🛡️ Cyber Resilience Act (CRA) : ce qu’il faut savoir avant 2027

La cybersécurité des produits numériques entre dans une nouvelle ère.

Adopté officiellement par le Parlement européen en mars 2024, le Cyber Resilience Act (CRA) marque un tournant majeur dans la régulation des équipements connectés, logiciels et services numériques en Europe.

À compter de décembre 2027, tout produit comportant un composant numérique vendu ou distribué dans l’Union européenne devra intégrer la sécurité dès sa conception et tout au long de son cycle de vie.

Ce texte, complémentaire à NIS2 et DORA, vise à combler un vide : la sécurité des produits eux-mêmes, pas seulement celle des organisations qui les utilisent.

Voici tout ce que les éditeurs, fabricants et intégrateurs doivent anticiper.

📜 Le Cyber Resilience Act en résumé

Le CRA est un règlement européen (donc applicable directement dans les États membres, sans transposition nationale).

Son objectif : garantir un niveau de sécurité cohérent pour tous les produits numériques mis sur le marché européen.

⚙️ Champ d’application

Le texte s’applique à :

1. Les logiciels (bureautiques, SaaS, applications, OS, etc.)
2. Les produits matériels avec éléments numériques (objets connectés, équipements industriels, routeurs, caméras IP, etc.)
3. Les services intégrés ou embarqués (firmwares, systèmes embarqués, composants IoT).

Selon la Commission européenne, 90 % des produits numériques actuellement commercialisés présentent au moins une vulnérabilité connue — ce que le CRA entend corriger à la source.

🧾 Les obligations principales du CRA

Les fabricants, développeurs ou importateurs devront :

1. Intégrer la sécurité dès la conception (security by design).
2. Corriger activement les vulnérabilités pendant au moins 5 ans après la mise sur le marché.
3. Fournir des mises à jour de sécurité gratuites et facilement déployables.
4. Notifier toute vulnérabilité exploitée activement dans les 24 heures à l’ENISA (Agence européenne pour la cybersécurité).
5. Conserver une documentation technique complète sur la gestion des risques et les contrôles appliqués.

🔍 Source : Règlement européen CRA, articles 10 à 18, publié au JOUE juin 2024

⏰ Échéances à retenir

1. Décembre 2024 : publication du texte au Journal Officiel de l’UE
2. Décembre 2025 : période de préparation et d’adaptation des fabricants
3. Décembre 2027 : entrée en application complète
4. À partir de 2028 : sanctions possibles en cas de non-conformité (jusqu’à 15 millions d’euros ou 2,5 % du CA mondial, selon la gravité)

💡 L’UE estime que ce règlement pourrait réduire de 30 % les cyberincidents liés aux produits numériques dès 2030 (Commission européenne, Impact Assessment 2024).

🧠 Impacts pour les éditeurs et fabricants

Le CRA impose une refonte structurelle de la conception produit.

Pour les éditeurs de logiciels :

1. Obligation de documenter les risques et la gestion des vulnérabilités dès la phase de développement.
2. Intégration du DevSecOps dans la chaîne de CI/CD.
3. Maintien d’un registre de vulnérabilités et d’un plan de patch management.

Pour les fabricants d’équipements numériques :

1. Validation de la conformité des firmwares et OS embarqués.
2. Traçabilité complète de la supply-chain (composants matériels et logiciels).
3. Communication claire des mises à jour de sécurité et fin de support.

Pour les intégrateurs et prestataires IT :

1. Obligation de vérifier la conformité CRA des produits installés chez leurs clients.
2. Renforcement de la responsabilité contractuelle (exigences SLA de mise à jour et de support).

🔄 Convergence avec les normes ISO et cadres existants

Le CRA ne remplace pas les normes existantes : il s’appuie sur elles.

Ses exigences se recoupent notamment avec :

1. ISO/IEC 27001 – Système de management de la sécurité de l’information
2. ISO/IEC 62443 – Sécurité des systèmes industriels et OT
3. ISO/IEC 29147 – Gestion des vulnérabilités
4. ISO/IEC 30111 – Gestion des divulgations et correctifs de sécurité
5. NIS2 – Gouvernance et notification des incidents

👉 Les entreprises déjà engagées dans une démarche ISO 27001 ou NIS2 auront une longueur d’avance : près de 60 % des exigences du CRA se recoupent avec ces cadres.

🧩 Comment anticiper la conformité au CRA dès aujourd’hui

1. 🧠 Adopter le “security by design”

Intégrez la cybersécurité dès la phase de conception produit.

Cela passe par des revues de code automatisées, une architecture sécurisée et des politiques de gestion des accès robustes.

2. 📁 Créer une base documentaire traçable

Conservez la documentation exigée (analyse de risques, politiques de mises à jour, plan de réponse incident).

Une bonne gestion documentaire est la clé d’un audit CRA réussi.

3. 🔍 Mettre en place un suivi continu des vulnérabilités

Centralisez la surveillance, la détection et la correction des vulnérabilités dans un registre unique.

Les éditeurs les plus avancés s’appuient sur des outils d’orchestration GRC (Governance, Risk & Compliance).

4. 📊 Mesurer la conformité et prioriser les actions

Utilisez des KPI tels que :

1. Taux de patch appliqués sous 7 jours
2. Nombre de vulnérabilités critiques ouvertes
3. Temps moyen de correction (MTTR)
4. Niveau de conformité CRA par produit

👉 Ces indicateurs sont déjà recommandés par l’ENISA CRA Implementation Guide (2025).

🚀 Le rôle de CompliKey dans la mise en conformité CRA

CompliKey accompagne les PME, éditeurs et intégrateurs dans la structuration et le pilotage de leur conformité CRA grâce à :

1. 📊 Tableau de bord CRA dédié : visualisez votre avancement par exigence et par produit.
2. 📁 Gestion documentaire centralisée : stockez politiques, registres et preuves de conformité.
3. 🔔 Alertes de suivi : relances automatiques sur les vulnérabilités non corrigées et actions en attente.
4. 🧾 Rapports audit-ready : export PDF pour organismes certificateurs ou partenaires.
5. 🔄 Interopérabilité ISO 27001 / NIS2 : évitez les doublons et unifiez vos plans d’action.

💬 Avec CompliKey, les entreprises gagnent en moyenne 40 % de temps sur la préparation documentaire CRA et réduisent de 30 % leurs écarts de conformité détectés lors des pré-audits.

🌟 En conclusion

Le Cyber Resilience Act va profondément transformer la manière dont les produits numériques sont conçus, livrés et maintenus en Europe.

En anticipant dès 2025, les entreprises peuvent non seulement éviter des sanctions, mais surtout gagner un avantage compétitif en prouvant leur fiabilité et leur transparence.

👉 CompliKey vous aide à franchir cette étape avec méthode : un pilotage clair, des documents centralisés, et une vision unifiée de votre conformité CRA, ISO 27001 et NIS2.