Aller au contenu

Sekost

Logo Sekost by YesWeHack - Bleu
Flash offert
Accueil Règlementation Cyber Resilience Act : qui est concerné, quelles obligations ?

Cyber Resilience Act : qui est concerné, quelles obligations ?

Certains produits numériques sont vendus sur le marché européen sans offrir de garanties suffisantes en matière de cybersécurité. C’est pourquoi l’Union européenne a promulgué le Cyber Resilience Act (CRA), qui encadre la mise sur le marché européen des produits logiciels et matériels tout au long de leur cycle de vie. 

Dans cet article, vous découvrirez :

  • les grands principes du Cyber Resilience Act,
  • qui est concerné par cette réglementation,
  • les obligations de cybersécurité que le CRA impose,
  • les étapes à suivre pour mettre votre PME en conformité.
Drapeau de l’Union européenne illustrant la réglementation Cyber Resilience Act sur la cybersécurité
Le cadre réglementaire du Cyber Resilience Act qui renforce les exigences de cybersécurité pour les produits numériques en Europe

1. Qu’est-ce que le Cyber Resilience Act ?

1.1 Introduction au CRA 

Le Cyber Resilience Act (CRA) est un règlement de l’Union européenne qui fixe des règles communes de cybersécurité pour les produits comportant des éléments numériques.

Le CRA s’applique dès lors qu’un produit est mis à disposition sur le marché de l’Union dans le cadre d’une activité commerciale, y compris si le fabricant est situé hors UE.

Un produit entre dans le champ du CRA quand son usage prévu implique une connexion à un appareil ou à un réseau.

1.2 Le calendrier du CRA

Le texte est entré en vigueur le 10 décembre 2024 à l’échelle de l’Union européenne. Cette date marque le début d’une période de transition pendant laquelle les entreprises doivent se mettre en conformité. Le CRA deviendra pleinement applicable le 11 décembre 2027, avec des étapes intermédiaires clés :

  • 11 juin 2026 : obligation d’application du chapitre IV de la réglementation. Celui-ci concerne la notification des organismes d’évaluation de conformité. En pratique, votre entreprise devra donc faire appel à un organisme habilité quand une évaluation tierce sera requise pour la mise en marché du produit.
  • 11 septembre 2026 : les obligations de reporting (prévues par l’article 14) commencent. Les fabricants devront déclarer les vulnérabilités activement exploitées et les incidents graves qui impactent la sécurité du produit.
  • 11 décembre 2027 : le CRA devient applicable dans son intégralité.

1.3 Quelles sanctions en cas de non-conformité ?

Le CRA impose aux États membres de l’UE de définir et d’appliquer des sanctions effectives, proportionnées et dissuasives, via les mécanismes nationaux de surveillance du marché.

Les plafonds (définis dans l’article 64 du CRA) sont structurés par niveaux :

  • jusqu’à 15 millions d’euros, ou 2,5 % du chiffre d’affaires annuel mondial (selon le plus élevé), pour les manquements aux exigences essentielles et à certaines obligations majeures,
  • jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires annuel mondial, pour d’autres manquements (documentation, marquage, etc.),
  • jusqu’à 5 millions d’euros, ou 1 % du chiffre d’affaires annuel mondial, notamment en cas d’informations incorrectes, incomplètes ou trompeuses fournies aux autorités ou organismes concernés. 

2. Qui est concerné par le CRA ?

2.1 Les acteurs concernés

Le Cyber Resilience Act s’adresse principalement à quatre catégories d’acteurs : 

  • Le fabricant : il s’agit de la personne ou de l’entreprise qui développe ou fabrique un produit avec des éléments numériques. Cela inclut le cas où le produit est conçu ou développé sous sa responsabilité. Le fabricant commercialise le produit sous son nom ou sa marque. La monétisation peut être directe ou indirecte (modèle publicitaire, freemium, etc.). Le CRA vise aussi les modèles gratuits.
  • Le représentant autorisé : il est établi dans l’UE et agit pour le compte du fabricant via un mandat écrit. Ses missions sont limitées aux tâches prévues par ce mandat. Il peut par exemple s’agir d’un prestataire européen de représentation réglementaire, mandaté pour structurer la documentation de conformité et répondre aux autorités.
  • L’importateur : basé au sein de l’Union, il fait entrer un produit venant d’un pays hors UE sur le marché européen. Ce produit porte le nom ou la marque d’un acteur extra-européen.
  • Le distributeur : il vend ou met à disposition un produit déjà mis sur le marché de l’Union. Il ne modifie pas les propriétés du produit. Il peut par exemple s’agir d’un revendeur, d’un intégrateur, d’une place de marché ou d’un grossiste.

2.2 Les produits concernés

Le CRA concerne les produits comportant des éléments numériques. La notion de produit comportant des éléments numériques recouvre :

  • un produit logiciel ou matériel,
  • ses solutions de traitement de données à distance quand elles sont nécessaires à une de ses fonctions,
  • ses composants (logiciels ou matériels), y compris lorsqu’ils sont vendus séparément.

Un produit entre dans le champ du CRA quand deux conditions sont réunies :

  • le produit est mis à disposition sur le marché de l’Union dans le cadre d’une activité commerciale,
  • l’usage prévu, ou raisonnablement prévisible, inclut une connexion à un appareil ou à un réseau.

Le texte prévoit également plusieurs cas particuliers qu’il est important de bien comprendre pour déterminer si votre produit est concerné par le Cyber Resilience Act.

Un produit mis à disposition en dehors de toute activité commerciale et sans objectif économique n’entre pas dans le champ d’application du CRA. Autrement dit, certains projets non marchands peuvent être exclus de cette réglementation.

Ensuite, le CRA prévoit une approche spécifique pour certains logiciels libres et open source. Leur traitement dépend notamment de leur mode de distribution et de leur éventuelle intégration dans une offre commerciale.

Par ailleurs, certains produits peuvent être exclus du CRA lorsqu’une autre législation européenne encadre déjà leurs exigences en matière de cybersécurité. Dans ce cas, ce sont ces réglementations spécifiques qui prévalent.

Enfin, certains produits jugés particulièrement sensibles pour la cybersécurité doivent faire l’objet d’une évaluation par un organisme tiers avant leur mise sur le marché. Cette exigence vise à renforcer le niveau de confiance sur des produits considérés comme critiques.

3. Quelles sont les obligations réglementaires du CRA ?

3.1 Les obligations avant la mise sur le marché

Le CRA pose un principe simple : avant de mettre un produit sur le marché de l’Union, le fabricant doit démontrer qu’il respecte un certain nombre d’exigences de cybersécurité.

Le fabricant doit ainsi : 

  • Réaliser une analyse des risques de cybersécurité. Ce diagnostic doit permettre d’identifier les principales menaces, vulnérabilités ou failles à combler. Il guide donc les mesures à adopter en matière de cybersécurité tout au long du cycle de vie du produit : planification, conception, développement, production, livraison, maintenance.
  • S’assurer que le produit respecte les exigences essentielles prévues par l’Annexe I. L’Annexe I est structurée en deux blocs : le premier concerne les propriétés de sécurité du produit, le second concerne la gestion des vulnérabilités. Le produit doit par exemple être livré avec une configuration sécurisée par défaut, et sans vulnérabilité connue exploitable au moment de sa mise sur le marché.
  • Faire preuve de diligence sur les composants tiers intégrés au produit, afin qu’ils ne dégradent pas la sécurité du produit.
  • Documenter l’analyse de risques, puis les moyens retenus pour répondre aux exigences dans la documentation technique. Cette documentation doit pouvoir être communiquée aux autorités de surveillance du marché si elles la demandent.
  • Réaliser la procédure d’évaluation de conformité applicable au produit, puis, si elle est concluante, établir la déclaration UE de conformité et apposer le marquage CE.

Il est important de noter que tous les produits ne suivent pas le même parcours de conformité. Le CRA impose aussi de fournir plusieurs éléments relatifs aux produits :

  • un élément d’identification du produit (type, lot, numéro de série, ou équivalent),
  • les informations d’identification et de contact du fabricant,
  • les informations et instructions pour l’utilisateur prévues en Annexe II, avec notamment la date de fin de période de support.

3.2 Les obligations pendant la période de support

Le CRA demande au fabricant de définir une période de support pendant laquelle il s’assure que les vulnérabilités du produit sont traitées efficacement, y compris celles des composants.

La période de support structure l’obligation de traitement des vulnérabilités dans la durée prévue. La date de fin de support doit être indiquée de manière claire au moment de l’achat, et indiquer au minimum le mois et l’année.

3.3 Les obligations après mise sur le marché

Une fois que le produit est sur le marché, le CRA introduit des obligations de notification pour les fabricants.

Le fabricant doit ainsi notifier les vulnérabilités activement exploitées et les incidents graves ayant un impact sur la sécurité du produit. Les notifications s’effectuent via la Single Reporting Platform du CRA (qui sera opérationnelle le 11 septembre 2026) et sont adressées au CSIRT (Computer Security Incident Response Team) de l’État membre de son établissement principal, ainsi que de l’Agence de l’Union européenne pour la cybersécurité (ENISA).

Les délais de notification sont déterminés par le CRA :

  • 24 heures pour l’envoi du premier signalement, à partir du moment où l’incident est identifié,
  • 72 heures pour l’envoi de la notification complète,
  • puis un rapport final, attendu dans des délais différents selon le cas.

Côté importateurs et distributeurs, le CRA impose aussi des devoirs de vérification et de réaction.

Les importateurs doivent s’assurer que le produit est conforme au CRA (processus de gestion des vulnérabilités, évaluation de conformité, documentation technique, etc.). 

Les distributeurs doivent vérifier la présence du marquage CE, ainsi que certains éléments obligatoires côté fabricant et importateur, dont les coordonnées, les informations utilisateur, et l’indication de la période de support.

4. Les bonnes pratiques pour se conformer au CRA

4.1 Constituer un dossier de conformité par produit

Votre PME doit être capable de démontrer la conformité de ses produits en cas de contrôle. Pour y parvenir, vous pouvez constituer un dossier pour chaque produit contenant : 

  • une évaluation des risques de cybersécurité formalisée,
  • une documentation technique qui inclut cette évaluation, et les moyens retenus pour prévenir les cyber risques identifiés,
  • la procédure d’évaluation de conformité applicable au produit,
  • la déclaration UE de conformité,
  • les éléments d’identification du produit,
  • les informations destinées à l’utilisateur.

Ce dossier doit être tenu à jour à chaque version majeure et à chaque changement de composant significatif.

4.2 Instaurer un processus de gestion des vulnérabilités

Le CRA impose au fabricant de gérer les vulnérabilités pendant le cycle de vie du produit, sur toute la période de support. Votre PME doit donc être en mesure de recevoir un signalement puis de le traiter, de le corriger et d’informer les utilisateurs.

Ce processus se déroule en plusieurs étapes : 

  • Documenter ce que contient votre produit en maintenant à jour une nomenclature logicielle (SBOM).
  • Réaliser proactivement et régulièrement des tests et des analyses de sécurité sur le produit.
  • Corriger sans délai les vulnérabilités dès qu’elles sont identifiées et publier les mises à jour de sécurité.
  • Distribuer les mises à jour de manière fiable en prévoyant un mécanisme de distribution sécurisé.
  • Mettre en place une politique de divulgation coordonnée (CVD) et un contact de signalement dédié. Après publication d’un correctif, il convient de divulguer publiquement les informations sur la vulnérabilité corrigée : une description claire, l’identification du produit concerné, l’impact et la gravité, les actions à effectuer pour corriger.
  • Diffuser les correctifs gratuitement en fournissant des instructions.

4.3 Mettre en place une politique de support réaliste

Le CRA vous impose de déterminer une période de support pour vos produits. Pendant cette période, vous devez vous assurer que les vulnérabilités sont traitées efficacement. La date de fin de support, avec mois et année, doit être indiquée clairement au moment de l’achat.

Pour respecter cette obligation, il convient de : 

  • Fixer votre période de support par produit, en vous assurant que celle-ci soit réaliste au regard de vos ressources.
  • Rendre la fin de support visible avant l’achat pour que les clients puissent s’engager en connaissance de cause. Affichez la date de fin de support dans le document d’informations et d’instructions destiné aux utilisateurs.
  • Gérer les mises à jour de sécurité sur toute la période. Vous pouvez par exemple vous fixer un rythme périodique de publication des correctifs de sécurité, en fonction de la nature de votre produit.
  • Planifiez la fin du support, en communiquant auprès des utilisateurs. Une bonne pratique consiste à informer les clients 90 jours avant cette date, à envoyer un rappel 60 jours avant, une dernière alerte 30 jours avant. Si possible, il convient de proposer une migration vers un produit plus récent encore supporté par votre entreprise.


4.4 Respecter les exigences essentielles de cybersécurité du CRA

Au-delà de la gestion des vulnérabilités, le CRA exige que votre produit soit conçu pour résister aux usages malveillants et protéger les données des utilisateurs.

  • Contrôlez les accès au produit : sécurisez tous les points d’entrée, y compris l’interface d’administration, les comptes utilisateurs, les API et tout accès distant, par exemple en intégrant des systèmes d’authentification robustes ou un mécanisme de gestion des rôles.
  • Assurez la confidentialité des données en chiffrant les données au repos et en transit.
  • Protégez l’intégrité du produit en empêchant les modifications non autorisées des données et des programmes.
  • Ne collectez que les données nécessaires à la finalité du produit.
  • Garantissez la disponibilité des fonctions essentielles en prévoyant des mesures de résilience. Intégrez une atténuation DDoS quand le produit est exposé.
  • Réduisez la surface d’attaque du produit en retirant toutes les interfaces externes qui ne sont pas nécessaires à son bon fonctionnement.
  • Journalisez les activités utiles au suivi de la sécurité : accès, changements de configuration, opérations sensibles.
  • Donnez la possibilité aux utilisateurs de supprimer simplement et définitivement leurs données et paramètres.

Conclusion

Le Cyber Resilience Act est une nouvelle réglementation européenne incontournable pour toutes les entreprises qui fabriquent, importent et commercialisent des produits contenant des éléments numériques. Votre PME dispose de deux ans pour se mettre en conformité et se mettre au niveau des exigences du CRA en matière de cybersécurité : vous pouvez procéder dès maintenant étape par étape pour anticiper cette échéance.

une jauge graduée du vert au rouge foncé qui point vers le rouge clair

Besoin d’un audit cyber ?

Notre équipe identifie les failles avant les attaquants. 100% à distance, sans rien installer.

Demander un audit gratuit