ISMS Copilot
Référentiels pris en charge

Règlement de l'UE sur la cyber-résilience (CRA) pour les fabricants de produits

Le règlement de l'UE sur la cyber-résilience (Cyber Resilience Act - CRA) est une réglementation obligeant les fabricants de produits comportant des éléments numériques à satisfaire à des exigences de cybersécurité tout au long du cycle de vie du produit. Adopté en 2024 avec une mise en application débutant fin 2027, le CRA vise à améliorer la sécurité des appareils connectés, des logiciels et du matériel vendus dans l'UE en imposant une conception sécurisée, la gestion des vulnérabilités et la transparence sur les propriétés de sécurité.

Le CRA s'applique aux fabricants de produits, et non aux fournisseurs de services. Si vous proposez des services SaaS ou cloud, le CRA ne vous concerne probablement pas ; concentrez-vous plutôt sur NIS2, RGPD ou DORA.

Qui doit se conformer ?

Le CRA s'applique aux fabricants mettant sur le marché de l'UE des « produits comportant des éléments numériques » :

  • Fabricants de matériel : appareils IoT, routeurs, appareils domestiques intelligents, capteurs industriels, équipements réseau

  • Éditeurs de logiciels : systèmes d'exploitation, navigateurs, logiciels de sécurité, applications de productivité, applications mobiles (si vendues comme produits autonomes)

  • Fabricants de systèmes embarqués : dispositifs médicaux, composants automobiles, appareils intelligents avec micrologiciel (firmware)

  • Responsables de logiciels open-source : organisations fournissant un support commercial ou le marquage CE pour des produits open-source

Les produits exemptés du CRA incluent :

  • Dispositifs médicaux, systèmes automobiles, systèmes aéronautiques déjà couverts par des réglementations sectorielles spécifiques de l'UE

  • Services purement SaaS ou cloud (sans logiciel téléchargeable)

  • Logiciels personnalisés développés pour un client unique

  • Logiciels open-source développés ou fournis en dehors d'une activité commerciale (pas de marquage CE ni de monétisation)

Si vous fabriquez du matériel ou vendez des logiciels téléchargeables dans l'UE, le CRA s'applique probablement.

Classification des risques du CRA

Les produits sont classés en niveaux de risque déterminant les exigences de conformité :

Produits par défaut (cybersécurité standard) :

  • La plupart des produits grand public et professionnels (appareils domestiques connectés, logiciels de productivité, équipements réseaux)

  • Auto-évaluation de la conformité

  • Le fabricant déclare la conformité via le marquage CE

Produits importants (Classe I) :

  • Systèmes de gestion d'identité, outils d'authentification, VPN, pare-feu, antivirus, navigateurs, gestionnaires de mots de passe

  • Produits faisant partie intégrante des infrastructures critiques ou des actifs de grande valeur

  • Évaluation de la conformité par un tiers requise

  • Un organisme notifié examine la conception et les processus

Produits critiques (Classe II) :

  • Systèmes d'exploitation, hyperviseurs, systèmes de contrôle industriel, compteurs intelligents, cartes à puce pour les paiements

  • Contrôle le plus strict avec évaluation complète par un tiers

  • Un organisme notifié audite le cycle de vie du développement et les contrôles de sécurité

La plupart des fabricants s'auto-évalueront en classe « par défaut », à moins que leur produit ne figure explicitement dans les annexes du CRA.

Une mauvaise classification du niveau de risque de votre produit peut entraîner une non-conformité. Examinez attentivement les annexes III (Important) et IV (Critique) du CRA, ou consultez un organisme notifié.

Exigences fondamentales

Tous les produits avec des éléments numériques doivent répondre à des exigences de cybersécurité essentielles :

Sécurité dès la conception (secure by design) et par défaut :

  • Minimiser la surface d'attaque (désactiver par défaut les fonctionnalités, services et ports inutiles)

  • Paramètres par défaut sécurisés (authentification forte, chiffrement activé dès la sortie de l'emballage)

  • Principe du moindre privilège (permissions limitées pour les processus et les utilisateurs)

  • Défense en profondeur (contrôles de sécurité multicouches)

Gestion des vulnérabilités :

  • Publier une politique de divulgation des vulnérabilités (VDP) avec des coordonnées de contact

  • Évaluer et corriger les vulnérabilités signalées dans les délais (critique : 24-72 heures ; élevée : 14 jours ; moyenne : 90 jours)

  • Notifier les utilisateurs et l'ENISA (agence européenne pour la cybersécurité) des vulnérabilités activement exploitées

  • Fournir des mises à jour de sécurité pendant la durée de vie prévue du produit ou au minimum 5 ans (selon la période la plus longue)

Mises à jour sécurisées :

  • Livrer les correctifs de sécurité automatiquement ou avec une notification à l'utilisateur

  • Garantir que les mises à jour sont authentifiées (signées) et ne peuvent pas être altérées

  • Permettre le retour à une version précédente (rollback) en cas d'échec de la mise à jour

Protection des données :

  • Protéger la confidentialité et l'intégrité des données stockées et transmises (chiffrement au repos et en transit)

  • Mettre en œuvre un stockage sécurisé des identifiants (pas de mots de passe codés en dur)

  • Traiter uniquement les données nécessaires (minimisation)

Résilience et disponibilité :

  • Protéger contre les attaques par déni de service

  • Garantir la fonctionnalité dans des conditions anormales ou en cas d'attaques

  • Fournir des capacités de journalisation (logging) et de surveillance pour les événements de sécurité

Transparence et documentation :

  • Fournir aux utilisateurs des instructions de sécurité claires (comment configurer de manière sécurisée, comment mettre à jour, comment signaler des vulnérabilités)

  • Publier une nomenclature logicielle (SBOM) listant les composants et les dépendances

  • Déclarer la durée de vie supportée et les dates de fin de support

Évaluation de la conformité

Les fabricants doivent démontrer leur conformité avant de mettre des produits sur le marché de l'UE :

Pour les produits par défaut (standard) :

  1. Effectuer une évaluation des risques et des tests de sécurité

  2. Préparer la documentation technique (spécifications de conception, SBOM, résultats de tests, mesures de sécurité)

  3. Rédiger la déclaration de conformité UE

  4. Apposer le marquage CE

  5. Enregistrer le produit dans la base de données de l'UE (gérée par l'ENISA)

Pour les produits Importants/Critiques (Classe I/II) :

  1. Suivre les étapes ci-dessus

  2. Engager un organisme notifié (évaluateur tiers accrédité)

  3. Se soumettre à un examen de la conception et/ou à un audit des processus de cybersécurité

  4. Recevoir le certificat de l'organisme notifié

  5. Apposer le marquage CE avec l'identifiant de l'organisme notifié

  6. Enregistrer le produit dans la base de données de l'UE

Les évaluations par les organismes notifiés peuvent prendre de 3 à 12 mois et coûter entre 20 000 € et plus de 100 000 €, selon la complexité du produit.

Commencez l'évaluation de la conformité tôt. Pour les produits de classe I/II, les délais de disponibilité des organismes notifiés peuvent retarder votre mise sur le marché de 6 à 12 mois.

Obligations liées au cycle de vie

Les obligations du CRA se poursuivent après la mise sur le marché :

  • Surveillance continue : Suivre les rapports de vulnérabilité, le renseignement sur les menaces et les exploits affectant votre produit

  • Signalement d'incidents : Notifier l'ENISA dans les 24 heures suivant la découverte de vulnérabilités activement exploitées ou d'incidents graves affectant la sécurité du produit

  • Livraison de mises à jour : Fournir des mises à jour de sécurité en temps voulu pendant toute la durée de vie supportée (minimum 5 ans)

  • Tenue de registres : Conserver la documentation technique et les preuves de conformité pendant 10 ans

  • Coopération pour la surveillance du marché : Répondre aux demandes des autorités de surveillance du marché de l'UE

Le fait de ne pas maintenir la conformité après la mise sur le marché peut entraîner des rappels de produits ou des interdictions de commercialisation.

Sanctions en cas de non-conformité

Le CRA prévoit des sanctions financières importantes :

  • Jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) pour non-conformité aux exigences essentielles

  • Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires pour défaut de coopération avec les autorités ou non-fourniture de documentation

  • Jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires pour fourniture d'informations incorrectes ou incomplètes

Les États membres peuvent imposer des sanctions supplémentaires, notamment des rappels de produits, des interdictions de mise sur le marché ou une responsabilité pénale pour les violations graves.

Calendrier et transition

Le CRA a été adopté en 2024 avec une mise en œuvre progressive :

  • Fin 2027 : Début de l’application complète du CRA (date exacte à confirmer suite à la publication officielle)

  • Période de transition : Les produits déjà sur le marché avant l'application peuvent y rester, mais les mises à jour doivent être conformes aux exigences de gestion des vulnérabilités du CRA

  • Accréditation des organismes notifiés : Les États membres désignent les organismes notifiés tout au long de la période 2025-2027

Les fabricants devraient commencer les travaux de mise en conformité dès maintenant, en particulier pour les produits de classe I/II nécessitant une évaluation par un tiers.

Le CRA inclut une « période de grâce » pour les responsables de logiciels open-source, mais les détails sont toujours en cours de finalisation. Surveillez les actes d'exécution de l'UE pour plus de précisions.

Documentation clé

Les fabricants doivent créer et maintenir :

  • Documentation technique : Description du produit, spécifications de conception, évaluation des risques, SBOM, résultats des tests de sécurité, preuves du cycle de vie de développement sécurisé

  • Déclaration de conformité UE : Déclaration formelle attestant que le produit répond aux exigences du CRA

  • Politique de divulgation des vulnérabilités : Processus publié pour recevoir et gérer les rapports de vulnérabilité

  • Instructions de sécurité : Guide destiné aux utilisateurs sur la configuration sécurisée, les mises à jour et le signalement des incidents

  • Certificats de conformité : Certificats de l'organisme notifié pour les produits de Classe I/II

Le CRA et les autres réglementations

Le CRA chevauche et interagit avec d'autres réglementations de l'UE :

  • RGPD : Les exigences de protection des données du CRA complètent le RGPD (mais ne le remplacent pas)

  • NIS2 : Le CRA se concentre sur les produits ; NIS2 se concentre sur la sécurité organisationnelle et le signalement des incidents pour les fournisseurs de services

  • IA Act (Loi sur l'IA) : Les produits dotés d'IA peuvent devoir se conformer à la fois au CRA (cybersécurité) et à l'IA Act (sécurité, transparence)

  • Directive sur les équipements radioélectriques (RED) : Les produits sans fil doivent répondre à la fois à la RED et au CRA

  • Règlement sur les machines : Les machines industrielles avec des éléments numériques doivent satisfaire aux deux

Coordonnez la mise en conformité entre les réglementations pour éviter les doublons ou les exigences contradictoires.

Comment ISMS Copilot vous aide

ISMS Copilot peut soutenir la préparation à la conformité au CRA :

  • Création de politiques : Générer des politiques de divulgation de vulnérabilités, des politiques de développement sécurisé, des procédures de réponse aux incidents

  • Évaluation des risques : Développer des modèles d'évaluation des risques de sécurité des produits

  • Documentation des processus : Créer des procédures de SDLC sécurisé (modélisation des menaces, codage sécurisé, tests de sécurité, gestion des correctifs)

  • Contenu destiné aux utilisateurs : Rédiger des instructions de sécurité pour la documentation des produits

  • Analyse des écarts : Télécharger la documentation de sécurité des produits existante pour identifier les lacunes

Bien que ISMS Copilot n'ait pas encore de connaissances dédiées spécifiquement au CRA, vous pouvez poser des questions générales sur le développement de produits sécurisés, la gestion des vulnérabilités et les meilleures pratiques pour le SBOM.

Essayez de demander : « Créer une politique de divulgation des vulnérabilités pour un fabricant de matériel » ou « Que dois-je inclure dans la documentation de sécurité d'un produit ? »

Pour commencer

Pour préparer la conformité au CRA avec ISMS Copilot :

  1. Classez vos produits par niveau de risque CRA (par défaut, Classe I, Classe II)

  2. Créez un espace de travail dédié pour votre projet de conformité CRA

  3. Effectuez une évaluation des risques de sécurité du produit (identifier les menaces, les vulnérabilités, les impacts)

  4. Utilisez l'IA pour générer une politique de divulgation des vulnérabilités

  5. Développez des procédures de cycle de vie de développement sécurisé (modélisation des menaces, revue de code, tests de sécurité, processus de mise à jour)

  6. Créez une nomenclature logicielle (SBOM) pour chaque produit

  7. Rédigez des instructions de sécurité pour les utilisateurs (configuration sécurisée, procédures de mise à jour, signalement des vulnérabilités)

  8. Pour les produits de classe I/II, identifiez et engagez un organisme notifié rapidement

Ressources associées

  • Texte officiel du règlement CRA (EU 2024/XXXX — consultez EUR-Lex pour la publication finale)

  • Orientations de l'ENISA sur le CRA et FAQ

  • Annuaires des organismes notifiés (listes d'évaluateurs accrédités par les États membres)

  • Normes SBOM (SPDX, CycloneDX)

Cela vous a-t-il été utile ?