Retour aux actualitésCyber Resilience Act

    Cyber Resilience Act (CRA) : ce que les éditeurs et fabricants doivent savoir en 2026

    16 min de lecture

    Adopté définitivement le 10 octobre 2024 et entré en vigueur le 10 décembre 2024, le Cyber Resilience Act(CRA) est le premier règlement européen qui impose des exigences de cybersécurité horizontales à l'ensemble des produits comportant des éléments numériques mis sur le marché de l'Union. À l'horizon 11 décembre 2027, plus aucun produit non conforme ne pourra être commercialisé en Europe. Ce guide détaille les obligations, sanctions et le plan d'action à enclencher dès aujourd'hui.

    Qu'est-ce que le Cyber Resilience Act ?

    Le règlement (UE) 2024/2847, dit CRA, vise à garantir que tous les produits matériels et logiciels vendus dans l'Union européenne respectent des exigences essentielles de cybersécurité tout au long de leur cycle de vie. Il introduit la notion de marquage CE cybersécurité : sans conformité CRA, plus de mise sur le marché européen.

    Le CRA complète la directive NIS2 (qui vise les opérateurs) et le règlement DORA (secteur financier) en s'attaquant cette fois aux produits eux-mêmes, qu'il s'agisse d'objets connectés, de logiciels SaaS, d'applications mobiles ou de composants industriels.

    Quels produits sont concernés ?

    Le périmètre est volontairement large. Sont visés tous les « produits comportant des éléments numériques » (PEN) destinés à être connectés directement ou indirectement à un autre appareil ou réseau, notamment :

    • Logiciels grand public et professionnels : OS, navigateurs, suites bureautiques, ERP, CRM, applications mobiles.
    • Solutions SaaS et cloud dès qu'elles intègrent un composant logiciel livré au client.
    • Objets connectés (IoT) : caméras, montres, électroménager intelligent, jouets connectés.
    • Équipements industriels (IIoT, OT) : automates, capteurs, passerelles industrielles.
    • Composants matériels : routeurs, microcontrôleurs, modules de communication.
    • Bibliothèques logicielles et SDK distribués à des tiers.

    Sont exclus uniquement les produits déjà couverts par d'autres réglementations sectorielles équivalentes (dispositifs médicaux, aéronautique, automobile, défense). Les logiciels libres bénéficient d'un régime aménagé sauf lorsqu'ils sont fournis dans un cadre commercial.

    Les 3 catégories de produits selon le CRA

    Le CRA classe les produits selon leur niveau de criticité, ce qui détermine la procédure d'évaluation de la conformité.

    • Catégorie par défaut (~90 % des produits) : auto-évaluation par le fabricant.
    • Produits importants — classe I : navigateurs, gestionnaires de mots de passe, antivirus, VPN, pare-feux personnels, équipements réseau domestiques. Auto-évaluation possible avec recours à des normes harmonisées.
    • Produits importants — classe II : hyperviseurs, pare-feux d'entreprise, systèmes de détection d'intrusion, microprocesseurs sécurisés, cartes à puce. Évaluation par un organisme notifié obligatoire.
    • Produits critiques : HSM, smart meters, certains équipements de cybersécurité. Certification européenne obligatoire au titre du Cybersecurity Act.

    Les obligations clés pour les fabricants

    1. Sécurité dès la conception

    Chaque produit doit être conçu, développé et fabriqué de manière à garantir un niveau approprié de cybersécurité fondé sur une analyse des risques. Les exigences essentielles couvrent : configuration sécurisée par défaut, protection contre les accès non autorisés, intégrité des données, minimisation de la surface d'attaque, mécanismes de mise à jour sécurisés.

    2. Gestion des vulnérabilités tout au long du cycle de vie

    Le fabricant doit assurer la fourniture de mises à jour de sécurité gratuites pendant toute la durée de support du produit (au moins 5 ans par défaut). Il doit également :

    • Maintenir un SBOM (Software Bill of Materials) à jour.
    • Mettre en place une politique de divulgation coordonnée des vulnérabilités.
    • Fournir des correctifs sans frais et de manière diligente.

    3. Notification des vulnérabilités exploitées et incidents graves

    Toute vulnérabilité activement exploitée et tout incident de sécurité grave doivent être notifiés à l'ENISA et au CSIRT national selon un calendrier strict :

    • Alerte précoce sous 24 heures.
    • Notification de vulnérabilité sous 72 heures.
    • Rapport final sous 14 jours pour les vulnérabilités, sous 1 mois pour les incidents.

    4. Documentation technique et marquage CE

    Le fabricant doit constituer un dossier technique complet (analyse de risques, conception, tests, gestion des vulnérabilités) et apposer le marquage CE attestant de la conformité. Une déclaration UE de conformité doit accompagner le produit.

    Calendrier d'application du CRA

    • 10 décembre 2024 : entrée en vigueur.
    • 11 juin 2026 : application des dispositions sur les organismes notifiés.
    • 11 septembre 2026 : obligation de notification des vulnérabilités et incidents.
    • 11 décembre 2027 : application complète. Plus aucun produit non conforme ne peut être mis sur le marché européen.

    Sanctions encourues

    Les sanctions sont alignées sur les régimes les plus sévères :

    • Non-respect des exigences essentielles de cybersécurité : jusqu'à 15 millions d'euros ou 2,5 % du CA mondial.
    • Non-respect des autres obligations : jusqu'à 10 millions d'euros ou 2 % du CA mondial.
    • Informations inexactes aux autorités : jusqu'à 5 millions d'euros ou 1 % du CA mondial.
    • Mesures correctrices : retrait, rappel ou interdiction de mise sur le marché.

    Impact sur les éditeurs SaaS et les ESN

    Contrairement à une idée répandue, le CRA ne se limite pas à l'IoT. Toute ESN qui édite ou distribue un logiciel commercial est concernée, de même que les éditeurs SaaS dès lors qu'un composant est déployé chez le client (agent, plugin, application desktop). Les principales conséquences :

    • Mise en place d'un processus PSIRT (Product Security Incident Response Team).
    • Formalisation d'une politique de cycle de vie produit avec engagement de support sécurité.
    • Gouvernance des dépendances open source et publication d'un SBOM.
    • Refonte des contrats clients pour intégrer les obligations CRA et la responsabilité associée.

    Plan de mise en conformité CRA en 7 étapes

    1. Cartographier les produits : recensez l'ensemble de votre catalogue et classez chaque produit par catégorie CRA.
    2. Réaliser une analyse d'écart par produit au regard des exigences essentielles de l'annexe I.
    3. Construire les SBOM et structurer la gouvernance des composants tiers et open source.
    4. Mettre en place un PSIRT avec processus de divulgation coordonnée des vulnérabilités.
    5. Intégrer la sécurité dans le cycle de développement (Secure SDLC) : threat modeling, SAST/DAST, revue de code sécurité, tests d'intrusion produit.
    6. Préparer la documentation technique et la déclaration UE de conformité.
    7. Former les équipes produit, dev, support et juridiques aux exigences CRA et aux obligations de notification.

    CRA, NIS2 et DORA : une approche cohérente

    Les trois textes forment l'ossature de la stratégie cybersécurité européenne. NIS2 vise les opérateurs, DORA vise le secteur financier, et le CRA vise les produits. Pour un éditeur de logiciels qui vend à des opérateurs essentiels, les trois cadres s'appliquent simultanément : il devient indispensable de structurer un programme de conformité unifié.

    Conclusion : anticiper pour préserver son accès au marché

    Le CRA modifie en profondeur la responsabilité des fabricants et éditeurs de produits numériques. Les acteurs qui anticipent transformeront cette contrainte en avantage compétitif : confiance client, accès facilité aux marchés publics, valorisation de la qualité logicielle. À l'inverse, les retardataires risquent un retrait pur et simple du marché européen à partir de fin 2027.

    CyberConform accompagne éditeurs SaaS, fabricants d'objets connectés et industriels dans la mise en conformité CRA : cartographie produit, analyse de risques, mise en place du PSIRT, Secure SDLC, SBOM et constitution du dossier technique pour le marquage CE.

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit