La vision de Cyber Academy
Le Cyber Resilience Act est le règlement européen qui impose des obligations de sécurité de base aux produits matériels et logiciels comportant des éléments numériques vendus en Europe. Obligations des fournisseurs sur l'ensemble du cycle de vie : sécurité dès la conception, gestion des vulnérabilités, SBOM, cinq ans de correctifs. Adopté fin 2024, applicable à partir de décembre 2027. À combiner avec NIS 2 (angle organisationnel) et AI Act (angle modèle).
Ce que le Cyber Resilience Act réglemente réellement
Le Cyber Resilience Act fait peser des obligations de sécurité sur le produit, et pas seulement sur l'organisation qui l'exploite. Tout ce qui est vendu dans l'UE et qui contient des éléments numériques, c'est-à-dire du matériel ou des logiciels disposant d'une connexion de données, entre dans le champ d'application : appareils grand public connectés, automates industriels, systèmes d'exploitation, bibliothèques, applications mobiles, et même le firmware embarqué dans un composant.
La partie réglementée est l'opérateur économique qui met le produit sur le marché, de sorte que les fabricants supportent la charge principale, tandis que les importateurs et les distributeurs sont tenus à des obligations de vérification. C'est un déplacement de responsabilité. Pendant des années, l'acheteur héritait du risque lié à un logiciel non sécurisé ; le CRA reporte un socle défini de responsabilité sur celui qui construit et vend le produit.
Parce qu'il réglemente les produits plutôt que les entités, le CRA atteint des petits fournisseurs et des composants ouverts qu'aucune loi de sécurité organisationnelle ne toucherait jamais. Un fabricant de firmware sans bureau dans l'UE doit tout de même se conformer si l'appareil arrive sur un rayon européen. Ce cadrage par le produit est l'élément le plus important à saisir avant de lire quoi que ce soit d'autre à son sujet.
Les obligations qui s'imposent à un fabricant
Le CRA est construit autour d'un cycle de vie. Un produit doit être sécurisé au moment où il est livré et rester maintenable pendant toute la durée où il est raisonnablement censé être utilisé, durée que le règlement fixe à une période de support de base d'environ cinq ans pour le traitement des vulnérabilités. Les obligations concrètes se regroupent en deux ensembles.
- Sécurité dès la conception et par défaut : livrer sans vulnérabilité exploitable connue, réduire au minimum la surface d'attaque, protéger la confidentialité et l'intégrité des données, et fournir une configuration par défaut sécurisée afin que le produit ne soit pas vulnérable dès sa sortie de boîte.
- Traitement des vulnérabilités tout au long de la période de support : maintenir un processus de divulgation coordonnée, fournir un Software Bill of Materials afin que les composants présents dans le produit soient documentés, déployer rapidement les mises à jour de sécurité et, lorsque c'est faisable, de manière automatique, et signaler les vulnérabilités activement exploitées ainsi que les incidents graves à l'ENISA dans les délais fixés par le règlement.
La conformité se démontre de la manière dont l'UE traite les autres législations relatives à la sécurité des produits : une évaluation proportionnée à la classe de risque du produit, une documentation technique, et un marquage CE signalant que le socle de sécurité a été atteint. Les catégories de produits à risque plus élevé, dites importantes ou critiques, font l'objet d'une évaluation plus stricte, parfois par un tiers, plutôt que d'une auto-déclaration.
Comment il se positionne par rapport à NIS 2 et à l'AI Act
Ces trois instruments de l'UE sont délibérément complémentaires et les praticiens ne doivent pas en confondre les champs d'application. Le CRA est l'angle produit : il rend sûr l'objet que vous vendez. NIS 2 est l'angle organisationnel : il oblige les entités essentielles et importantes à gérer le risque cyber, à gouverner la sécurité et à déclarer les incidents au niveau de l'entreprise. L'AI Act est l'angle modèle : il régit la manière dont les systèmes d'IA, en particulier ceux à haut risque, sont conçus et mis sur le marché. Un appareil industriel connecté vendu par un opérateur réglementé et intégrant un composant d'IA peut relever des trois à la fois, chacun sous un angle différent.
| Instrument | Ce qu'il réglemente | Qui il engage |
|---|---|---|
| Cyber Resilience Act | Sécurité des produits comportant des éléments numériques | Fabricants, importateurs, distributeurs |
| NIS 2 | Gestion et déclaration du risque cyber au niveau organisationnel | Entités essentielles et importantes |
| AI Act | Développement et mise sur le marché de systèmes d'IA | Fournisseurs et déployeurs d'IA |
La conséquence pratique est que la préparation au CRA relève largement d'un programme d'ingénierie et de gouvernance produit, et non d'une formalité administrative greffée sur un SMSI existant. Les équipes qui pratiquent déjà la divulgation coordonnée des vulnérabilités, tiennent à jour des inventaires de dépendances et corrigent selon une cadence prévisible ont déjà parcouru l'essentiel du chemin.
Les équipes qui livrent et oublient ont le plus de travail à accomplir, car l'obligation de maintenir et de corriger pendant des années est précisément ce qu'une culture du « livrer et passer à autre chose » cherche à éviter. Le règlement a été adopté fin 2024 et ses obligations principales s'appliquent à partir de décembre 2027, ce qui laisse une marge définie pour mettre en place les processus de traitement des vulnérabilités et de SBOM avant qu'ils ne deviennent contraignants.
Frequently asked questions
01Qui doit se conformer au Cyber Resilience Act ?
Tout opérateur économique qui met sur le marché de l'UE un produit comportant des éléments numériques. Les fabricants portent les obligations principales, tandis que les importateurs et les distributeurs ont des obligations de vérification. Cela s'applique quel que soit le lieu d'établissement du fabricant, de sorte qu'un fournisseur hors UE dont l'appareil parvient à un acheteur de l'UE entre dans le champ d'application.
02Qu'est-ce qu'un produit comportant des éléments numériques ?
Du matériel ou un logiciel pouvant se connecter à un appareil ou à un réseau, ainsi que les composants livrés avec lui. Cela couvre les biens de consommation connectés, les systèmes d'exploitation, les applications, les bibliothèques et le firmware. Les services purement cloud régis par ailleurs et certaines catégories déjà réglementées se situent en dehors du champ d'application principal.
03Pourquoi le CRA exige-t-il un SBOM ?
Parce que les fabricants sont responsables des vulnérabilités de tout ce qui se trouve à l'intérieur de leurs produits, y compris les dépendances tierces et open source. Un Software Bill of Materials documente ces composants afin que les vulnérabilités puissent être identifiées et corrigées tout au long de la période de support.
04En quoi le CRA diffère-t-il de NIS 2 ?
Le CRA réglemente la sécurité du produit que vous vendez ; NIS 2 réglemente la manière dont votre organisation gère le risque cyber et déclare les incidents. L'un engage les fabricants tout au long du cycle de vie du produit, l'autre engage les entités essentielles et importantes au niveau de l'entreprise. De nombreux fournisseurs seront soumis aux deux.
05Quand le Cyber Resilience Act commence-t-il à s'appliquer ?
Il a été adopté fin 2024 et ses obligations principales s'appliquent à partir de décembre 2027, certaines obligations de déclaration entrant en vigueur plus tôt. Cet intervalle est la fenêtre dont disposent les fabricants pour mettre en place des pratiques de sécurité dès la conception, le traitement des vulnérabilités et la génération de SBOM avant l'entrée en application.