Retour aux actualités
    Réglementation

    Cyber Resilience Act : obligations pour les PME éditeurs et fabricants

    Le Cyber Resilience Act (CRA), publié au Journal Officiel de l'UE en novembre 2024, est entré partiellement en vigueur. Il impose des exigences de cybersécurité obligatoires pour tous les produits comportant des éléments numériques vendus dans l'UE : logiciels, applications mobiles, firmware, objets connectés (IoT). Pour les PME françaises éditrices ou fabricantes, les délais approchent. Voici ce qu'il faut savoir.

    Qui est concerné par le CRA ?

    Le CRA s'applique à tous les fabricants et éditeurs qui mettent sur le marché de l'UE des "produits comportant des éléments numériques" (PEN). Concrètement, vous êtes concerné si vous :

    Éditeurs de logiciels

    Applications desktop, SaaS, applications mobiles iOS/Android, plugins, bibliothèques open source commerciales

    Fabricants d'objets connectés (IoT)

    Caméras IP, routeurs, serrures connectées, capteurs industriels, wearables, jouets connectés

    Fabricants d'équipements réseau

    Switches, pare-feux, points d'accès WiFi, NAS, modems grand public

    Éditeurs d'OS et de firmware

    Systèmes d'exploitation, firmware d'équipements industriels, hyperviseurs

    Intégrateurs de composants numériques

    Fabricants qui intègrent du software ou du matériel tiers dans leurs produits finaux

    Exemptions importantes : Les services SaaS "purs" (où le logiciel n'est pas livré en tant que produit mais fourni comme service) ne sont pas directement couverts par le CRA, mais par NIS2 si l'entité est concernée. Les produits développés uniquement pour usage interne et non mis sur le marché sont également exemptés.

    Les 4 catégories de produits et leurs obligations

    Le CRA classe les produits en catégories selon leur risque cybersécurité, avec des obligations croissantes :

    Catégorie par défautRisque faible

    Exemples : La grande majorité des logiciels et produits IoT grand public

    Obligation : Auto-évaluation de conformité par le fabricant. Documentation technique, déclaration de conformité UE, marquage CE.

    Classe IRisque moyen

    Exemples : Navigateurs, gestionnaires de mots de passe, antivirus, VPN, hyperviseurs de Classe I, OS mobiles

    Obligation : Auto-évaluation possible avec application d'un standard européen harmonisé, ou évaluation par un organisme notifié.

    Classe IIRisque élevé

    Exemples : Hyperviseurs Classe II, cartes à puce, TPM, systèmes de contrôle industriels (ICS) en réseau

    Obligation : Évaluation obligatoire par un organisme tiers notifié (certification tierce partie).

    Produits critiquesRisque critique

    Exemples : Systèmes TIC des infrastructures critiques, équipements militaires (hors périmètre CRA si secteur défense)

    Obligation : Certification européenne de cybersécurité au titre du règlement ENISA/EUCC obligatoire.

    Les obligations concrètes du CRA

    Sécurité by design

    Concevoir le produit sans vulnérabilités connues exploitables, avec une surface d'attaque minimale et une configuration sécurisée par défaut. Pas de credentials par défaut universels.

    Mise à jour de sécurité pendant 5 ans

    Fournir des mises à jour de sécurité gratuitement pendant 5 ans après la mise sur le marché (ou la durée de vie attendue si inférieure). Informer les utilisateurs des vulnérabilités.

    Notification des vulnérabilités sous 24h

    Signaler à l'ENISA et à l'autorité nationale toute vulnérabilité activement exploitée dans les 24 heures après découverte. Rapport complet sous 72 heures.

    Documentation technique et déclaration CE

    Rédiger et maintenir une documentation technique complète, établir une déclaration de conformité UE, apposer le marquage CE avant mise sur le marché.

    Gestion sécurisée des mises à jour

    Mécanisme de mise à jour automatique sécurisé avec vérification d'intégrité, possibilité de rollback, notification des utilisateurs des mises à jour critiques.

    Protection des données de configuration

    Chiffrement des données au repos et en transit, stockage sécurisé des credentials, capacité d'effacement sécurisé des données utilisateur.

    Calendrier et sanctions

    DateObligation
    Novembre 2024Entrée en vigueur du CRA, début de la période de transition
    Septembre 2026Obligations de notification des vulnérabilités applicables
    Décembre 2027Toutes les obligations du CRA applicables (marquage CE, conformité produit)

    Amendes pour non-conformité produit

    Jusqu'à 15 M€ ou 2,5 % du CA mondial

    Non-respect des obligations de notification

    Jusqu'à 10 M€ ou 2 % du CA mondial

    Informations incorrectes aux autorités

    Jusqu'à 5 M€ ou 1 % du CA mondial

    Plan de préparation CRA pour PME éditrices

    1

    Inventorier vos produits et déterminer leur classe

    Listez tous vos produits commercialisés dans l'UE comportant des éléments numériques. Déterminez leur classe CRA (défaut, I, II ou critique) selon les critères de la réglementation.

    2

    Réaliser un audit de sécurité produit

    Évaluez la sécurité de chaque produit au regard des exigences CRA : modélisation des menaces, analyse des vulnérabilités connues, revue de code, tests d'intrusion. Documentez les résultats.

    3

    Mettre en place un SBOM (Software Bill of Materials)

    Le CRA recommande fortement le SBOM — inventaire de tous les composants logiciels d'un produit. Cela facilite la détection rapide des vulnérabilités dans des dépendances tierces (scénario Log4Shell).

    4

    Structurer le processus de gestion des vulnérabilités

    Mettez en place un programme de divulgation des vulnérabilités (VDP), un canal de réception des signalements (security@votreentreprise.fr), et une procédure de notification ENISA sous 24h.

    5

    Préparer la documentation technique et la déclaration CE

    Rédigez la documentation technique CRA (description du produit, analyse de risque, résultats des tests, mesures de sécurité). Préparez la déclaration de conformité UE à signer avant décembre 2027.

    Préparez votre conformité CRA dès maintenant

    Décembre 2027 approche. Nos experts accompagnent les éditeurs et fabricants français dans leur préparation au CRA : audit de sécurité produit, mise en place du SBOM, procédure de notification des vulnérabilités et documentation technique.

    Demander un audit de conformité CRA

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.