Le temps de la cybersécurité greffée en fin de cycle est terminé. Le CRA pousse les éditeurs et fabricants à industrialiser la sécurité, la preuve de conformité et la gestion des correctifs avant que le marquage CE et l’accès au marché européen ne se jouent à chaque release.
Le Cyber Resilience Act (CRA) s’impose comme une référence incontournable pour tous les concepteurs et fabricants de produits numériques destinés au marché de l’Union européenne. Ce nouveau cadre légal introduit des exigences rigoureuses en matière de cybersécurité, de gestion des risques et de conformité, s’appliquant tout au long du cycle de vie des produits. Il concerne une large gamme d’acteurs, allant des éditeurs de logiciels aux fournisseurs de matériels connectés. Il est donc impératif de comprendre qui est concerné et d’identifier les étapes clés pour anticiper sa mise en œuvre.
Qu’est-ce que le CRA et que couvre-t-il ?
Dans son principe, le CRA s’applique à tout « produit comportant des éléments numériques » : équipements matériels, logiciels, micrologiciels et même composants cloud indispensables au fonctionnement d’un produit. Sont donc concernés la plupart des applications et logiciels autonomes, les appareils embarquant un firmware, les services cloud supportant un produit physique, ainsi que les SDK et bibliothèques logicielles fournis pour intégration. Des produits non directement connectés à Internet peuvent eux aussi entrer dans le champ du CRA s’ils sont destinés à des environnements connectés, comme une clé USB ou un téléviseur qui devient connecté après configuration. À l’inverse, les logiciels open source non commerciaux, les fichiers multimédias et plus largement les données non exécutables restent en dehors du périmètre.
Classification des risques : par défaut, important ou critique ?
La CRA classe les produits en quatre catégories en fonction du risque de cybersécurité :
* Par défaut (risque faible)
* Important Classe I
* Important Classe II
* Critique (risque élevé)
La classification de ces produits est essentielle, car elle définit le niveau de contrôle nécessaire, qui peut aller de l’auto-évaluation à l’évaluation par un organisme tiers. Bien que les annexes III et IV du CRA contiennent des listes indicatives de types de produits, il incombe en dernier ressort aux fabricants de déterminer la classification de leurs produits en fonction de leur utilisation prévue et de leur impact potentiel sur la cybersécurité.
Quand les entreprises doivent-elles se conformer ?
Le CRA est entré en vigueur fin 2024. Son application pleine et entière sera obligatoire à partir du 11 décembre 2027, date à laquelle il s’appliquera aux nouveaux produits mis sur le marché, ainsi qu’aux produits existants faisant l’objet de mises à jour ou de modifications significatives. Toutefois, les obligations de signalement des vulnérabilités activement exploitées entreront en vigueur plus tôt, dès le 11 septembre 2026.
Qui doit se conformer ?
Les obligations liées au Cyber Resilience Act s’appliquent à un large éventail d’acteurs, notamment les fabricants de hardware et de logiciels, les représentants autorisés au sein de l’UE, les importateurs et les distributeurs, ainsi que les développeurs d’applications, de SDK et de systèmes d’exploitation, et les start-ups qui développent des appareils intelligents ou des outils numériques. Cette réglementation rend toutes ces parties prenantes responsables du développement sécurisé et de la gestion du cycle de vie des produits numériques concernés.
Quelles sont les principales exigences du CRA ?
Pour se mettre en conformité avec le CRA, les fabricants doivent réaliser une analyse des menaces et une évaluation des risques (TARA), puis appliquer les principes de sécurité dès la conception et de sécurité par défaut. Ils sont tenus de déployer un processus structuré de gestion des vulnérabilités, incluant la notification rapide aux autorités compétentes des vulnérabilités et incidents activement exploités, suivie de rapports complémentaires dans des délais précis. Ils doivent également constituer et maintenir une documentation technique démontrant la conformité, et garantir la fourniture de mises à jour de sécurité pendant toute la durée de vie prévue du produit. Cette documentation doit notamment couvrir l’analyse de risques et ses justifications, la nomenclature logicielle (SBOM), les plans de mise à jour, l’historique de gestion des vulnérabilités ainsi que la déclaration de conformité.
Comment évaluer la conformité ?
Les exigences en matière d’évaluation dépendent de la classification des produits :
* Par défaut : auto-évaluation interne.
* Important Classe I : auto-évaluation ou validation facultative par un tiers.
* Important Classe II / Critique : l’évaluation par un organisme notifié tiers est obligatoire.
Même si un produit dispose déjà de certifications comme l’EUCC ou le SESIP, celles-ci ne suffisent pas à remplacer les évaluations spécifiques exigées par le CRA ; elles viennent uniquement les compléter.
Que se passe-t-il en cas de non-conformité ?
Le non‑respect du Cyber Resilience Act s’accompagne de sanctions particulièrement lourdes. Les entreprises encourent des amendes pouvant atteindre 15 millions d’euros ou 2,5 % de leur chiffre d’affaires mondial, mais aussi des mesures affectant directement leurs produits, comme des rappels ou des interdictions de mise sur le marché européen. Ces manquements dégradent par ailleurs durablement l’image de l’entreprise et la confiance de ses clients.
Parce que le marquage CE atteste de la conformité aux exigences du CRA, un produit qui n’est pas conforme ne peut ni être vendu légalement dans l’Union européenne, ni porter ce marquage. Les fabricants établis hors UE sont eux aussi tenus de respecter ce cadre : ils doivent notamment désigner un représentant autorisé dans l’Union et satisfaire à l’ensemble des obligations du CRA pour accéder au marché européen.
Comment s’y préparer dès aujourd’hui ?
Pour se préparer efficacement la CRA, il est recommandé de suivre quatre étapes fondamentales, même s’il n’existe pas de solution unique.
1 – Classification et évaluation des risques : les entreprises peuvent commencer par classer leur produit dans la catégorie de risque appropriée et définir le profil de menace correspondant
2 – Analyse des écarts : elles peuvent ensuite évaluer leurs pratiques de développement actuelles par rapport aux exigences de la CRA afin d’identifier les lacunes.
3 – Feuille de route pour la conformité : elles devront ensuite établir une feuille de route pour la conformité qui s’aligne sur leurs cycles de développement de produits
4 – Optimisation des outils : les organisations sont invitées à exploiter les boîtes à outils et les modèles existants pour les piliers de la conformité, tels que la nomenclature logicielle (SBOM), le développement sécurisé et la gestion des vulnérabilités. L’ENISA et les autorités nationales mettront à disposition des orientations officielles, des modèles et des listes de contrôle pour accompagner cette démarche
Le Cyber Resilience Act instaure une mutation profonde du cycle de vie des produits numériques au sein du marché européen. Désormais, la cybersécurité s’impose comme une responsabilité pérenne et non plus comme une simple vérification après-vente. Elle doit être intégrée à chaque étape : de la conception initiale au développement, jusqu’au déploiement et à la maintenance continue. Les fabricants qui anticipent dès aujourd’hui l’alignement de leurs processus bénéficieront d’un avantage stratégique majeur. En intégrant ces exigences nativement dans leurs cycles de développement, ils pourront non seulement garantir une conformité fluide et efficace, mais aussi réduire leurs risques opérationnels de manière proactive.
____________________________
Par Mafalda Cortez, Product Manager, Services chez Keysight Technologies
____________________________
puis