Qu'est-ce que le Cyber Resilience Act ?

Adopté en octobre 2024, le Cyber Resilience Act (CRA) est le premier règlement européen imposant des exigences de cybersécurité aux produits comportant des éléments numériques mis sur le marché de l'Union européenne. Il s'applique aussi bien aux fabricants européens qu'aux importateurs de produits fabriqués hors UE.

Le CRA crée une nouvelle obligation de security by design : la sécurité doit être intégrée dès la conception du produit, et non ajoutée a posteriori. Pour les ETI de l'industrie et de la santé, c'est un changement de paradigme majeur.

Quels produits sont concernés ?

Le CRA s'applique à tout produit connecté — logiciel ou matériel — mis sur le marché UE. Sont explicitement inclus :

  • Objets connectés (IoT) industriels et grand public
  • Logiciels commerciaux et systèmes embarqués
  • Dispositifs médicaux connectés (sous réserve d'articulation avec le MDR/IVDR)
  • Équipements réseaux et systèmes de contrôle industriel (OT)
  • Applications mobiles et logiciels SaaS dans certains cas

Sont exclus : les produits à usage militaire, les aéronefs civils couverts par EASA, et certains équipements automobiles déjà régulés.

La classification par niveau de risque

Le CRA distingue trois catégories de produits, avec des obligations croissantes :

  • Produits standard (majorité des cas) : auto-déclaration de conformité suffisante si les exigences essentielles sont remplies.
  • Classe I — Important (ex : navigateurs, logiciels de gestion de mots de passe, VPN, routeurs domestiques) : évaluation par tierce partie obligatoire ou schéma européen de certification.
  • Classe II — Critique (ex : systèmes de contrôle industriels, hyperviseurs, PKI, TPM) : certification obligatoire par organisme notifié.

Les obligations concrètes pour les fabricants

Quel que soit le niveau de risque, tout fabricant doit :

  • Intégrer la sécurité dès la conception (secure by design et by default)
  • Maintenir une gestion des vulnérabilités pendant toute la durée de support (minimum 5 ans)
  • Notifier l'ENISA de toute vulnérabilité activement exploitée sous 24 heures, et fournir un rapport complet sous 72 heures
  • Produire une documentation technique complète et une déclaration de conformité UE
  • Apposer le marquage CE cybersécurité sur le produit

Le calendrier d'application

Le CRA est entré en vigueur le 10 décembre 2024. Le calendrier de transition est le suivant :

  • Septembre 2026 : entrée en application des obligations de notification des vulnérabilités et incidents
  • Décembre 2027 : entrée en application complète — tous les produits mis sur le marché doivent être conformes

Les produits déjà sur le marché avant décembre 2027 bénéficient d'une période de grâce, mais les mises à jour logicielles significatives peuvent déclencher l'obligation de conformité.

Ce qu'ACESO CONSEIL recommande

Pour les fabricants ETI, l'urgence est de lancer dès maintenant une cartographie des produits exposés au CRA. Les entreprises qui attendent 2026 pour démarrer leur mise en conformité risquent de manquer le délai de décembre 2027, notamment si elles ont des produits de classe I ou II nécessitant une évaluation par tierce partie.

Le Diagnostic Flash d'ACESO CONSEIL permet d'identifier en 2 semaines les produits concernés, leur classe de risque, et les principales lacunes à traiter en priorité.