Cyber Resilience Act : suis-je concerné et que dois-je faire concrètement ?

Le Cyber Resilience Act (CRA) marque un tournant majeur dans la réglementation européenne sur la sécurité des produits numériques.

Adopté fin 2024 et applicable à partir de décembre 2027, il vise à imposer des exigences de cybersécurité dès la conception à l’ensemble des acteurs de la chaîne numérique : éditeurs logiciels, fabricants d’équipements connectés, prestataires SaaS et intégrateurs.

🎯 Son objectif : garantir que tout produit numérique vendu dans l’UE est sécurisé par défaut, pendant tout son cycle de vie.

Mais concrètement, êtes-vous concerné ? Et comment vous préparer sans transformer votre roadmap produit en cauchemar réglementaire ?

⚙️ 1. Qui est concerné par le Cyber Resilience Act ?

Le CRA s’applique à toute entité qui conçoit, développe, intègre ou met sur le marché un produit comportant des éléments numériques.

Cela inclut :

1. 🧩 Éditeurs de logiciels (on-premise, SaaS, applicatifs métiers, outils de sécurité, etc.) ;
2. ☁️ Fournisseurs de services Cloud ;
3. 🔗 Fabricants d’équipements connectés (IoT, routeurs, objets industriels) ;
4. 🤝 Intégrateurs et distributeurs qui assemblent ou reconditionnent des composants logiciels.

Selon la Commission européenne (janvier 2025), plus de 90 % des entreprises tech européennes devront se conformer à tout ou partie des exigences du CRA.

🧠 2. Ce que le CRA impose réellement

Le règlement introduit quatre grands volets d’obligations :

🔐 Sécurité dès la conception (“Security by Design”)

Les produits doivent intégrer la sécurité dès la phase de développement :

1. analyse des risques techniques ;
2. intégration de mécanismes d’authentification et de chiffrement ;
3. revue de code et gestion des dépendances logicielles ;
4. tests réguliers et correctifs de vulnérabilités.

🧾 Gestion du cycle de vie et support

L’éditeur doit garantir :

1. un support de sécurité pendant au moins 5 ans (ou la durée d’usage prévue) ;
2. la publication rapide des correctifs ;
3. une traçabilité complète des composants logiciels (SBOM).

🚨 Déclaration obligatoire des vulnérabilités

Tout incident majeur ou faille exploitée doit être notifié dans un délai de 24 heures au CSIRT européen (ENISA), puis documenté sous 72 h.

Cette obligation rapproche le CRA du régime NIS 2.

🧭 Conformité et documentation technique

Les fabricants et éditeurs doivent constituer un dossier de conformité comprenant :

1. les résultats des analyses de risques ;
2. les procédures de test et d’audit ;
3. la description du système de sécurité ;
4. les preuves de conformité (rapports, logs, politiques).

🧩 3. Comment savoir à quel niveau de conformité vous devez répondre ?

Le CRA classe les produits en quatre catégories de criticité :

1️⃣ Classe I – Faible risque : logiciels sans impact sur la sécurité ou la vie privée (ex. calculatrice).

2️⃣ Classe II – Modéré : logiciels manipulant des données non sensibles mais interconnectés.

3️⃣ Classe III – Critique : produits pouvant affecter des fonctions critiques (santé, énergie, transport).

4️⃣ Classe IV – Élevé : systèmes dont la compromission aurait un impact majeur sur la sécurité nationale ou la vie humaine.

💡 Exemple :

1. Un CRM SaaS traitant des données clients sera classe II ;
2. Une plateforme Cloud industrielle connectée à des capteurs d’usine pourrait être classe III ;
3. Un dispositif médical connecté sera classe IV.

Chaque classe détermine le niveau d’audit, de documentation et de certification exigé.

📊 4. Pourquoi le CRA change profondément la gouvernance cyber

Le CRA ne se limite pas à la technique : il oblige les entreprises à structurer leur gouvernance sécurité produit.

Les directions doivent désormais :

1. suivre des indicateurs de conformité (patchs, incidents, dépendances logicielles) ;
2. prouver leur capacité de réaction en cas de vulnérabilité ;
3. intégrer la sécurité dans la culture d’entreprise et la gestion de projet (DevSecOps).

📉 Selon ENISA 2025, 63 % des PME logicielles n’ont aucune procédure de revue de sécurité intégrée au développement.

Et 41 % ignorent quelles obligations s’appliqueront à leur produit sous le CRA.

🧮 5. Par où commencer pour se préparer au CRA ?

Voici une feuille de route claire en 5 étapes :

✅ Étape 1 : Identifier vos produits concernés

Faites l’inventaire de vos logiciels, modules, API et dépendances open-source.

⚙️ Étape 2 : Réaliser une analyse de risques produit

Appliquez une méthode comme EBIOS RM ou ISO 27005 : quel impact en cas de compromission ? quelles menaces ? quelles dépendances critiques ?

🧾 Étape 3 : Construire votre documentation technique

Créez un registre CRA contenant :

1. SBOM ;
2. politiques de sécurité ;
3. historique des versions et correctifs ;
4. preuves de tests ;
5. matrices de conformité.

📊 Étape 4 : Mettre en place un suivi continu

Le CRA exige un pilotage dynamique de la conformité (vulnérabilités, correctifs, incidents).

🤝 Étape 5 : Préparer les audits

Les produits des classes III et IV nécessiteront une évaluation par un organisme notifié.

Anticiper ces audits dès 2025 permet de limiter le risque de non-conformité à l’échéance 2027.

🚀 Comment CompliKey aide les éditeurs et SaaS à piloter leur conformité CRA

CompliKey centralise et structure la gestion CRA dans une interface claire et collaborative :

🧭 1. Cartographie des produits et exigences CRA

Chaque produit peut être rattaché à sa classe de criticité, avec les mesures exigées (par annexe I à III du règlement).

🧩 2. Plan de traitement des risques

Suivez les actions correctives, responsables, dates cibles et statuts ; mesurez le risque résiduel et la progression de conformité.

📊 3. Tableau de bord CRA

Visualisez en temps réel :

1. le taux de conformité global ;
2. la maturité par produit ou service ;
3. les vulnérabilités critiques en attente ;
4. les tendances sur 3 mois (mises à jour, incidents, patchs).

💡 Les éditeurs utilisant CompliKey constatent :

1. -40 % de temps de préparation d’audit,
2. +45 % de visibilité sur la conformité produit,
3. -30 % d’erreurs de suivi documentaire.

🌟 En résumé

Le Cyber Resilience Act n’est pas une simple contrainte : c’est une opportunité de renforcer la confiance dans les produits européens et de professionnaliser la gouvernance sécurité des éditeurs.

Les entreprises qui anticipent dès 2025 auront un avantage concurrentiel fort : crédibilité, conformité et confiance client.

Avec CompliKey, vous structurez votre conformité CRA de bout en bout : du diagnostic aux preuves, dans un seul tableau de bord.