Cyber Resilience Act : obligations pour les PME éditeurs et fabricants
Le Cyber Resilience Act (CRA), publié au Journal Officiel de l'UE en novembre 2024, est entré partiellement en vigueur. Il impose des exigences de cybersécurité obligatoires pour tous les produits comportant des éléments numériques vendus dans l'UE : logiciels, applications mobiles, firmware, objets connectés (IoT). Pour les PME françaises éditrices ou fabricantes, les délais approchent. Voici ce qu'il faut savoir.
Qui est concerné par le CRA ?
Le CRA s'applique à tous les fabricants et éditeurs qui mettent sur le marché de l'UE des "produits comportant des éléments numériques" (PEN). Concrètement, vous êtes concerné si vous :
Éditeurs de logiciels
Applications desktop, SaaS, applications mobiles iOS/Android, plugins, bibliothèques open source commerciales
Fabricants d'objets connectés (IoT)
Caméras IP, routeurs, serrures connectées, capteurs industriels, wearables, jouets connectés
Fabricants d'équipements réseau
Switches, pare-feux, points d'accès WiFi, NAS, modems grand public
Éditeurs d'OS et de firmware
Systèmes d'exploitation, firmware d'équipements industriels, hyperviseurs
Intégrateurs de composants numériques
Fabricants qui intègrent du software ou du matériel tiers dans leurs produits finaux
Exemptions importantes : Les services SaaS "purs" (où le logiciel n'est pas livré en tant que produit mais fourni comme service) ne sont pas directement couverts par le CRA, mais par NIS2 si l'entité est concernée. Les produits développés uniquement pour usage interne et non mis sur le marché sont également exemptés.
Les 4 catégories de produits et leurs obligations
Le CRA classe les produits en catégories selon leur risque cybersécurité, avec des obligations croissantes :
Exemples : La grande majorité des logiciels et produits IoT grand public
Obligation : Auto-évaluation de conformité par le fabricant. Documentation technique, déclaration de conformité UE, marquage CE.
Exemples : Navigateurs, gestionnaires de mots de passe, antivirus, VPN, hyperviseurs de Classe I, OS mobiles
Obligation : Auto-évaluation possible avec application d'un standard européen harmonisé, ou évaluation par un organisme notifié.
Exemples : Hyperviseurs Classe II, cartes à puce, TPM, syst èmes de contrôle industriels (ICS) en réseau
Obligation : Évaluation obligatoire par un organisme tiers notifié (certification tierce partie).
Exemples : Systèmes TIC des infrastructures critiques, équipements militaires (hors périmètre CRA si secteur défense)
Obligation : Certification européenne de cybersécurité au titre du règlement ENISA/EUCC obligatoire.
Les obligations concrètes du CRA
Sécurité by design
Concevoir le produit sans vulnérabilités connues exploitables, avec une surface d'attaque minimale et une configuration sécurisée par défaut. Pas de credentials par défaut universels.
Mise à jour de sécurité pendant 5 ans
Fournir des mises à jour de sécurité gratuitement pendant 5 ans après la mise sur le marché (ou la durée de vie attendue si inférieure). Informer les utilisateurs des vulnérabilités.
Notification des vulnérabilités sous 24h
Signaler à l'ENISA et à l'autorité nationale toute vulnérabilité activement exploitée dans les 24 heures après découverte. Rapport complet sous 72 heures.
Documentation technique et déclaration CE
Rédiger et maintenir une documentation technique complète, établir une déclaration de conformité UE, apposer le marquage CE avant mise sur le marché.
Gestion sécurisée des mises à jour
Mécanisme de mise à jour automatique sécurisé avec vérification d'intégrité, possibilité de rollback, notification des utilisateurs des mises à jour critiques.
Protection des données de configuration
Chiffrement des données au repos et en transit, stockage sécurisé des credentials, capacité d'effacement sécurisé des données utilisateur.
Calendrier et sanctions
| Date | Obligation |
|---|---|
| Novembre 2024 | Entrée en vigueur du CRA, début de la période de transition |
| Septembre 2026 | Obligations de notification des vulnérabilités applicables |
| Décembre 2027 | Toutes les obligations du CRA applicables (marquage CE, conformité produit) |
Amendes pour non-conformité produit
Jusqu'à 15 M€ ou 2,5 % du CA mondial
Non-respect des obligations de notification
Jusqu'à 10 M€ ou 2 % du CA mondial
Informations incorrectes aux autorités
Jusqu'à 5 M€ ou 1 % du CA mondial
Plan de préparation CRA pour PME éditrices
Inventorier vos produits et déterminer leur classe
Listez tous vos produits commercialisés dans l'UE comportant des éléments numériques. Déterminez leur classe CRA (défaut, I, II ou critique) selon les critères de la réglementation.
Réaliser un audit de sécurité produit
Évaluez la sécurité de chaque produit au regard des exigences CRA : modélisation des menaces, analyse des vulnérabilités connues, revue de code, tests d'intrusion. Documentez les résultats.
Mettre en place un SBOM (Software Bill of Materials)
Le CRA recommande fortement le SBOM — inventaire de tous les composants logiciels d'un produit. Cela facilite la détection rapide des vulnérabilités dans des dépendances tierces (scénario Log4Shell).
Structurer le processus de gestion des vulnérabilités
Mettez en place un programme de divulgation des vulnérabilités (VDP), un canal de réception des signalements (security@votreentreprise.fr), et une procédure de notification ENISA sous 24h.
Préparer la documentation technique et la déclaration CE
Rédigez la documentation technique CRA (description du produit, analyse de risque, résultats des tests, mesures de sécurité). Préparez la déclaration de conformité UE à signer avant décembre 2027.
Préparez votre conformité CRA dès maintenant
Décembre 2027 approche. Nos experts accompagnent les éditeurs et fabricants français dans leur préparation au CRA : audit de sécurité produit, mise en place du SBOM, procédure de notification des vulnérabilités et documentation technique.
Demander un audit de conformité CRA