1 Introduction au Cyber Resilience Act
Sécuriser l'écosystème des produits numériques
Le Cyber Resilience Act (CRA), adopté en 2024, représente une révolution dans la réglementation de la cybersécurité des produits. Pour la première fois, l'Union européenne impose des exigences de sécurité obligatoires pour tous les produits comportant des éléments numériques, qu'il s'agisse de logiciels autonomes, d'objets connectés (IoT) ou d'équipements industriels.
Ce règlement comble une lacune majeure du marché unique numérique. Jusqu'ici, les fabricants n'étaient soumis à aucune obligation horizontale de cybersécurité. Le CRA impose la sécurité dès la conception, des mises à jour tout au long du cycle de vie et une transparence accrue sur les composants logiciels via le SBOM.
En janvier 2026, les fabricants doivent anticiper l'application progressive du règlement. Les obligations de notification des vulnérabilités activement exploitées s'appliqueront dès septembre 2026, et l'ensemble des exigences produits à partir de décembre 2027.
Objectifs du règlement
Le CRA poursuit quatre objectifs principaux : garantir que les produits numériques sont sécurisés tout au long de leur cycle de vie, permettre aux utilisateurs de faire des choix éclairés grâce à une information transparente, harmoniser les exigences de cybersécurité au sein du marché unique, et réduire le coût global des cyberattaques en Europe.
Le règlement complète NIS 2 (obligations des opérateurs) et l'AI Act (systèmes d'IA). Ces textes forment ensemble un cadre cohérent de résilience numérique européenne.
Application complète exigences produits
Amende maximale non-conformité
Durée minimale support sécurité
2 Produits concernés
Définition large des produits numériques
Le CRA s'applique à tous les "produits comportant des éléments numériques". Cette définition englobe tout produit logiciel ou matériel dont l'utilisation prévue inclut une connexion directe ou indirecte à un appareil ou à un réseau.
Sont concernés : les logiciels autonomes (applications, systèmes d'exploitation, firmwares), les objets connectés grand public (montres, caméras, électroménager intelligent), les équipements réseau (routeurs, switches, firewalls), les systèmes industriels et automatismes, et les composants matériels programmables.
Classification des Produits CRA
Figure 1 : Classification des produits selon le niveau de risque
Produits critiques et importants
Les produits "critiques" (Classe I) présentent un risque systémique et nécessitent une évaluation par un organisme tiers notifié. Les produits "importants" (Classe II) peuvent faire l'objet d'une auto-évaluation si le fabricant applique une norme harmonisée couvrant toutes les exigences.
3 Exigences pour les fabricants
Obligations tout au long du cycle de vie
Le CRA impose aux fabricants des obligations couvrant l'intégralité du cycle de vie des produits. En phase de conception, ils doivent intégrer les principes de sécurité dès la conception (security by design) et par défaut. Cela inclut l'analyse des risques cyber et l'évaluation des vulnérabilités des composants.
Lors de la mise sur le marché, les fabricants établissent la documentation technique, réalisent l'évaluation de conformité appropriée, apposent le marquage CE et fournissent aux utilisateurs les instructions nécessaires à un usage sécurisé.
Durée de support obligatoire
Les fabricants doivent fournir des mises à jour de sécurité pendant au moins 5 ans ou la durée de vie attendue du produit. Cette période commence à la mise sur le marché de chaque unité.
Gestion des vulnérabilités
Une obligation centrale est la mise en place d'un processus de gestion des vulnérabilités. Les fabricants doivent identifier et documenter les vulnérabilités, y compris celles des composants tiers. Les vulnérabilités activement exploitées doivent être notifiées à l'ENISA dans les 24 heures.
4 Sécurité by design
Exigences essentielles de cybersécurité
L'Annexe I du CRA définit les exigences essentielles : absence de vulnérabilités exploitables connues, configuration sécurisée par défaut, protection contre les accès non autorisés, protection des données stockées et transmises, minimisation des surfaces d'attaque et limitation de l'impact des incidents.
Cycle de Vie Sécurisé
Figure 2 : Intégration de la sécurité à chaque phase
Configuration sécurisée par défaut
Les produits doivent être livrés dans une configuration sécurisée par défaut. Les fonctionnalités non essentielles présentant des risques doivent être désactivées. Les mots de passe par défaut doivent être uniques par appareil ou modifiables obligatoirement à la première utilisation.
5 Mises à jour de sécurité
Obligation de support continu
Les fabricants doivent garantir que leurs produits peuvent recevoir des mises à jour de sécurité pendant toute la période de support. La durée minimale est de 5 ans à compter de la mise sur le marché de chaque unité. Les mises à jour doivent être installables de manière sécurisée et authentifiée.
Gratuité et accessibilité
Les mises à jour de sécurité doivent être fournies gratuitement aux utilisateurs. Les fabricants doivent mettre en place des mécanismes permettant aux utilisateurs d'être informés de la disponibilité des mises à jour et de les installer facilement.
6 SBOM obligatoire
Software Bill of Materials
Le CRA impose aux fabricants d'établir et de maintenir un Software Bill of Materials (SBOM) pour chaque produit. Ce document liste tous les composants logiciels inclus, qu'ils soient développés en interne ou provenant de tiers (bibliothèques open source, SDK, frameworks).
Le SBOM doit identifier chaque composant avec son nom, éditeur, version et dépendances. Il doit également inclure les informations de licence et les identifiants de vulnérabilités connues (CVE). Les formats SPDX et CycloneDX sont recommandés.
Structure SBOM
Figure 3 : Structure SBOM avec composants et dépendances
7 Déclaration de conformité
Documentation technique
Avant de mettre un produit sur le marché, le fabricant doit établir une documentation technique démontrant la conformité aux exigences essentielles. Elle comprend la description du produit, l'analyse des risques cyber, les mesures de sécurité implémentées, les résultats des tests et le SBOM.
Évaluation de conformité
La procédure d'évaluation dépend de la classification du produit. Les produits par défaut peuvent faire l'objet d'une auto-évaluation (Module A). Les produits de Classe II peuvent choisir entre l'auto-évaluation avec norme harmonisée ou l'évaluation par un organisme notifié. Les produits de Classe I (critiques) nécessitent obligatoirement un organisme notifié.
8 Surveillance du marché
Rôle des autorités nationales
Chaque État membre désigne des autorités de surveillance du marché chargées de contrôler la conformité. En France, cette surveillance sera assurée par l'ANSSI en coordination avec la DGCCRF. Les contrôles peuvent être déclenchés sur signalement, lors de campagnes sectorielles ou suite à des incidents.
Processus de Surveillance
Figure 4 : Procédure de surveillance du marché
9 Sanctions
Barème des sanctions CRA
Au-delà des amendes, les autorités peuvent ordonner le retrait du marché des produits non conformes, interdire leur mise à disposition et exiger le rappel des produits déjà en circulation.
10 Préparer sa conformité
2026 : Phase préparatoire
- ☐Inventorier tous les produits numériques
- ☐Classifier les produits (critique, important, défaut)
- ☐Mettre en place la génération automatique de SBOM
- ☐Préparer le processus de notification des vulnérabilités
2027 : Mise en conformité
- ☐Intégrer security by design dans les processus
- ☐Établir la documentation technique complète
- ☐Réaliser l'évaluation de conformité
- ☐Mettre en place l'infrastructure de mise à jour
Besoin d'accompagnement CRA ?
Nos experts vous accompagnent dans l'évaluation de vos produits, la mise en place de processus security by design et la préparation à la conformité Cyber Resilience Act.