Cyber Resilience Act : quelles obligations et comment préparer votre entreprise au CRA ?

Le Cyber Resilience Act, ou CRA, transforme profondément la manière dont les logiciels, équipements connectés et autres produits numériques devront être conçus, maintenus et commercialisés dans l’Union européenne.

Son principe est simple : la cybersécurité ne doit plus être ajoutée après la mise sur le marché. Elle doit être intégrée dès la conception du produit, documentée, évaluée et maintenue pendant toute sa période de support.

Le règlement concerne principalement les fabricants et éditeurs de produits comportant des éléments numériques. Il impose également certaines obligations aux importateurs, distributeurs et acteurs soutenant durablement des projets open source.

Son application sera progressive :

1. depuis le 11 juin 2026 pour les dispositions relatives aux organismes d’évaluation de la conformité ;
2. à partir du 11 septembre 2026 pour le signalement de certaines vulnérabilités et de certains incidents ;
3. à partir du 11 décembre 2027 pour l’application complète des principales obligations.

Pour les entreprises concernées, l’enjeu est désormais de traduire ce règlement en un dispositif concret : cartographie des produits, analyse de risques, sécurité du développement, gestion des composants, traitement des vulnérabilités, documentation technique, évaluation de conformité et suivi des preuves.

Qu’est-ce que le Cyber Resilience Act ?

Le Cyber Resilience Act est le règlement européen 2024/2847 consacré à la cybersécurité des produits comportant des éléments numériques.

Il poursuit deux objectifs principaux :

1. améliorer le niveau de cybersécurité des produits numériques vendus ou distribués sur le marché européen ;
2. permettre aux utilisateurs de disposer d’informations plus claires sur la sécurité, les mises à jour et la période de support des produits qu’ils utilisent.

Le CRA établit un cadre commun pour l’ensemble de l’Union européenne. Il évite ainsi que chaque État membre adopte des exigences différentes pour la mise sur le marché des produits numériques.

Le règlement repose sur plusieurs piliers :

1. la sécurité dès la conception ;
2. l’analyse des risques cyber ;
3. la gestion continue des vulnérabilités ;
4. la mise à disposition de mises à jour de sécurité ;
5. la documentation technique ;
6. l’évaluation de la conformité ;
7. le marquage CE ;
8. la notification des vulnérabilités activement exploitées et des incidents graves ;
9. la surveillance du marché.

Quels produits sont concernés par le CRA ?

Le CRA s’applique aux produits comportant des éléments numériques mis à disposition sur le marché européen.

Cette notion inclut notamment :

1. les produits logiciels ;
2. les produits matériels ;
3. les composants logiciels ou matériels commercialisés séparément ;
4. certaines solutions de traitement de données à distance indispensables au fonctionnement d’un produit.

Le produit doit avoir une connexion logique ou physique, directe ou indirecte, à un appareil ou à un réseau dans son usage prévu ou raisonnablement prévisible.

Exemples de produits potentiellement concernés

Le champ d’application est large et peut notamment couvrir :

1. logiciels installés sur les postes ou serveurs ;
2. systèmes d’exploitation ;
3. navigateurs ;
4. applications mobiles ;
5. logiciels de gestion ;
6. équipements réseau ;
7. routeurs ;
8. pare-feu ;
9. objets connectés ;
10. systèmes domotiques ;
11. jouets connectés ;
12. équipements industriels ;
13. microprocesseurs et microcontrôleurs ;
14. gestionnaires de mots de passe ;
15. outils de supervision ou de détection ;
16. composants logiciels distribués séparément.

Un éditeur SaaS n’est pas automatiquement concerné uniquement parce qu’il fournit un service en ligne. Une analyse spécifique est nécessaire, notamment lorsque le traitement à distance est conçu sous la responsabilité du fabricant et que son absence empêcherait le produit d’assurer l’une de ses fonctions.

Quels produits sont exclus ?

Certains produits relevant déjà de réglementations européennes sectorielles sont exclus ou font l’objet de régimes particuliers.

Cela concerne notamment :

1. certains dispositifs médicaux ;
2. les dispositifs médicaux de diagnostic in vitro ;
3. certains systèmes et composants automobiles ;
4. certains produits de l’aviation civile ;
5. les équipements marins ;
6. les produits développés exclusivement pour la défense ou la sécurité nationale ;
7. les produits destinés au traitement d’informations classifiées.

L’existence d’une exclusion doit être vérifiée précisément. Une entreprise ne doit pas conclure qu’un produit est hors périmètre uniquement parce qu’il appartient à un secteur réglementé.

Quelles entreprises sont concernées ?

Le CRA répartit les responsabilités entre plusieurs catégories d’acteurs économiques.

Les fabricants

Le fabricant est l’acteur qui développe, fabrique ou fait développer un produit, puis le commercialise sous son nom ou sa marque.

Dans le domaine logiciel, cette définition peut concerner un éditeur qui conçoit et distribue son produit, y compris lorsque celui-ci est mis à disposition gratuitement dans un contexte commercial.

Les obligations les plus importantes du CRA reposent sur le fabricant.

Les importateurs

Un importateur met sur le marché européen un produit portant le nom ou la marque d’un fabricant établi hors de l’Union européenne.

Il doit notamment vérifier que :

1. le fabricant a respecté ses obligations ;
2. l’évaluation de conformité a été réalisée ;
3. la documentation technique existe ;
4. le marquage CE est présent ;
5. les informations requises accompagnent le produit.

Les distributeurs

Le distributeur met un produit à disposition sur le marché sans en modifier les caractéristiques.

Il doit vérifier certains éléments de conformité avant de commercialiser le produit et réagir s’il estime que celui-ci présente un risque ou n’est pas conforme.

Les intendants de logiciels libres

Le CRA prévoit également un statut particulier pour certaines personnes morales soutenant durablement le développement de logiciels libres destinés à des activités commerciales.

Ces acteurs ne sont pas soumis à l’ensemble des obligations des fabricants, mais doivent notamment disposer d’une politique favorisant le développement sécurisé et le traitement efficace des vulnérabilités.

Les quatre catégories de produits

Le CRA adapte les procédures de conformité à la criticité des produits.

1. Les produits de la catégorie par défaut

Cette catégorie comprend la majorité des produits comportant des éléments numériques qui ne figurent pas dans les catégories importantes ou critiques.

Pour ces produits, le fabricant pourra généralement procéder à une auto-évaluation de conformité.

2. Les produits importants de classe I

Cette catégorie comprend notamment certains :

1. gestionnaires d’identités ;
2. navigateurs ;
3. gestionnaires de mots de passe ;
4. produits de sécurité ;
5. routeurs ;
6. systèmes d’exploitation ;
7. objets connectés ou équipements sectoriels.

L’auto-évaluation peut rester possible lorsque le fabricant applique les normes harmonisées, spécifications communes ou schémas de certification pertinents. Dans les autres cas, une évaluation par un tiers peut être nécessaire.

3. Les produits importants de classe II

Cette catégorie couvre notamment :

1. certains hyperviseurs ;
2. pare-feu ;
3. systèmes de détection ou de prévention d’intrusion ;
4. microprocesseurs et microcontrôleurs résistants aux altérations.

Une évaluation tierce est normalement requise.

4. Les produits critiques

Cette catégorie comprend des produits particulièrement sensibles, comme certains modules matériels de sécurité, cartes à puce ou passerelles pour compteurs intelligents.

Ils sont soumis aux procédures de conformité les plus exigeantes.

La classification dépend principalement de la fonctionnalité essentielle du produit. Il ne suffit donc pas qu’un produit intègre une fonction de sécurité secondaire pour être automatiquement classé comme important ou critique.

Quelles sont les principales obligations des fabricants ?

Réaliser une analyse de risques cyber

Le fabricant doit réaliser une analyse des risques de cybersécurité liés au produit.

Cette analyse doit être prise en compte pendant :

1. la planification ;
2. la conception ;
3. le développement ;
4. la production ;
5. la livraison ;
6. la maintenance.

Elle doit être conservée dans la documentation technique.

L’analyse ne doit pas rester générique. Elle doit tenir compte du produit, de ses fonctions, de ses usages prévisibles, de ses dépendances et des impacts possibles d’une compromission.

Intégrer la sécurité dès la conception

Le produit doit être conçu et développé conformément aux exigences essentielles de cybersécurité du CRA.

Cela implique notamment de chercher à :

1. réduire la surface d’attaque ;
2. limiter les accès et privilèges ;
3. protéger les données ;
4. maintenir la confidentialité, l’intégrité et la disponibilité ;
5. prévenir les accès non autorisés ;
6. limiter les conséquences d’un incident ;
7. faciliter les mises à jour de sécurité ;
8. permettre une restauration ou un retour à un état sécurisé lorsque cela est pertinent.

Le CRA ne se contente donc pas d’imposer un processus documentaire. Il porte directement sur les propriétés de sécurité du produit.

Ne pas commercialiser un produit comportant des vulnérabilités connues exploitables

Le fabricant doit traiter les vulnérabilités connues pouvant affecter la sécurité du produit avant sa mise sur le marché.

Cela suppose notamment :

1. d’organiser les tests de sécurité ;
2. d’analyser les composants utilisés ;
3. de suivre les avis de vulnérabilité ;
4. de corriger ou atténuer les faiblesses détectées ;
5. de documenter les risques résiduels.

Le règlement ne fixe pas une méthode de test unique ni une fréquence identique pour tous les produits. Le programme de tests doit être défini à partir de l’analyse de risques et, lorsque cela est pertinent, des normes applicables.

Maîtriser les composants tiers et open source

L’intégration d’un composant externe ne transfère pas automatiquement la responsabilité à son fournisseur ou à sa communauté.

Le fabricant doit exercer une vigilance raisonnable afin de s’assurer que les composants intégrés ne compromettent pas la cybersécurité du produit final.

Il doit donc être capable de connaître :

1. les composants utilisés ;
2. leurs versions ;
3. les dépendances ;
4. leur statut de maintenance ;
5. les vulnérabilités connues ;
6. les correctifs disponibles ;
7. leur présence dans les différentes versions du produit.

Une nomenclature logicielle ou SBOM peut faciliter ce travail, mais elle ne remplace pas le processus de suivi et de correction.

Organiser la gestion des vulnérabilités

Le fabricant doit mettre en place un processus permettant de :

1. recevoir les signalements ;
2. analyser les vulnérabilités ;
3. identifier les produits et versions concernés ;
4. évaluer leur gravité ;
5. développer et tester les correctifs ;
6. informer les utilisateurs ;
7. distribuer les mises à jour ;
8. conserver un historique ;
9. coopérer avec les autorités lorsque cela est nécessaire.

Il doit également proposer un point de contact permettant le signalement des vulnérabilités.

La création d’une équipe formelle de type PSIRT n’est pas imposée, mais l’organisation retenue doit être réellement opérationnelle.

Fournir des mises à jour de sécurité

Le fabricant doit assurer le traitement efficace des vulnérabilités pendant la période de support du produit.

Cette période doit être déterminée par le fabricant et son échéance doit être communiquée clairement à l’utilisateur.

L’entreprise doit donc être capable de répondre à plusieurs questions :

1. combien de temps le produit sera-t-il maintenu ;
2. quelles versions restent supportées ;
3. comment les mises à jour sont-elles distribuées ;
4. comment les utilisateurs sont-ils informés ;
5. comment les correctifs urgents sont-ils testés et publiés ;
6. que se passe-t-il en fin de support ?

La durée de support ne doit plus être une décision commerciale informelle. Elle devient un élément de conformité et de documentation.

Informer les utilisateurs

Le produit doit être accompagné d’informations et d’instructions compréhensibles permettant son installation, son utilisation et sa maintenance sécurisées.

Ces informations doivent notamment préciser :

1. l’identité et les coordonnées du fabricant ;
2. les éléments permettant d’identifier le produit ;
3. son usage prévu ;
4. les conditions d’utilisation sécurisée ;
5. les mises à jour disponibles ;
6. la date de fin de la période de support ;
7. les modalités de signalement d’une vulnérabilité.

Constituer une documentation technique

Avant la mise sur le marché, le fabricant doit produire une documentation permettant de démontrer que le produit respecte les exigences du CRA.

Cette documentation peut notamment comprendre :

1. une description générale du produit ;
2. son architecture ;
3. son usage prévu ;
4. l’analyse de risques ;
5. les exigences applicables ;
6. les mesures de sécurité retenues ;
7. les résultats des tests ;
8. la gestion des composants ;
9. les procédures de vulnérabilité ;
10. les informations destinées aux utilisateurs ;
11. la procédure d’évaluation de conformité ;
12. la déclaration UE de conformité.

Cette documentation doit être maintenue et pouvoir être mise à disposition des autorités de surveillance.

Quelles sont les obligations de notification à partir de septembre 2026 ?

À partir du 11 septembre 2026, les fabricants devront déclarer :

1. les vulnérabilités activement exploitées affectant leurs produits ;
2. les incidents graves ayant un impact sur la sécurité de leurs produits.

Les notifications passeront par la Single Reporting Platform, gérée par l’ENISA.

En France, elles seront notamment transmises au CERT-FR de l’ANSSI, en qualité de CSIRT coordinateur.

Les principaux délais

Pour une vulnérabilité activement exploitée :

1. alerte initiale sous 24 heures ;
2. notification complétée sous 72 heures ;
3. rapport final au plus tard 14 jours après la disponibilité d’une correction ou d’une mesure d’atténuation.

Pour un incident grave :

1. alerte sous 24 heures ;
2. notification sous 72 heures ;
3. rapport final dans le mois suivant la notification à 72 heures.

Ces délais imposent de préparer avant septembre 2026 :

1. les critères de qualification ;
2. les responsables ;
3. les suppléants ;
4. le circuit de validation ;
5. les modèles de notification ;
6. la collecte des informations techniques ;
7. les modalités de conservation des preuves ;
8. les exercices de simulation.

Comment fonctionne l’évaluation de conformité ?

Avant de mettre le produit sur le marché, le fabricant doit démontrer qu’il respecte les exigences du CRA.

Trois grandes modalités sont prévues.

Module A : contrôle interne

Le fabricant réalise lui-même son évaluation de conformité et établit sa déclaration.

Cette procédure sera principalement utilisée pour les produits de la catégorie par défaut et, sous certaines conditions, pour les produits importants de classe I.

Modules B et C

Un organisme notifié évalue la conception et le développement du produit. Le fabricant contrôle ensuite la conformité de la production au type évalué.

Module H

Un organisme notifié évalue le système complet d’assurance qualité du fabricant, avec des contrôles et vérifications périodiques.

Les produits importants de classe II et les produits critiques devront généralement faire l’objet d’une intervention tierce ou utiliser un mécanisme de certification reconnu lorsque celui-ci est disponible et applicable.

À quoi sert le marquage CE ?

Le marquage CE indiquera que le fabricant a déclaré la conformité du produit aux exigences applicables du CRA.

Il ne doit pas être confondu avec une certification de sécurité approfondie.

Le marquage peut résulter :

1. d’une auto-évaluation ;
2. d’une évaluation par un organisme notifié ;
3. de l’utilisation d’un mécanisme de certification reconnu.

Une certification de sécurité peut apporter une démonstration technique plus poussée, mais le marquage CE reste le signe réglementaire permettant la mise sur le marché.

Quel est le rôle des autorités françaises ?

L’ANSSI

L’ANSSI intervient à plusieurs niveaux :

1. autorité notifiante pour les organismes d’évaluation de la conformité ;
2. contrôle des organismes notifiés avec l’appui de l’accréditation du COFRAC ;
3. soutien technique à la surveillance du marché ;
4. réception et coordination des signalements via le CERT-FR ;
5. accompagnement de l’écosystème français.

L’ANFR

L’Agence nationale des fréquences sera l’autorité française de surveillance du marché pour le CRA.

Elle pourra notamment :

1. contrôler les produits ;
2. demander des informations ;
3. imposer une mise en conformité ;
4. restreindre ou interdire la commercialisation ;
5. demander le retrait ou le rappel d’un produit ;
6. appliquer des sanctions.

Quelles sanctions sont prévues ?

Les manquements les plus importants peuvent conduire à des amendes atteignant :

1. 15 millions d’euros ;
2. ou 2,5 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

D’autres sanctions peuvent s’appliquer selon la nature de l’obligation enfreinte.

Au-delà des amendes, les conséquences opérationnelles peuvent être particulièrement importantes :

1. suspension de mise sur le marché ;
2. retrait d’un produit ;
3. rappel des produits déjà distribués ;
4. obligation de correction ;
5. impact commercial et réputationnel.

L’enjeu principal n’est donc pas uniquement financier. Une entreprise peut perdre la capacité de vendre ou maintenir son produit sur le marché européen.

Quel est le calendrier du CRA ?

Les entreprises ne doivent pas attendre décembre 2027 pour agir. Les processus de notification doivent notamment être opérationnels plusieurs mois avant l’application complète du règlement.

Comment préparer votre conformité au CRA ?

1. Cartographier les produits

Commencez par recenser :

1. les produits commercialisés dans l’Union européenne ;
2. les logiciels et matériels distribués ;
3. les versions maintenues ;
4. les composants ;
5. les services distants associés ;
6. les pays de commercialisation ;
7. les entités juridiques responsables.

2. Déterminer le rôle de l’entreprise

Pour chaque produit, identifiez si l’entreprise agit comme :

1. fabricant ;
2. importateur ;
3. distributeur ;
4. représentant autorisé ;
5. intendant de logiciel libre.

Une même entreprise peut avoir plusieurs rôles selon les produits.

3. Classer les produits

Déterminez si chaque produit relève :

1. de la catégorie par défaut ;
2. des produits importants de classe I ;
3. des produits importants de classe II ;
4. des produits critiques.

Cette classification influence directement la procédure d’évaluation de conformité.

4. Réaliser une analyse d’écarts

Évaluez vos pratiques actuelles sur les principaux domaines :

1. analyse de risques produit ;
2. sécurité du développement ;
3. gestion des composants ;
4. tests ;
5. correctifs ;
6. mises à jour ;
7. gestion des vulnérabilités ;
8. notification ;
9. documentation ;
10. information des utilisateurs ;
11. évaluation de conformité.

5. Définir un plan d’action

Chaque écart doit devenir une action avec :

1. un responsable ;
2. une priorité ;
3. une échéance ;
4. un coût ou un effort estimé ;
5. une preuve attendue ;
6. un statut.

6. Préparer le reporting de septembre 2026

Le dispositif de notification doit être traité en priorité.

Il faut notamment :

1. désigner les responsables ;
2. créer un circuit court de décision ;
3. préparer les modèles ;
4. identifier les informations indispensables ;
5. définir l’heure de prise de connaissance ;
6. conserver la chronologie ;
7. organiser un exercice avant l’échéance.

7. Structurer la documentation technique

N’attendez pas la fin du projet pour reconstruire les preuves.

La documentation doit être alimentée au fil du développement :

1. décisions d’architecture ;
2. résultats des analyses ;
3. tests ;
4. vulnérabilités ;
5. correctifs ;
6. dépendances ;
7. versions ;
8. arbitrages ;
9. informations utilisateur.

8. Intégrer le CRA au cycle produit

Le CRA ne doit pas devenir une vérification isolée avant la commercialisation.

Il doit être intégré :

1. aux exigences produit ;
2. aux revues de conception ;
3. au développement ;
4. à l’intégration continue ;
5. aux tests ;
6. à la gestion des versions ;
7. au support ;
8. à la fin de vie du produit.

Les erreurs à éviter

Attendre les normes harmonisées

Les normes faciliteront la démonstration de conformité, mais leur absence ne suspend pas les obligations du règlement.

Traiter le CRA comme un projet purement juridique

Le CRA implique directement les équipes produit, développement, sécurité, support, qualité et direction.

Oublier les composants externes

Le fabricant reste responsable de la cybersécurité du produit final.

Ne documenter que les résultats

Les autorités peuvent aussi demander à comprendre le raisonnement, l’analyse de risques et les choix de conception.

Confondre audit de l’entreprise et conformité du produit

Le CRA concerne principalement la sécurité et la conformité du produit. Une certification du système de management de l’entreprise peut aider, mais elle ne démontre pas automatiquement la conformité de chaque produit.

Préparer la notification après le premier incident

Les délais de 24 et 72 heures rendent cette approche irréaliste.

Là où CompliKey peut aider

La préparation au CRA implique de suivre de nombreux éléments :

1. produits et périmètres ;
2. exigences applicables ;
3. responsables ;
4. mesures ;
5. preuves ;
6. documents ;
7. vulnérabilités ;
8. audits ;
9. plans d’action ;
10. échéances ;
11. réévaluations.

CompliKey permet de structurer cette démarche dans un même espace en reliant les exigences du CRA aux mesures opérationnelles de l’entreprise.

La plateforme peut notamment aider à :

1. intégrer un référentiel CRA ;
2. évaluer l’état des mesures ;
3. suivre leur maturité ;
4. centraliser les preuves ;
5. attribuer les actions ;
6. contrôler les échéances ;
7. suivre les écarts ;
8. préparer les audits ;
9. conserver l’historique des décisions.

L’objectif n’est pas de remplacer l’analyse juridique, l’évaluation technique du produit ou la Single Reporting Platform de l’ENISA.

Il est de rendre la préparation pilotable et de vérifier que chaque exigence possède un responsable, une preuve et une action lorsqu’un écart subsiste.

En bref

Le Cyber Resilience Act impose une nouvelle logique aux fabricants de produits numériques :

1. intégrer la cybersécurité dès la conception ;
2. réaliser une analyse de risques ;
3. gérer les composants et les vulnérabilités ;
4. fournir des mises à jour ;
5. documenter la conformité ;
6. informer les utilisateurs ;
7. déclarer certaines vulnérabilités et certains incidents ;
8. réaliser une évaluation de conformité ;
9. apposer le marquage CE.

Les obligations de notification s’appliquent à partir du 11 septembre 2026. L’application générale du règlement interviendra le 11 décembre 2027.

La priorité est donc de commencer maintenant par la cartographie des produits, leur classification, l’analyse d’écarts et la préparation du processus de notification.

FAQ

Qu’est-ce que le Cyber Resilience Act ?

Le CRA est un règlement européen imposant des exigences de cybersécurité aux produits matériels et logiciels comportant des éléments numériques mis sur le marché européen.

Quand le CRA devient-il obligatoire ?

Les obligations de notification s’appliquent à partir du 11 septembre 2026. Les principales autres obligations s’appliqueront à partir du 11 décembre 2027.

Le CRA concerne-t-il les logiciels ?

Oui. Les logiciels distribués ou mis sur le marché peuvent être considérés comme des produits comportant des éléments numériques.

Le CRA concerne-t-il les SaaS ?

Pas automatiquement. Certains traitements de données à distance peuvent entrer dans le périmètre lorsqu’ils sont conçus sous la responsabilité du fabricant et indispensables à une fonction du produit.

Qui est responsable de la conformité ?

Le fabricant porte les principales obligations. Les importateurs et distributeurs doivent également procéder à certaines vérifications et coopérer en cas de non-conformité.

Toutes les entreprises doivent-elles faire appel à un organisme externe ?

Non. Pour les produits de la catégorie par défaut, une auto-évaluation est généralement possible. Les produits importants de classe II et les produits critiques nécessitent normalement une évaluation tierce ou un dispositif équivalent prévu par le règlement.

Que faut-il déclarer à partir de septembre 2026 ?

Les fabricants doivent notamment déclarer les vulnérabilités activement exploitées et les incidents graves ayant un impact sur la sécurité du produit.

Quel est le montant maximal des sanctions ?

Les sanctions les plus élevées peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial.

Une certification ISO 27001 suffit-elle ?

Non. ISO 27001 peut structurer le système de management de l’entreprise, mais le CRA exige une analyse et une démonstration de conformité propres aux produits concernés.

Conclusion

Le Cyber Resilience Act fait entrer la cybersécurité des produits dans une nouvelle ère réglementaire.

La sécurité ne pourra plus être traitée comme une fonctionnalité optionnelle ou comme une correction apportée après la commercialisation. Elle devra être intégrée dès la conception, maintenue pendant le cycle de vie du produit et démontrée par des éléments vérifiables.

Pour les fabricants et éditeurs, la bonne démarche consiste à transformer le CRA en un programme opérationnel :

produit → analyse de risques → exigences → mesures → preuves → évaluation → marquage → suivi des vulnérabilités

Les entreprises qui commencent dès maintenant pourront intégrer progressivement ces exigences à leurs cycles de développement.

Celles qui attendent décembre 2027 risquent de devoir reconstruire dans l’urgence leurs processus, leur documentation et leurs pratiques de sécurité produit.