, QNX, FreeRTOS), des piles réseau, des bibliothèques de communication industrielle — parfois développées il y a 10 ou 15 ans, avec des vulnérabilités connues non corrigées. Le SBOM CRA va exposer ces dépendances de façon transparente.

3. Obligations CRA selon le type d’équipement

Type d’équipement Classe CRA probable SBOM Notification 24h Audit tiers
Capteur connecté simple Par défaut ✓ Obligatoire ✓ Si exploitée Auto-évaluation
Passerelle IIoT / routeur industriel Classe I ✓ Obligatoire ✓ Si exploitée ⚠ Requis ou normes
Automate programmable (PLC) Classe I ✓ Obligatoire ✓ Si exploitée ⚠ Requis ou normes
Système SCADA / supervision Classe I ou II ✓ Obligatoire ✓ Si exploitée ✗ Audit obligatoire
Équipement sécurité fonctionnelle Classe II ✓ Obligatoire ✓ Si exploitée ✗ Audit obligatoire

4. Cas concrets par sous-secteur industriel

ÉNERGIE
Fabricant d’onduleurs et convertisseurs connectés

Un fabricant d’onduleurs industriels avec interface de monitoring réseau est soumis au CRA (produit connecté) et potentiellement à NIS 2 (secteur énergie). Ses onduleurs embarquent généralement un OS embarqué Linux, une pile HTTPS et des bibliothèques de communication propriétaires.

  • SBOM à produire pour chaque référence produit — y compris les composants de la couche firmware
  • Processus CVE à connecter aux alertes sur OpenSSL, mbedTLS et autres bibliothèques réseau embarquées
  • Durée de support à définir et communiquer — problématique sur des onduleurs avec durées de vie de 20 ans
  • Canal de signalement sécurité à publier sur le site fabricant
MANUFACTURING
Fabricant de robots industriels connectés

Un fabricant de bras robotisés avec contrôleur connecté (télédiagnostic, mises à jour OTA, intégration MES) est en classe I CRA. Ses robots embarquent des OS temps réel, des middleware ROS ou propriétaires, et des interfaces réseau multiples.

  • Classification des composants par criticité dans le SBOM — différencier les composants de contrôle temps réel et les composants de communication
  • Processus de mise à jour firmware sécurisé (signature, vérification d’intégrité) — obligation CRA article 13
  • Documentation technique sur le cycle de vie des composants — ROS en particulier avec ses versions à durée de support limitée
  • VEX à produire pour les clients industriels qui exigent déjà ce niveau de transparence
EAU / ENVIRONNEMENT
Fabricant de systèmes de contrôle pour traitement de l’eau

Les systèmes de contrôle pour le traitement de l’eau entrent en classe II CRA — ils sont listés dans l’annexe II du règlement comme produits critiques. Un audit par organisme notifié est obligatoire avant la mise sur le marché.

  • Audit de conformité CRA par organisme notifié — à anticiper dès maintenant, les capacités d’audit seront sous tension en 2026-2027
  • Dossier technique complet requis — analyse de risque cybersécurité, documentation architecture, tests de sécurité
  • Notification ENISA en 24h si exploitation active — processus à mettre en place urgemment
  • Double conformité CRA + NIS 2 si l’entreprise opère aussi des services de distribution d’eau
VAST est conçu pour les contraintes industrielles

SBOM par firmware et version, gestion CVE adaptée aux cycles de mise à jour longs, VEX pour les clients industriels et traçabilité complète pour les audits de classe I et II.

Parler à un expert Évaluer ma maturité

5. Le calendrier vu de l’industrie

Les délais CRA sont particulièrement courts pour l’industrie, où les cycles de développement sont longs et les processus de validation stricts :

  • Maintenant → Septembre 2026 : mettre en place le SBOM automatisé, le processus CVE et le canal de signalement PSIRT. C’est la période critique — les équipes R&D industrielles ont besoin de temps pour intégrer ces outils dans leurs workflows.
  • Septembre 2026 : notification ENISA en 24h obligatoire. Sans SBOM et processus CVE opérationnels, cette échéance est impossible à tenir pour un portefeuille multi-produits.
  • Décembre 2027 : conformité produit complète. Pour les produits de classe I et II, les audits par organismes notifiés doivent être planifiés en 2026 — les capacités seront limitées.

La pénurie d’organismes notifiés : pour les produits de classe II, un audit par organisme notifié accrédité CRA est obligatoire. Ces organismes sont peu nombreux aujourd’hui et leur montée en charge prendra du temps. Les fabricants qui attendent 2027 pour initier leur démarche risquent de ne pas trouver de créneau d’audit à temps.

6. Par où commencer pour un fabricant industriel

  • Cartographier vos produits et leur classe CRA : listez vos références avec interface réseau, évaluez leur classe probable. Les produits de classe II ont besoin d’un traitement prioritaire.
  • Lancer le SBOM sur vos produits les plus exposés : commencez par le produit avec le plus grand volume installé ou le plus grand risque CVE. Un premier SBOM automatisé vous donnera une vision claire de votre exposition.
  • Auditer vos composants legacy : les OS embarqués et bibliothèques réseau anciens sont votre principal risque. Identifiez les composants en fin de support et planifiez leur remplacement ou leur mitigation.
  • Définir votre politique de durée de support : c’est une décision commerciale autant que technique. Elle doit être cohérente avec les attentes de vos clients industriels et documentée dans votre dossier technique CRA.
Approfondir le sujet
CRA
CRA : ce que ça change pour les fabricants
Les 5 obligations clés et le calendrier complet 2026-2027.
SBOM
SBOM obligatoire : comment s’y préparer
Outils et pipeline pour les composants firmware industriels.
RÉGLEMENTATION
CRA, ISO 27001, NIS 2 : quelles différences
Fréquent dans l’industrie — les trois peuvent se cumuler.
VAST · Industrie · CRA

VAST comprend les contraintes de l’industrie

Cycles de vie longs, firmware embarqué, composants legacy, fenêtres de maintenance — VAST est conçu pour la réalité des fabricants d’équipements industriels connectés.

Parler à un expert Évaluer ma maturité
FR EN