Décembre 2027 : une date qui approche vite pour les fabricants IoT
Le Cyber Resilience Act entrera en application complète en décembre 2027. Pour les fabricants d'objets connectés industriels, ce délai peut sembler confortable. En réalité, les cycles de développement produit, les délais d'audit et d'évaluation tierce partie, et la complexité des changements à apporter aux processus internes font que les entreprises qui n'ont pas encore démarré sont déjà en retard.
Voici les cinq questions fondamentales que tout fabricant IoT industriel doit se poser maintenant.
1. Mes produits tombent-ils dans le périmètre du CRA ?
Tout produit comportant des éléments numériques (logiciel ou matériel) mis sur le marché UE est a priori concerné. Pour les fabricants IoT industriels, cela inclut les capteurs connectés, les passerelles industrielles, les systèmes SCADA avec interface réseau, et les équipements OT communicants. L'exclusion n'est possible que pour des catégories très limitées (aéronautique, automobile déjà régulé, défense).
À faire : Cartographier l'ensemble du catalogue produit et identifier les éléments numériques. Documenter les connexions réseau et les interfaces de communication pour chaque référence.
2. Dans quelle classe de risque sont mes produits ?
La classe de risque détermine le niveau de contrainte : auto-déclaration pour les produits standard, évaluation tierce partie obligatoire pour la Classe I (ex : équipements réseau industriels, IHM), certification organisme notifié pour la Classe II (ex : SCADA, automates programmables critiques). Les annexes du CRA publiées en 2024 fournissent les listes de référence.
À faire : Vérifier les annexes III et IV du CRA pour chaque référence produit. Anticiper les délais d'audit si des produits tombent en Classe I ou II — les organismes notifiés ont des carnets de commandes chargés.
3. Mon processus de développement intègre-t-il la sécurité dès la conception ?
Le CRA impose le principe de secure by design et secure by default. Concrètement : pas de mots de passe par défaut identiques pour tous les appareils, désactivation des ports et services non nécessaires, mécanismes de mise à jour sécurisée intégrés dès le design. Pour beaucoup de fabricants IoT industriels, c'est une refonte partielle du cycle de développement produit (SDLC).
À faire : Auditer le processus de développement actuel contre les exigences essentielles de l'Annexe I du CRA. Identifier les écarts et les corriger avant la mise en production des nouveaux modèles.
4. Suis-je prêt pour la gestion des vulnérabilités sur 5 ans ?
Le CRA impose de gérer et corriger les vulnérabilités pendant toute la durée de support du produit, avec un minimum de 5 ans. Cela inclut : la mise à disposition de mises à jour de sécurité, un point de contact pour le signalement des vulnérabilités (VDP — Vulnerability Disclosure Policy), et la notification à l'ENISA des vulnérabilités activement exploitées sous 24 heures.
À faire : Évaluer la capacité interne à gérer les vulnérabilités post-vente. Mettre en place une VDP publique. Identifier qui sera responsable de la surveillance des CVE sur chaque référence produit.
5. Dispose-je de la documentation technique requise ?
La déclaration de conformité UE et la documentation technique complète (incluant la SBOM — Software Bill of Materials) sont obligatoires. La SBOM liste l'ensemble des composants logiciels du produit, y compris les bibliothèques open source et tierces. Pour un produit IoT typique, cela représente souvent plusieurs centaines de composants à inventorier.
À faire : Générer la SBOM pour les produits existants. Intégrer la génération automatique de SBOM dans le pipeline de build. Préparer les modèles de documentation technique conformes au CRA.
La bonne nouvelle : un Diagnostic Flash pour démarrer
En 2 semaines, ACESO CONSEIL peut réaliser une cartographie complète de votre exposition CRA : classification des produits, identification des écarts, et feuille de route priorisée. C'est le point de départ structuré pour une mise en conformité qui ne soit pas une course catastrophe à l'approche de 2027.