Retour aux articles

Cyber Resilience Act : êtes‑vous vraiment prêt ?

Le Cyber Resilience Act transforme en profondeur la manière de concevoir, développer et maintenir les produits numériques en Europe. Anticiper dès maintenant est la seule façon d’éviter un choc de conformité en 2026‑2027.

Publié le 15 avril 2026

Ce que change vraiment le Cyber Resilience Act

Le règlement (UE) 2024/2847 crée un cadre horizontal de cybersécurité pour tous les « produits comportant des éléments numériques » : matériels, logiciels, objets connectés, solutions industrielles, applications grand public ou professionnelles.

Contrairement à NIS2 ou DORA, centrés sur les services essentiels et les opérateurs, le CRA cible la sécurité intrinsèque des produits sur tout leur cycle de vie : conception, développement, mise sur le marché, exploitation, mises à jour et fin de support.

Il devient ainsi un pilier de la conformité cyber en Europe, au même titre que le RGPD l’est pour les données personnelles.

Les exigences essentielles à intégrer dans vos produits

L’Annexe I du CRA impose un socle d’exigences techniques et organisationnelles, dont :

  • Conception et développement sécurisés (« security by design & by default »)
  • Réduction des surfaces d’attaque et limitation des privilèges
  • Protection des données et de la confidentialité
  • Journalisation et traçabilité suffisantes pour détecter et analyser les incidents
  • Sécurité des communications et des mises à jour
  • Résilience aux attaques connues et raisonnablement prévisibles

À cela s’ajoute une obligation forte : la gestion structurée des vulnérabilités, avec processus PSIRT, réception et traitement des signalements, coordination avec les CSIRT et diffusion rapide de correctifs.

La révolution des mises à jour de sécurité

Le CRA impose de fournir des mises à jour de sécurité pendant une durée proportionnée, annoncée à l’avance, et clairement distinctes des mises à jour fonctionnelles.

Conséquences pour les fabricants et éditeurs :

  • Repenser les roadmaps produits pour garantir un support de sécurité aligné sur les usages réels
  • Séparer les cycles de release fonctionnels et correctifs de sécurité
  • Documenter précisément la politique de support (durée, périmètre, modalités de déploiement)
  • Assurer une distribution rapide et fiable des correctifs, y compris pour les produits déjà déployés

Qui est responsable de quoi ?

Les obligations pèsent principalement sur les fabricants, mais aussi sur les importateurs et distributeurs.

Fabricants

Ils doivent notamment :

  • Réaliser une analyse de risques du produit et de sa chaîne d’approvisionnement
  • Intégrer la cybersécurité dès la conception et par défaut
  • Mettre en place un système de gestion des vulnérabilités (PSIRT, processus internes, outillage)
  • Constituer une documentation technique détaillée
  • Procéder à l’évaluation de la conformité
  • Rédiger la déclaration UE de conformité
  • Apposer le marquage CE avant mise sur le marché

Importateurs et distributeurs

Ils doivent vérifier que :

  • Le produit porte le marquage CE approprié
  • La documentation de conformité est disponible et cohérente
  • Le fabricant a mis en place les processus de gestion des vulnérabilités requis
  • Les produits non conformes ne sont pas mis à disposition sur le marché

Évaluation de la conformité et marquage CE

Le niveau d’exigence dépend de la criticité du produit :

  • Produits « standard » : auto‑évaluation basée sur les exigences essentielles et les normes harmonisées
  • Produits critiques ou de sécurité : recours obligatoire à un organisme notifié pour l’évaluation de la conformité

Dans tous les cas, le marquage CE matérialise la conformité du produit aux exigences du CRA, en complément des autres réglementations applicables (sécurité produit, radio, etc.).

Un calendrier serré : pourquoi il faut démarrer maintenant

Le CRA est déjà entré en vigueur, avec une montée en charge progressive :

  • 2026 : obligations de notification des vulnérabilités activement exploitées et des incidents graves
  • 2027 : mise en œuvre complète et exigence de conformité CRA pour les produits mis sur le marché, y compris le marquage CE

Les produits déjà commercialisés devront, selon les cas, être maintenus via des mises à jour de sécurité et une documentation adaptée.

Les risques en cas de non‑conformité

Les autorités de surveillance du marché disposeront de leviers puissants :

  • Exiger des mesures correctives rapides
  • Ordonner le retrait ou le rappel de produits
  • Prononcer des sanctions financières pouvant atteindre 15 M€ ou 2,5 % du chiffre d’affaires annuel mondial

Pour les industriels et éditeurs, l’enjeu est stratégique : intégrer dès maintenant les exigences CRA dans les roadmaps produits, les contrats fournisseurs et open source, les processus DevSecOps et la communication client.

Passer de la théorie à l’action

Au‑delà de la lecture du texte, la difficulté réside dans la traduction opérationnelle : cartographie des produits concernés, analyse de risques, adaptation des pipelines de développement, mise en place d’un SBOM, gouvernance PSIRT, alignement avec ISO 27001, ISO 62443, NIS2 ou DORA.

Pour accélérer cette mise en mouvement et clarifier les priorités, vous pouvez vous appuyer sur une session dédiée comme cette session de préparation au CRA, afin de structurer votre trajectoire de conformité avant les échéances de 2026‑2027.

Sources

  1. « Cyber Resilience Act — règlement (UE) 2024/2847 » — cyber.gouv.fr — 2024-08-01
  2. « Le règlement sur la cyberrésilience – Résumé du texte législatif » — digital-strategy.ec.europa.eu — 2024-12-01
  3. « Règlement sur la cyberrésilience (Cyber Resilience Act) » — fr.wikipedia.org
  4. « Règlement sur la cyberrésilience: le Conseil adopte une nouvelle loi sur les exigences en matière de sécurité pour les produits numériques » — consilium.europa.eu — 2024-10-10
  5. « Cyber Resilience Act : la nouvelle loi européenne sur la cybersécurité » — chambersign.fr — 2024-11-01
  6. « Tour d’horizon juridique : NIS 2, DORA, Cyber Resilience Act (CRA) » — roquefeuil.avocat.fr — 2024-10-01
  7. « Mise en conformité CRA – Cyber Resilience Act » — digitemis.com — 2025-03-01
  8. « How to obtain a CE marking for the CRA ? » — cyberresilienceact.eu — 2025-01-01

Découvrir le Spark lié : Comprendre et se conformer au Cyber Resilient Act