Glossaire · Cybersécurité européenne

Cyber Resilience Act (CRA)

Règlement européen de 2024 établissant des exigences de cybersécurité pour les produits comportant des éléments numériques tout au long de leur cycle de vie, avec applicabilité complète d'ici 2027.

## Ce que fait réellement le Cyber Resilience Act Le Cyber Resilience Act (Règlement (UE) 2024/2847) est le règlement de l'UE établissant des exigences de cybersécurité pour les **produits comportant des éléments numériques**. Adopté en octobre 2024, avec applicabilité complète à partir de décembre 2027, il impose des obligations aux fabricants tout au long du cycle de vie du produit. Là où NIS2 traite la cybersécurité pour les organisations exploitant des services critiques, le CRA traite la cybersécurité des produits eux-mêmes — logiciels, matériel, appareils IoT et tout produit contenant des composants numériques. ## Ce que signifie « produits comportant des éléments numériques » Le CRA couvre une portée extrêmement large. Les « produits comportant des éléments numériques » incluent : - **Produits logiciels** — systèmes d'exploitation, applications, bibliothèques logicielles - **Matériel avec logiciel embarqué** — appareils IoT, routeurs, appareils connectés - **Produits connectés** — tout ce qui a une connectivité réseau - **Composants et logiciels intégrés** — éléments numériques autonomes et intégrés La portée est volontairement large. Le raisonnement de la Commission : les défaillances de cybersécurité dans tout produit connecté peuvent affecter la sécurité de l'écosystème plus large. Quelques exclusions étroites s'appliquent : les produits couverts par des régulations sectorielles de cybersécurité (dispositifs médicaux sous MDR, automobile sous cadres spécifiques) ont des voies de conformité alternatives. Les logiciels open-source développés dans un contexte non commercial ont des obligations plus légères. ## Obligations principales Le CRA impose des obligations à travers le cycle de vie du produit : ### Obligations pré-marché Avant de mettre des produits sur le marché de l'UE : - **Évaluation des risques** — identifier les risques de cybersécurité tout au long du cycle de vie du produit - **Sécurité dès la conception** — mettre en œuvre des mesures techniques et organisationnelles de sécurité appropriées - **Gestion des vulnérabilités** — établir des processus d'identification et de remédiation des vulnérabilités - **Évaluation de conformité** — vérifier que le produit répond aux exigences CRA (peut nécessiter une évaluation par un tiers pour les produits à haut risque) - **Documentation** — documentation technique complète incluant l'architecture de sécurité - **Marquage CE** — les produits doivent porter le marquage CE indiquant la conformité ### Obligations post-marché Après que les produits sont vendus : - **Mises à jour de sécurité** — fournir des mises à jour pendant la période de support (par défaut 5 ans, plus longue pour certaines catégories) - **Notification des vulnérabilités** — notifier les vulnérabilités activement exploitées à l'ENISA dans les 24 heures - **Notification des incidents** — notifier les incidents de sécurité graves aux autorités - **Divulgation coordonnée des vulnérabilités** — interagir avec les chercheurs en sécurité - **Information de l'opérateur et de l'utilisateur** — information de sécurité claire pour les utilisateurs ### Obligations continues Tout au long du cycle de vie du produit : - **Configuration sécurisée par défaut** — référence de sécurité minimale - **Mécanismes d'authentification** — authentification forte requise lorsque applicable - **Support du chiffrement** — pour les produits traitant des données sensibles - **Contrôles d'accès** — mécanismes d'autorisation appropriés - **Journalisation et surveillance** — journalisation des événements pertinents pour la sécurité ## Classification des produits par risque Le CRA classe les produits en catégories avec différentes exigences d'évaluation de conformité : ### Catégorie par défaut La plupart des produits relèvent de la catégorie par défaut nécessitant une auto-évaluation de conformité. Les fabricants complètent l'évaluation et appliquent le marquage CE. ### Catégorie importante (Classe I et Classe II) Les produits avec des enjeux de cybersécurité plus élevés font face à des exigences plus strictes : **Classe I** — produits incluant systèmes de gestion d'identité, gestionnaires de mots de passe, logiciels antivirus, outils de sécurité réseau, hyperviseurs génériques et solutions VPN. Auto-évaluation avec vérification optionnelle par tiers. **Classe II** — systèmes d'exploitation pour serveurs et postes de travail, cartes à puce et chargeurs de démarrage certifiés, systèmes de gestion de clés pour infrastructures critiques. Évaluation de conformité par tiers obligatoire. ### Catégorie critique Les produits avec les enjeux de cybersécurité les plus élevés nécessitent l'évaluation la plus rigoureuse, y compris pour les produits soutenant les infrastructures critiques et les applications de souveraineté clés. ## Structure des sanctions Les sanctions CRA sont substantielles : - **Jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial** (selon le montant le plus élevé) pour non-conformité aux exigences clés - **Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires** pour non-conformité aux autres obligations - **Jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires** pour fourniture d'informations incorrectes ou trompeuses Pour les PME, les amendes sont plafonnées à des seuils proportionnellement plus bas. ## Pourquoi le CRA compte pour la tech européenne Le CRA crée des implications significatives : ### Les produits logiciels sont désormais des produits réglementés Historiquement, les logiciels ont été moins rigoureusement réglementés que les produits physiques avec éléments numériques. Le CRA change cela — les produits logiciels font face à des exigences de cybersécurité de référence similaires au matériel. Pour les entreprises logicielles européennes, cela crée une charge de conformité mais aussi une opportunité compétitive. Les entreprises logicielles nativement européennes qui construisent la conformité au CRA dans l'architecture produit dès le départ ont des avantages sur la conformité par adaptation rétroactive. ### Traitement de l'open-source Le CRA inclut des dispositions réduisant la charge sur les logiciels open-source développés dans un contexte non commercial. Les distributions open-source commerciales et les entreprises logicielles utilisant des composants open-source font face aux obligations complètes. Cela a été controversé. Les défenseurs de la communauté open-source ont plaidé pour un traitement plus léger ; les défenseurs de la sécurité ont plaidé pour une couverture complète. Le cadre final exige des fabricants utilisant des composants open-source de s'assurer que ces composants répondent aux exigences CRA tels qu'intégrés. ### Refonte du marché des produits IoT Les marchés de produits connectés font face à une charge de conformité CRA substantielle. Les appareils IoT bon marché de fabricants qui ne peuvent ou ne veulent pas se conformer sortiront du marché de l'UE. Cela : - Augmente les prix des produits connectés - Réduit la variété au bas du marché - Crée une opportunité compétitive pour les fabricants basés dans l'UE construisant des produits conformes au CRA ### Implications de chaîne d'approvisionnement logicielle Les fabricants utilisant des composants logiciels tiers doivent s'assurer que ces composants répondent aux exigences CRA. Cela crée une pression sur la chaîne d'approvisionnement : - Les fournisseurs logiciels font face à des obligations de conformité envers leurs clients fabricants - Les composants open-source utilisés dans des produits commerciaux font face à un examen plus strict - Les nomenclatures logicielles (SBOM) deviennent plus importantes ## Calendrier et statut actuel Mise en œuvre CRA progressive : - **Décembre 2024** : entrée en vigueur du règlement - **Septembre 2026** : obligations de notification des vulnérabilités s'appliquent - **Décembre 2027** : applicabilité complète pour toutes les obligations Nous sommes actuellement en phase de transition. Les fabricants se préparent à la notification des vulnérabilités de septembre 2026 et à la conformité complète de décembre 2027. ## Relation avec les autres régulations européennes Le CRA s'inscrit dans la régulation européenne plus large de cybersécurité et numérique : **vs NIS2** — NIS2 traite les organisations exploitant des services critiques. Le CRA traite les produits. Ensemble, ils couvrent à la fois la cybersécurité organisationnelle et celle des produits. **vs Data Act** — le Data Act traite l'accès et la portabilité des données. Le CRA traite la cybersécurité des produits générant ces données. Cadres complémentaires. **vs AI Act** — l'AI Act traite les risques des systèmes IA (sécurité, équité, droits fondamentaux). Le CRA traite la cybersécurité des produits y compris les systèmes IA. Les deux s'appliquent aux produits IA. **vs RGPD** — le RGPD traite la protection des données personnelles. Le CRA traite la cybersécurité des produits largement. Complémentaires dans le contexte des données personnelles. Pour les produits couverts par plusieurs régulations, la conformité nécessite une cartographie explicite. ## Ce qu'apportent 2026-2027 - **Date limite de notification des vulnérabilités de septembre 2026** — premier jalon opérationnel majeur - **Applicabilité complète de décembre 2027** — application complète commence - **Premières actions d'application majeures** probablement 2027-2028 - **Actes d'exécution et standards harmonisés** continuant le développement - **Orientations spécifiques à l'industrie** pour diverses catégories de produits Le CRA est la régulation cybersécurité la plus ambitieuse de l'UE par sa portée. La mise en œuvre façonnera substantiellement les marchés européens du logiciel et du matériel jusqu'en 2028 et au-delà. ## Ce que cela signifie pour les entreprises européennes Pour les entreprises européennes de logiciels et de matériel : ### 1. La conformité CRA est une caractéristique compétitive Les produits construits dans l'UE avec une posture de conformité CRA solide se positionnent favorablement face aux alternatives non conformes moins chères. Documentez le travail de conformité. ### 2. L'usage de l'open-source nécessite du soin L'utilisation de composants open-source dans des produits commerciaux nécessite de s'assurer que ces composants répondent aux exigences CRA. Auditez votre chaîne d'approvisionnement logicielle. ### 3. Sécurité dès la conception comme défaut Construire des produits sans architecture de sécurité alignée CRA crée une dette technique qui devra être payée avant décembre 2027. Le développement de nouveaux produits devrait incorporer les exigences CRA dès le départ. ### 4. SBOM et gestion des vulnérabilités sont des exigences opérationnelles Les nomenclatures logicielles, les processus de gestion des vulnérabilités et les programmes de divulgation coordonnée ne sont plus optionnels pour les produits sur le marché de l'UE. ### 5. Les périodes de support des mises à jour comptent Les produits doivent être supportés avec des mises à jour de sécurité pendant des périodes par défaut de 5 ans. Cela affecte l'économie du cycle de vie des produits — particulièrement pour les fabricants IoT vendant des appareils bon marché avec des périodes de support historiques courtes. Pour les acheteurs tech européens, le CRA crée des améliorations structurelles de qualité dans les produits disponibles sur les marchés de l'UE. Les produits connectés bon marché mais peu sécurisés deviendront moins disponibles ; les alternatives correctement conçues deviendront plus compétitives.

Alternatives UE associées sur BetterInEurope

Termes associés

← Retour au glossaire