ISMS Copilot
Référentiels pris en charge

Loi européenne sur la cyber-résilience (CRA)

La loi européenne sur la cyber-résilience (CRA) est une future législation de l'UE qui établit des exigences de cybersécurité obligatoires pour les produits comportant des éléments numériques (matériels et logiciels) mis sur le marché de l'UE. Devant entrer pleinement en vigueur en 2027, le CRA vise à garantir que les produits soient sécurisés dès la conception, que les fournisseurs maintiennent la sécurité tout au long du cycle de vie du produit et que les consommateurs bénéficient d'une transparence totale sur la sécurité des produits.

Le CRA n'est pas encore pleinement en vigueur. Les délais d'application varient selon le type d'exigence, la conformité totale étant attendue pour la fin de l'année 2027. Surveillez les publications officielles de l'UE pour obtenir le texte final et les échéances de mise en œuvre.

Qui doit se conformer au CRA ?

Le CRA s'applique aux :

  • Fabricants : Entités concevant, développant ou fabriquant des produits avec des éléments numériques destinés à être mis sur le marché de l'UE

  • Importateurs : Entreprises introduisant des produits avec des éléments numériques dans l'UE

  • Distributeurs : Entités mettant des produits à disposition sur le marché de l'UE

  • Délégués de l'open-source (Open-source stewards) : Organisations fournissant un support commercial pour des produits open-source (sous certaines conditions)

Les produits avec des éléments numériques incluent :

  • Logiciels (applications, systèmes d'exploitation, micrologiciels)

  • Matériel avec logiciel intégré (appareils IoT, routeurs, appareils intelligents)

  • Produits connectés (objets connectés portables, systèmes de contrôle industriels)

Champ d'application et exemptions

Dans le champ d'application : Produits commerciaux avec des éléments numériques mis sur le marché de l'UE, y compris le SaaS et les services cloud s'ils contiennent des composants logiciels téléchargeables.

Exemptés :

  • Dispositifs médicaux, systèmes d'aviation et composants automobiles déjà couverts par des réglementations sectorielles spécifiques

  • Logiciels open-source purement non commerciaux développés ou fournis en dehors d'une activité commerciale

  • Produits exclusivement destinés à la sécurité nationale ou à la défense

Si vous distribuez des logiciels open-source sans monétisation ni support commercial, vous êtes probablement exempté. Si vous fournissez un support payant, des SLA ou des fonctionnalités d'entreprise, le CRA peut s'appliquer.

Classification des produits

Le CRA catégorise les produits en fonction du risque de cybersécurité :

  • Par défaut (Classe I) : Exigences de cybersécurité standard, l'auto-évaluation est autorisée

  • Importants (Classe II) : Produits à risque plus élevé (gestion de l'identité, VPN, gestion de réseau) nécessitant une évaluation de la conformité par un tiers

  • Critiques : Produits au risque le plus élevé (éléments sécurisés, cartes à puce, systèmes PKI) nécessitant une certification rigoureuse par un tiers

La plupart des produits logiciels commerciaux entrent dans la catégorie par défaut.

Exigences fondamentales

Les fabricants doivent s'assurer que les produits répondent à des exigences de cybersécurité essentielles tout au long de leur cycle de vie :

Sécurité dès la conception (Secure by Design) :

  • Aucune vulnérabilité exploitable connue au moment de la mise sur le marché

  • Sécurité intégrée à l'architecture du produit et au processus de développement

  • Surface d'attaque minimisée et configurations par défaut sécurisées

  • Protection des données et chiffrement lorsque cela est approprié

  • Mises à jour de sécurité livrées automatiquement ou avec notification de l'utilisateur

Gestion des vulnérabilités :

  • Identifier, documenter et corriger les vulnérabilités pendant toute la période de support

  • Signaler les vulnérabilités activement exploitées à l'ENISA dans les 24 heures suivant leur détection

  • Fournir des mises à jour de sécurité pour la durée de vie prévue du produit (minimum 5 ans pour de nombreux produits)

  • Maintenir une politique publique de divulgation des vulnérabilités

Documentation et transparence :

  • Fournir une documentation de sécurité claire aux utilisateurs

  • Publier la déclaration de conformité UE

  • Apposer le marquage CE sur les produits conformes

  • Conserver la documentation technique pendant 10 ans

Signalement d'incidents :

  • Signaler les vulnérabilités activement exploitées et les incidents graves à l'ENISA

  • Informer les utilisateurs concernés des problèmes de sécurité et des mesures d'atténuation disponibles

Évaluation de la conformité

Selon la classe du produit, les fabricants doivent démontrer la conformité par :

  • Auto-évaluation (Classe I) : Le fabricant effectue les tests internes et la documentation

  • Évaluation par un tiers (Classe II/Critique) : Un organisme notifié évalue la conformité avant la mise sur le marché

Tous les fabricants doivent tenir à jour une documentation technique prouvant la conformité, incluant les évaluations de risques, les résultats des tests de sécurité et les enregistrements des processus de développement.

Obligations de support

Les fabricants doivent fournir un support de sécurité pour :

  • La durée de vie prévue du produit, OU

  • Un minimum de 5 ans à compter de la mise sur le marché (pour la plupart des produits)

Cela inclut les correctifs de vulnérabilités, les mises à jour de sécurité et la réponse aux incidents. Les produits sans support continu ne peuvent légalement pas rester sur le marché de l'UE.

Sanctions

Le CRA établit des sanctions financières importantes :

  • Violations graves (produits non conformes, marquage CE manquant) : Jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial

  • Autres violations (documentation incomplète, non-coopération) : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial

  • Informations fausses : Jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial

Calendrier de mise en œuvre

Phases d'application prévues (sous réserve de la publication finale du règlement) :

  1. 2024-2025 : Publication du règlement, début de la période de grâce

  2. 2026 : Entrée en vigueur des obligations de signalement des vulnérabilités

  3. 2027 : Conformité totale requise pour les nouveaux produits mis sur le marché

  4. Après 2027 : Les produits existants doivent respecter les obligations de support

Commencez à vous préparer dès maintenant en mettant en œuvre des pratiques de développement sécurisées, en établissant des processus de gestion des vulnérabilités et en documentant votre architecture de sécurité.

Comment ISMS Copilot vous aide

ISMS Copilot peut vous accompagner dans la préparation à la conformité CRA :

  • Conseils généraux en cybersécurité : Posez des questions sur les pratiques de développement sécurisées, la gestion des vulnérabilités et la sécurité du cycle de vie

  • Développement de politiques : Créez des politiques de cycle de vie de développement sécurisé (SDLC) et des politiques de divulgation des vulnérabilités

  • Évaluations de risques : Générez des évaluations de risques de sécurité produit alignées sur les exigences essentielles

  • Modèles de documentation : Élaborez des cadres de documentation de sécurité pour l'évaluation de la conformité

  • Analyse d'écarts (Gap analysis) : Téléchargez vos politiques de développement actuelles pour identifier les lacunes par rapport aux principes du CRA

Bien qu'ISMS Copilot n'ait pas de connaissances dédiées spécifiquement au CRA (la réglementation étant en cours de finalisation), vous pouvez l'interroger sur les contrôles de développement sécurisé de l'ISO 27001 et les meilleures pratiques générales de sécurité produit qui s'alignent sur les objectifs du CRA.

Essayez de demander : "Générer une politique de divulgation des vulnérabilités pour un produit logiciel" ou "Quels sont les principes de sécurité dès la conception pour le développement de produits ?"

Par où commencer

Pour préparer la conformité au CRA :

  1. Évaluez si vos produits entrent dans le champ d'application du CRA et déterminez leur classification

  2. Mettez en œuvre des pratiques de cycle de vie de développement sécurisé (modélisation des menaces, tests de sécurité, revue de code)

  3. Établissez des processus de gestion et de divulgation des vulnérabilités

  4. Planifiez un support de sécurité à long terme (5 ans et plus)

  5. Documentez l'architecture de sécurité et les évaluations de risques

  6. Surveillez l'ENISA et les publications officielles de l'UE pour obtenir les exigences et orientations finales

Ressources associées

  • Proposition du CRA de la Commission européenne et mises à jour

  • Cadres de certification et guides de cybersécurité de l'ENISA

  • Autorités nationales de surveillance du marché dans les États membres de l'UE

Cela vous a-t-il été utile ?