icone fleche gauche
Retour
Conformité

Cyber Resilience Act : tout comprendre pour s’y conformer en 2027

Le Cyber Resilience Act entre en application en Europe en 2027. Découvrez comment anticiper la mise en conformité de vos produits numériques.

Cyber Resilience Act : tout comprendre pour s’y conformer en 2027

Adopté par le Parlement européen le 12 mars 2024, le Cyber Resilience Act (CRA) est l’un des piliers de la stratégie de l’Union européenne en matière de lutte contre les cybermenaces. Il redéfinit le cadre juridique de la sécurité des produits numériques en Europe, afin de protéger les marchés, les particuliers et les entreprises.

Ce règlement européen entrera en application le 11 décembre 2027. Certaines dispositions seront toutefois applicables à partir de juin 2026. Pour s’y conformer à temps, il est essentiel d’amorcer une démarche de conformité basée sur une compréhension approfondie de cette nouvelle réglementation.

Définition, dispositions clés, acteurs et produits concernés, calendrier, sanctions : suivez notre guide complet pour affiner votre plan d’action.

Qu’est-ce que le Cyber Resilience Act ?

Définition et objectifs

Le Cyber Resilience Act est un règlement européen ayant pour objectif d’établir un cadre harmonisé de cybersécurité pour les Produits comportant des Éléments Numériques (PEN) : matériels informatiques, logiciels ou objets connectés IoT (Internet of Things) mis sur le marché de l’Union européenne (UE).

Son objectif est double : d’une part, améliorer la sécurité des articles dès leur conception afin de réduire les failles exploitables, d’autre part, donner aux entreprises et aux particuliers des informations fiables et transparentes pour choisir des outils plus sûrs.

Cette législation répond au caractère transnational des enjeux de cybersécurité, soulevé par l’analyse d’impact effectuée par la Commission européenne. En instaurant une réglementation commune à tous les États membres, la chaîne d’approvisionnement des PEN est sécurisée à l’échelle de l’Europe et décuple la cyberrésilience de l’UE.

Enfin et surtout, ce texte répond au défi économique majeur posé par les cyberattaques en Europe.

Une législation innovante

Pour améliorer la cybersécurité des PEN commercialisés, le Cyber Resilience Act introduit une liste de critères spécifiques auxquels doivent répondre les articles et les services comportant des éléments numériques fabriqués ou distribués dans l’UE. Pour ce faire, ce règlement adopte une approche globale et innovante, s’adressant à l’ensemble des acteurs du marché : fabricants, distributeurs et importateurs.

Il vient également renforcer les dispositions instaurées par la directive NIS 2 (Network and Information Security), entrée en vigueur le 17 octobre 2024 dans l’Union européenne. Il s’articule avec cette réglementation pour augmenter la sécurité de l’ensemble de la chaîne d’approvisionnement.

Le Cyber Resilience Act pousse cependant la protection du consommateur plus loin que la directive NIS 2. Plutôt que de s’arrêter à une conception sécurisée des articles et des services commercialisés, il implique l’utilisateur en lui donnant accès à des informations détaillées, lui permettant de faire un choix éclairé.

Le cadre d’application du Cyber Resilience Act

Les acteurs concernés

Le CRA s’adresse principalement aux fabricants de PEN, qu’il s’agisse de matériel, de logiciels embarqués ou de programmes indépendants, mis à disposition sur le marché de l’UE. Mais il ne s’arrête pas là : les importateurs et les distributeurs de ces biens de consommation sont également soumis à des contraintes de vérification de conformité, d’information des utilisateurs et de suivi des articles en circulation.

Ainsi, toute entreprise qui fabrique, importe ou distribue des dispositifs numériques dans l’UE doit se conformer à ce règlement, quelle que soit sa taille.

Les produits et les services réglementés

Le champ d’application du CRA est large : on entend par PEN tout article qui contient des composants matériels ou logiciels connectés directement ou indirectement à un appareil ou à un réseau.

Sont notamment concernés les objets connectés destinés au grand public, les composants embarqués, les microcontrôleurs, les routeurs, les programmes informatiques, les applications mobiles et les services de traitement d’informations à distance.

Certains PEN sont explicitement exclus du périmètre, tels que les dispositifs médicaux régulés par d’autres textes et les équipements aéronautiques ou automobiles. Ils sont en effet déjà régulés par d’autres législations, comme PART-IS (Information Security), réglementation européenne s’appliquant aux systèmes d’information critiques dans l’aviation, ou TISAX®, label de sécurité de l’information pour l’automobile.

Les catégories de PEN

Le CRA ne traite pas tous les PEN de la même façon. Certains produits, parce qu’ils sont très utilisés ou exposés, présentent un risque plus élevé en cas de vulnérabilité ou d’attaque. Il faut donc que leurs fabricants soient soumis à des exigences plus fortes.

Le règlement distingue ainsi plusieurs catégories :

  • Les PEN standards, dont les simples dispositifs connectés destinés au grand public.
  • Les PEN importants, dont l’exploitation d’une vulnérabilité pourrait avoir des répercussions graves sur beaucoup d’autres dispositifs, ou porter atteinte à la santé ou à la sécurité des usagers.
  • Les PEN critiques, qui ont une fonction qui, si elle est compromise, peut entraîner un risque important pour un grand nombre d’autres produits ou systèmes.
  • Les logiciels libres et ouverts, dits open source, qui font l'objet d’un traitement spécifique compte tenu de leur rôle et de leur diffusion.

Plus les PEN sont critiques, plus le niveau d’exigence est strict, afin d’adapter la loi européenne aux réalités techniques et économiques du marché, tout en garantissant la cyberrésilience de l’UE.

Les exigences clés du Cyber Resilience Act

La sécurité des produits

Le CRA impose que les PEN soient conçus, développés et fabriqués de manière à assurer un niveau de cybersécurité approprié eu égard aux risques. Les fabricants doivent garantir qu’aucune vulnérabilité connue et exploitable n’est présente en matière de sécurité informatique lors de la commercialisation du produit.

Les PEN doivent en outre :

  • Être sécurisés par défaut, en faisant l’objet d’une configuration de sortie d’usine sûre.
  • Supporter des mises à jour de sécurité.
  • Avoir une surface d’attaque réduite.
  • Mettre en œuvre des mécanismes tels que l’authentification, le chiffrement ou la protection contre les attaques de déni de service ou DDoS (Distributed Denial of Service).

Les entreprises européennes doivent donc revisiter leurs processus de développement logiciel ou matériel pour répondre à ces critères.

La documentation

Le règlement exige que le fabricant tienne une documentation technique appropriée : description de l’article, architecture, composants matériels et logiciels, dépendances, historique des vulnérabilités, exigences testées, etc.

La nomenclature Software Bill of Materials (SBOM) s’ajoute comme exigence pour la traçabilité des composants. Il s’agit d’un inventaire détaillé, structuré et exhaustif des éléments logiciels, des bibliothèques, des dépendances et des frameworks qui composent une solution ou un produit numérique. Elle doit être fournie par le fabricant à la demande d’une autorité de surveillance du marché.

Ces documents doivent permettre aux autorités et aux usagers, qu’il s’agisse de particuliers ou d’entreprises, de vérifier le respect de la législation, d’identifier rapidement les produits concernés par une vulnérabilité et d’assurer un suivi post-commercialisation.

La gestion des vulnérabilités

Le CRA oblige également à mettre en œuvre un processus de gestion des vulnérabilités qui consiste à identifier, documenter, corriger, notifier aux usagers et publier les informations sur les failles détectées.

Le fabricant doit fournir des mises à jour de sécurité gratuites, prévoir un plan de divulgation coordonnée et informer les utilisateurs des menaces existantes et des actions correctives effectuées.

Ce volet de la réglementation est crucial : il marque le passage d’une gestion ponctuelle de la sécurité à une supervision continue des risques tout au long de la vie du produit.

La surveillance post-commercialisation

Une fois le produit commercialisé, le fabricant doit surveiller les déficiences, les incidents et les comportements d’utilisation afin d’identifier de nouvelles menaces. La législation impose des obligations de notification pour les vulnérabilités exploitées activement par les pirates informatiques. Pour les PEN, le marquage CE (Conformité européenne) devra ainsi tenir compte de ce suivi sur le long terme.

Ces nouvelles règles impliquent de mettre en place des mécanismes de collecte de retours d’expérience du terrain et de gestion de la filière logistique, afin d’assurer que les produits restent conformes au Cyber Resilience Act pendant toute leur durée de vie.

Le calendrier d’application du Cyber Resilience Act

La chronologie d’entrée en vigueur du CRA est la suivante :

  • Le règlement est entré en vigueur le 10 décembre 2024.
  • Les obligations critiques, telles que l’interdiction de la commercialisation de produits non conformes et le marquage CE lié à la cybersécurité, s’appliqueront à partir du 11 décembre 2027.
  • Des contraintes intermédiaires de notification des organismes d’évaluation et de communication d’informations incombant aux fabricants peuvent s’appliquer dès le 11 juin 2026.

Suite au déploiement du dispositif législatif, la Commission fournira au Parlement un rapport d’audit concernant sa bonne mise en œuvre.

Ces dispositions peuvent peser lourd sur les petites entreprises. Des mesures de soutien ont été prévues, afin de sensibiliser et de former le personnel à ces nouveaux critères, tout en l’accompagnant dans les procédures d’essai et d’appréciation du respect de la loi.

Il est donc essentiel pour les organisations d’anticiper dès maintenant l’application de la réglementation, en effectuant une cartographie des PEN et un audit de conformité, mais aussi en définissant une stratégie CRA.

La plateforme GRC Egerie aide votre entreprise à piloter sa mise en conformité, en centralisant votre processus sur un référentiel unique, actualisé en temps réel et fondé sur la donnée.

Les sanctions en cas de non-conformité

Le CRA prévoit des conséquences fortes en cas de non-respect des obligations. Les sociétés concernées risquent tout d’abord des interdictions de commercialisation. Un PEN non conforme ne pourra pas porter le marquage CE, ce qui interdira sa mise en vente dans l’UE à partir de la date d’application de la loi.


Des amendes administratives conséquentes sont également prévues, pouvant atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires total sur l’exercice annuel précédent.

Au-delà de l’aspect juridique, un risque réputationnel est présent, mais aussi une perte de marché ou de potentiels litiges liés à des incidents de sécurité. Pour les différents acteurs, le respect du CRA deviendra donc une condition d’accès au marché européen dès 2027.

FAQ sur le Cyber Resilience Act

Quelle est la date d’application du CRA ?

À partir du 11 décembre 2027, les produits numériques devront être conformes au CRA pour être commercialisés dans l’UE. Entre-temps, certaines exigences intermédiaires, notamment les dispositions relatives à la notification des organismes d’évaluation de la conformité, sont appliquées dès juin 2026.

Cette période de transition de près de 3 ans permet aux différents acteurs du numérique de se préparer, d’ajuster leurs processus de gestion de la sécurité, d’intégrer la documentation et de choisir le degré de certification adapté.

Quels produits sont couverts par le CRA ?

Le règlement concerne tous les produits comportant des éléments numériques, c’est-à-dire les matériels ou les programmes connectés directement ou indirectement à un appareil ou à un réseau et distribués dans l’UE. Cela inclut les objets connectés, les composants embarqués, les applications, les systèmes d’exploitation et les services associés.

Certains produits sont exclus, comme les dispositifs médicaux, aéronautiques ou automobiles et les matériels adaptés à des fins militaires ou nationales.

Qui porte la responsabilité de la conformité ?

La responsabilité centrale incombe au fabricant du produit numérique. Il doit veiller à ce que le PEN soit conçu, développé, fabriqué et commercialisé de façon conforme. Les importateurs ont l’obligation de vérifier que le fabricant a respecté ces exigences. Les distributeurs doivent s’assurer que les produits qu’ils proposent portent le marquage CE, sont accompagnés de la documentation requise et respectent la chaîne de conformité.

Comment Egerie peut vous accompagner dans votre démarche de conformité ?

La plateforme Egerie est conçue pour aider les entreprises à structurer la conformité réglementaire, automatiser le suivi des exigences, documenter les preuves, piloter les risques et générer des tableaux de bord de gouvernance cyber.

  • Elle vous permet de centraliser vos données pour constituer une source de vérité unique.
  • Après avoir estimé votre niveau de risque, elle facilite la création de workflows d’évaluation et de rapports automatisés.
  • En vous offrant un suivi des correctifs à appliquer, elle vous donne une vue d’ensemble sur l’avancée de votre démarche.
  • Elle réalise une quantification financière du risque cyber, pour permettre une prise de décision éclairée sur les priorités à suivre.

En bref, elle constitue un support de pilotage opérationnel centralisé, indispensable pour piloter votre stratégie cyber grâce aux données. Demandez une démo pour découvrir notre plateforme tout-en-un !

Articles

Vous allez aimer ces autres articles

Cadre COBIT : définition, principes et mise en œuvre pour une gouvernance IT efficace
Découvrez comment le cadre COBIT renforce la gouvernance IT, la gestion des risques et la conformité dans une approche GRC intégrée.
Gouvernance
Découvir
Cyber Kill Chain : comprendre, anticiper et contrer les cyberattaques
Découvrez les 7 étapes de la Cyber Kill Chain et comment ce modèle aide à anticiper, contrer et gouverner les cyberattaques dans une démarche GRC.
Gestion des risques
Découvir
Qu’est-ce qu’Active Directory ? Comprendre et maîtriser cette solution de gestion d’un parc informatique
Découvrez le rôle d’Active Directory dans la gestion des identités, la sécurité des accès et la gouvernance des systèmes d’information.
Gouvernance
Découvir
icone fleche gauche
icone fleche droite
Découvrez notre plateforme

Moins de complexité, plus d’impact.
On vous montre comment.

Demander une démo