Qu’est ce que le CRA

GUIDE COMPLET · MISE À JOUR 2025

Qu’est-ce que le
Cyber Resilience Act ?

Le règlement européen qui impose des obligations de cybersécurité à tous les fabricants de produits connectés. Ce qu’il est, qui il concerne, ce qu’il impose — et comment se préparer.

Évaluer ma conformité Checklist CRA gratuite

Déc. 2024

Entrée en vigueur du CRA

Sept. 2026

1re échéance — notification incidents

Dec. 2027

Conformité produit complète requise

15 M€

Amende max pour produits classe II

1. Définition — ce qu’est le CRA

Le Cyber Resilience Act (CRA) est un règlement européen adopté en octobre 2024 et entré en vigueur en décembre 2024. Il impose des exigences obligatoires de cybersécurité à tous les fabricants, importateurs et distributeurs de produits comportant des éléments numériques vendus sur le marché européen.

En clair : si votre produit se connecte à un réseau, à internet, ou à d’autres appareils — il est probablement concerné par le CRA. Routeurs, caméras, équipements industriels connectés, logiciels embarqués, applications, objets connectés grand public… le périmètre est très large.

La philosophie du CRA en une phrase : les fabricants doivent assumer la responsabilité de la sécurité de leurs produits tout au long de leur cycle de vie — pas seulement au moment du lancement.

2. Qui est concerné

Le CRA s’applique à toute entreprise qui fabrique, importe ou distribue des produits connectés sur le marché européen, quelle que soit sa localisation géographique. Une entreprise américaine, coréenne ou taiwanaise qui vend en Europe est soumise au CRA.

Les catégories de produits concernés :

Produits matériels avec composants logiciels connectés (IoT, équipements industriels, dispositifs médicaux non couverts par d’autres règlements)
Logiciels commerciaux non embarqués (applications, plateformes SaaS sous certaines conditions)
Composants logiciels intégrés dans d’autres produits

Qui est exempté ? Les logiciels open source développés sans intention commerciale, les produits déjà couverts par des règlements sectoriels spécifiques (dispositifs médicaux MDR, véhicules, aviation), et les produits destinés exclusivement aux applications militaires ou de défense nationale.

3. Les 3 classes de produits

Le CRA classe les produits selon leur niveau de risque cybersécurité. La classe détermine les obligations et les sanctions applicables :

CLASSE PAR DÉFAUT

Produits standard

La grande majorité des produits. Auto-évaluation de conformité possible. Obligations de base CRA applicables.

Ex : routeurs grand public, smart TV, appareils connectés standard, logiciels bureautiques

CLASSE I

Produits à risque élevé

Audit par organisme notifié requis ou normes harmonisées. Obligations renforcées de documentation et de notification.

Ex : navigateurs, gestionnaires de mots de passe, pare-feux, VPN, OS, hyperviseurs

CLASSE II

Produits critiques

Audit obligatoire par organisme notifié. Exigences maximales. Amendes jusqu’à 15 M€ ou 2,5 % du CA mondial.

Ex : systèmes de contrôle industriels, équipements réseau critiques, systèmes d’authentification

4. Les 5 obligations principales

Quelles que soit la classe, le CRA impose cinq obligations fondamentales à tous les fabricants :

Obligation	Ce que ça signifie concrètement	Échéance
Security by design	Les exigences de sécurité doivent être intégrées dès la conception du produit, pas ajoutées après coup.	Déc. 2027
SBOM obligatoire	Inventaire complet et à jour de tous les composants logiciels du produit, y compris les dépendances open source.	Déc. 2027
Gestion des vulnérabilités	Processus de surveillance des CVE, analyse d’impact, correction et communication aux utilisateurs pendant toute la durée de support.	Déc. 2027
Notification incidents	Notification à l’ENISA en 24h en cas de vulnérabilité activement exploitée. Rapport complet sous 14 jours.	Sept. 2026
Documentation technique	Dossier technique complet, déclaration de conformité UE, marquage CE cybersécurité.	Déc. 2027

Où en êtes-vous sur ces 5 obligations ?

Le simulateur de maturité CRA évalue votre niveau sur chacun de ces axes en 10 questions — résultat immédiat avec les priorités.

Faire le simulateur Checklist gratuite

5. Le calendrier CRA

Le CRA est en vigueur depuis décembre 2024, mais les obligations s’appliquent progressivement selon un calendrier échelonné :

Octobre 2024

Adoption du CRA

Publication au Journal officiel de l’UE. Le texte est définitif.

Décembre 2024

Entrée en vigueur

Le CRA est officiellement en application. Le compte à rebours de mise en conformité commence.

Aujourd’hui — Mars 2026

Fenêtre de mise en conformité

Les fabricants doivent être en train de mettre en place leurs processus SBOM, CVE et documentation technique.

Septembre 2026

Notification d’incidents obligatoire

Les obligations de notification à l’ENISA (24h) deviennent applicables. Première échéance concrète pour les équipes.

Décembre 2027

Conformité produit complète

Toutes les obligations CRA sont applicables. Marquage CE cybersécurité requis pour mettre de nouveaux produits sur le marché européen.

Décembre 2027, c’est moins loin qu’il n’y paraît : une mise en conformité sérieuse (SBOM automatisé, processus CVE, documentation technique complète) demande entre 12 et 24 mois. Les fabricants qui commencent au second semestre 2026 prendront des risques réels sur les délais.

6. Les sanctions

Le CRA prévoit des amendes administratives progressives selon la gravité de la non-conformité et la classe du produit :

Non-respect des exigences essentielles (art. 64) : jusqu’à 15 M€ ou 2,5 % du CA mondial annuel pour les produits classe II — le montant le plus élevé est retenu.
Non-conformité aux obligations de notification ou documentation (art. 65) : jusqu’à 10 M€ ou 2 % du CA mondial.
Informations incorrectes transmises aux autorités : jusqu’à 5 M€ ou 1 % du CA mondial.

Les autorités de surveillance de marché nationales (en France, l’ANSSI pour certains produits) ont également le pouvoir de retirer des produits non conformes du marché européen.

7. Par où commencer

Pour un fabricant qui part de zéro, voici les 4 premières étapes dans l’ordre :

Identifier vos produits concernés — tous vos produits connectés vendus en Europe sont probablement concernés. Déterminez leur classe CRA probable.
Mettre en place la génération de SBOM — c’est le prérequis de toutes les autres obligations. Sans inventaire des composants, la gestion des CVE et la documentation technique sont impossibles.
Créer un processus de surveillance CVE — corrélation automatique entre vos SBOM et les bases de vulnérabilités, avec alertes sur vos produits spécifiques.
Préparer la documentation technique — analyse de risque, documentation de sécurité, processus de mise à jour et durée de support définie pour chaque produit.

Toutes nos ressources CRA

Outils gratuits pour préparer votre conformité avant les échéances

Checklist CRA — 20 obligations

Le tour complet des obligations avec statut de conformité à cocher. PDF téléchargeable.

Simulateur de maturité CRA

10 questions, résultat immédiat avec score par axe et recommandations personnalisées.

Calculateur de coût de non-conformité

Estimez l’exposition financière réelle selon votre CA, vos produits et votre classe CRA.

Calendrier CRA interactif

Toutes les échéances avec compte à rebours et détail de chaque obligation par date.

Glossaire CRA — 17 termes

SBOM, CVE, VEX, CVSS, PSIRT — tous les termes techniques expliqués simplement.

FAQ CRA — 20 questions

Les questions les plus fréquentes des fabricants sur le périmètre, les obligations et les sanctions.

VAST · Cybersécurité produit

Prêt à automatiser votre conformité CRA ?

VAST génère vos SBOM, surveille les CVE en temps réel, produit les VEX et documente chaque décision — pour que vos équipes se concentrent sur le produit, pas sur la paperasse réglementaire.

Demander une démo Évaluer ma maturité