Dans un contexte européen marqué par un durcissement de la réglementation en matière de cybersécurité, la sécurisation des produits comportant des éléments numériques (PEN) est désormais au cœur d’un texte entré en vigueur en décembre 2024 : le Cyber Resilience Act (CRA). Ce règlement impose des exigences de sécurité aux fabricants, importateurs et distributeurs, couvrant l’ensemble de la chaîne de valeur, ainsi que tout le cycle de vie des produits. Dossier publié initialement dans le numéro 237 de l'INFOCR.
Entrée en vigueur le 10 décembre 2024, le Règlement sur la cyberrésilience (CRA) s’appuie sur la Stratégie européenne de cybersécurité de 2020 et sur la Stratégie de l'Union européenne pour la sécurité. Elle vient compléter d’autres législations, telles que la directive européenne NIS2 (sécurité des réseaux et de l’information), DORA qui couvre la résilience opérationnelle numérique des entités financières, ou encore le Cybersecurity Act (CSA).
« L’objectif, en réalité, est d’éliminer tout maillon faible dans la chaîne. On peut sécuriser les systèmes d’information, instaurer une gouvernance efficace, etc. Mais si des vulnérabilités subsistent – par exemple dans les mises à jour des objets connectés –, comment les corriger ? Ce texte vise justement à renforcer la sécurité des produits et des logiciels pour garantir une protection globale et cohérente », développe Eva Aspe, responsable Affaires publiques - Relations européennes - Communication au cabinet Mathias Avocats.
Le Cyber Resilience Act (CRA) porte ainsi l’ambition de renforcer les exigences de cybersécurité pour tous les produits contenant un composant numérique commercialisés sur le Vieux Continent, et de s’assurer qu’ils respectent les normes de cybersécurité en vigueur sur le marché de l’Union européenne. Il s’applique à l’ensemble des produits numériques qui interagissent, directement ou indirectement, avec un autre appareil ou un réseau, et qui pourraient servir de vecteurs d’attaque pour des acteurs malveillants.
Certains produits sont toutefois exclus du champ d’application du texte, car déjà couverts par d’autres réglementations. « Cela concerne les dispositifs médicaux et de diagnostic in vitro, les véhicules autonomes, l’aviation civile, les équipements marins, ainsi que les produits fabriqués à des fins de sécurité nationale ou de défense. Cela aurait fait doublon, et l’intérêt d’un texte supplémentaire n’était pas évident », explique Laurent Galvani, consultant en cybersécurité spécialisé en gouvernance, risques et conformité chez Fidens, une filiale du groupe TVH Consulting, qui accompagne les organisations dans leur mise en conformité.
Qui est responsable de quoi ?
Le texte impose aux fabricants la responsabilité de garantir la cybersécurité sur l’ensemble de la chaîne de valeur : de la planification à la maintenance, en passant par la conception et le développement. Cela couvre l’intégralité du cycle de vie des produits, notamment par le biais de mises à jour régulières. En somme, il s’agit d’appliquer une approche de Security by Design… et au-delà.
Désormais, tout produit mis sur le marché devra être évalué avant sa déclaration de conformité, afin de s’assurer de l’absence de toute vulnérabilité exploitable connue. Ces produits devront également : disposer d’une configuration de sécurité par défaut ; embarquer un système de mises à jour de sécurité ; protéger contre les accès non autorisés ; assurer la confidentialité des données au repos comme en transit ; ne traiter que les données strictement nécessaires au regard de la finalité du traitement ; limiter les surfaces d’attaque ; permettre aux utilisateurs de supprimer facilement leurs données.
À la charge des fabricants également, la fourniture des mises à jour de sécurité gratuites pendant une période de cinq ans pour corriger les vulnérabilités découvertes après la mise sur le marché. Ils sont tenus de mettre en place un processus de gestion des vulnérabilités. Lesquels comprennent : la recension, la documentation et la correction des failles ; des tests réguliers sur les produits ; la mise en œuvre d’un mécanisme de diffusion des mises à jour ; la promotion du partage d’informations relatives aux vulnérabilités et la diffusion des correctifs dès leur disponibilité. Une fois un correctif publié, la vulnérabilité correspondante est ensuite inscrite dans la base de données européenne dédiée, prévue dans le cadre de la directive NIS2.
Des obligations de déclaration plus ou moins strictes
Le Cyber Resilience Act impose une vigilance renforcée en matière de déclaration des vulnérabilités. Lorsque l’une d’entre elles est activement exploitée, elle doit être notifiée dans un délai de vingt-quatre heures à un CSIRT (Centre de réponse aux incidents cyber) ainsi qu’à l’Enisa, qui est l’agence de l’Union européenne pour la cybersécurité. Cette première alerte est suivie, dans les soixante-douze heures, d’une notification contenant des informations complémentaires sur ladite vulnérabilité et les mesures correctives mises en œuvre. Un rapport final sera également être transmis, de même que les utilisateurs concernés devront être informés de manière transparente.
Par ailleurs, les produits seront classés selon leur importance et leur criticité, ce qui influencera directement le niveau d’exigence en matière de conformité. En outre, le texte distingue les logiciels libres et ouverts, ces derniers n’étant pas soumis aux mêmes obligations que les produits propriétaires. Un produit est considéré comme important lorsqu’une vulnérabilité pourrait avoir des conséquences graves sur d’autres produits ou porter atteinte à la santé, la sécurité ou la sûreté des utilisateurs. Il devient critique dès lors qu’il est indispensable au fonctionnement d’entités couvertes par la directive NIS2, et qu’un incident affectant celui-ci pourrait perturber les chaînes d’approvisionnement au sein du marché intérieur. Ces deux catégories sont détaillées dans les annexes du règlement.
Selon leur classification, les produits ne sont pas soumis au même régime d’évaluation. Pour les produits classiques ou les logiciels libres, les fabricants peuvent choisir la méthode de conformité. Ils ont même la possibilité de s’autocertifier, en déclarant sous leur propre responsabilité que leurs produits respectent les exigences du CRA. En revanche, les produits jugés importants devront passer par un organisme notifié, et ceux catégorisés critiques seront soumis à une procédure de certification en cybersécurité.
Au-delà de la conformité technique, l’objectif du texte est aussi de renforcer la transparence, tant à l’égard des autorités que des utilisateurs. Ces derniers doivent pouvoir identifier les produits sécurisés, comprendre comment les configurer correctement et être informés des risques potentiels. Les produits mis sur le marché européen et reconnus comme conformes devront ainsi porter le marquage CE, attestant du respect des normes de cybersécurité définies par le règlement.
Une autorité de surveillance à l’échelle nationale
Chaque État membre aura la responsabilité de désigner au moins une autorité de surveillance du marché, chargée notamment de recevoir les plaintes des utilisateurs. Dotée de nombreux pouvoirs, et en concertation avec le CSIRT, elle pourra évaluer les produits présentant un risque important en matière de cybersécurité et, en cas de non-conformité, organiser leur rappel, voire leur retrait du marché européen. Cette instance pourra également mener des contrôles coordonnés, afin de vérifier la conformité de catégories de produits dans leur intégralité.
Sur la question des rappels, l’Alliance pour la confiance numérique (ACN) a relevé un déséquilibre dans le texte entre les produits hardware et software. En effet, dans le cadre de la gestion des vulnérabilités, la correction par mise à jour automatique est relativement simple à mettre en œuvre pour un logiciel. En revanche, la démarche s’avère beaucoup plus complexe pour les équipements matériels qui, une fois commercialisés, nécessitent un investissement nettement plus important de la part des fabricants pour corriger les vulnérabilités identifiées – notamment lorsqu’un rappel de produit s’impose. Un coût qui, selon l’ACN, se répercutera directement sur le prix et la durée de vie des produits concernés. « Ces contraintes pourraient, par conséquent, limiter le développement des activités de la communauté des produits de sécurité par rapport à celle des logiciels », alerte l’Alliance.
Trente-six mois pour rentrer dans le rang
« Le CRA concerne également les acteurs situés en dehors de l’Union européenne. Par exemple, si je suis un fabricant ou un éditeur basé hors UE, mon importateur ou le distributeur devra s’assurer que mon produit est conforme », prévient Garance Mathias, fondatrice du cabinet d’avocats Mathias.
Dans cette chaîne de responsabilité, le fabricant est premier maillon, chargé de mettre en place les mesures de sécurité « de base », de rédiger la documentation technique conforme, de fournir les informations nécessaires aux utilisateurs et de déclarer la conformité du produit. De son côté, l’importateur, parce qu’il introduit le produit sur le marché européen, doit vérifier que tout est en ordre : documentation, exigences techniques, informations transmises. Quant au distributeur, il doit s’assurer que le produit porte bien le marquage requis et que le fabricant comme l’importateur ont respecté leurs obligations respectives.
Un calendrier progressif
Le non-respect des exigences en matière de cybersécurité et de notifications de VAE ou d’incidents graves pourra entraîner des amendes allant jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial. Le non-respect des autres obligations pourra, quant à lui, être sanctionné par une amende allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. En cas de fourniture d’informations trompeuses ou inexactes, l’amende pourra s’élever à 5 millions d’euros ou équivalente à 1 % du chiffre d’affaires annuel mondial.
Pas de panique toutefois : comme souvent avec les règlements européens, l’application du texte sera progressive. L’ensemble des obligations du CRA entrera en vigueur le 11 décembre 2027, laissant ainsi aux acteurs concernés le temps de se mettre en conformité. Certaines dispositions entreront toutefois en vigueur plus tôt. Ainsi, la notification des vulnérabilités et des incidents graves s’appliquera dès septembre 2026, tandis que les notifications aux organismes d’évaluation de conformité seront obligatoires dès juin 2026.
« Concrètement, tous ces acteurs vont devoir s’appuyer sur un service juridique solide. On est ici dans le domaine du droit autant que de la technique. Il faudra mobiliser de véritables compétences juridiques, au-delà de la simple conformité technique », souligne Laurent Galvani.
L’accompagnement des entreprises dans la mise en conformité au CRA repose sur une approche personnalisée, tenant compte de leur statut (fabricant, distributeur, éditeur), de leur secteur d’activité, de leurs objectifs, de leur niveau de maturité, ainsi que des moyens humains, financiers et temporels qu’elles sont en capacité de mobiliser. Selon leur taille, de l’organisation toutes ne disposent pas d’un RSSI, d’un DPO ou d’équipes dédiées à la cybersécurité, ce qui rend les situations très hétérogènes. L’accompagnement suit toutefois des étapes clés : une première phase de sensibilisation et de compréhension du texte, une phase de documentation, puis une révision des contrats, avant d’engager un suivi régulier dans le temps. L’objectif est notamment d’aider les équipes, comme la R&D, à intégrer les principes de sécurité dès la conception des produits.
Sur l’aspect contractuel, « nous procédons par avenants aux contrats existants pour intégrer les nouvelles obligations. C’est ce que nous faisons déjà pour Dora ou NIS 2, même si certains textes ne sont pas encore transposés en droit français. La logique est la même pour le CRA : soit nous modifions les contrats en cours par avenant, soit nous mettons en place de nouveaux modèles contractuels qui intègrent directement les exigences du règlement, en les adaptant au profil de chaque client », détaille Garance Mathias.
Quid de la maturité des principaux concernés ?
Selon Benoît Grunenwald, il existe deux grandes catégories, particulièrement du côté des fabricants. Pour simplifier, ceux qui ont mesuré l’impact et n’ont pas attendu la réglementation pour agir, et les autres. « Je porterais plutôt mon attention du côté de l’OT notamment dans l’industrie, où certains fabricants se transforment peu à peu en éditeurs ou prestataires de services, intégrant la cybersécurité dans une offre globale. C’est un secteur critique, où les exigences sont déjà élevées, justement parce que la prise de conscience est là, avec peut-être aussi une anticipation de la réglementation à venir », explique-t-il. De l’autre côté, il y a le grand public et l’IoT, avec des exigences bien différentes. « Malheureusement, on constate que ces derniers ne sont pas toujours bien au fait. »
Au quotidien, le cabinet Mathias observe lui aussi différents niveaux de maturité. Un peu à l’image de ce qui est observable avec NIS2, « certains ont déjà entamé une réflexion sur leurs produits : dans quelle catégorie se situent-ils ? Quelles sont les exigences applicables selon qu’ils sont distributeurs ou fabricants ? Ils ont commencé à mobiliser leurs équipes internes, par exemple avec des actions de sensibilisation, et à préparer la mise en conformité des contrats », développe Eva Aspe. D’autres, au contraire, partent de plus loin. À noter que l’Enisa a récemment publié un rapport qui propose une voie à suivre et des éléments techniques pour aider les entreprises et organisations à se conformer au CRA.
La mise en conformité a un coût, à la fois juridique et technique. Cette nouvelle réglementation va-t-elle se heurter à une réalité économique des entreprises ? « On peut imaginer que certains vont se contenter du strict minimum pour obtenir le tampon de conformité, sans que cela n’apporte vraiment un niveau de sécurité supplémentaire », suppose Laurent Galvani qui craint « une sorte de conformité “bas de gamme”. Un peu comme le RGPD (règlement général sur la protection des données), où, malgré les mesures en place depuis 2018, d’importantes fuites de données ont continué à se produire. » Autre limite également selon l’expert, la difficulté que les autorités auront à effectuer des contrôles, notamment dans le cadre des autodéclarations, et à délivrer des sanctions en cas d’infractions constatées. « Je ne suis pas certain que les ressources soient suffisantes pour effectuer ces contrôles. »


