Cyber Resilience Act

Le Cyber Resilience Act (CRA), officiellement désigné règlement (UE) 2024/2847 du Parlement européen et du Conseil, est un texte réglementaire de l'Union européenne fixant des exigences horizontales de Cybersécurité pour les produits comportant des éléments numériques. Proposé par la Commission européenne le 15 septembre 2022, il a été publié au Journal officiel de l'Union européenne le 23 octobre 2024 et est entré en vigueur le 11 décembre 2024. Ce règlement contraint les fabricants, importateurs et distributeurs à garantir la sécurité des produits numériques tout au long de leur cycle de vie, de la conception à la fin de la période de support.

Au début des années 2020, l'Union européenne ne disposait d'aucun cadre réglementaire horizontal imposant des exigences minimales de cybersécurité aux fabricants de produits numériques. La Directive NIS de 2016 et la Directive NIS2 adoptée en décembre 2022 avaient établi des obligations pour les opérateurs de services essentiels et les entités importantes, mais ces textes ne ciblaient pas les fabricants de produits eux-mêmes.

Selon les estimations présentées dans l'étude d'impact accompagnant la proposition de règlement, 85 % des dépenses de cybersécurité des entreprises étaient absorbées par des remèdes post-incident, contre 15 % seulement consacrés à la prévention. Le coût économique de la cybercriminalité pour l'économie mondiale était estimé à 5 500 milliards d'euros en 2021. Chaque jour, plus de 10 milliards d'appareils connectés étaient mis en service dans le monde, dont une fraction significative présentait des vulnérabilités dès leur sortie d'usine.

La Commission européenne a publié sa proposition de règlement (COM(2022) 454 final) le 15 septembre 2022. Le Comité économique et social européen a rendu son avis le 22 février 2023. Le Parlement européen a adopté sa position en première lecture le 12 mars 2024 par 517 voix pour, 15 contre et 78 abstentions. Après la phase de trilogue, le Conseil a approuvé le texte final le 10 octobre 2024. Le règlement (UE) 2024/2847 a été publié au Journal officiel de l'Union européenne le 23 octobre 2024, entrant en vigueur vingt jours plus tard, le 11 décembre 2024.

Le CRA s'applique à tout produit dont l'utilisation implique une connexion logique ou physique, directe ou indirecte, à un appareil ou à un réseau. Sont ainsi visés aussi bien les équipements matériels (routeurs, caméras de surveillance connectées, montres intelligentes, jouets connectés, appareils de domotique) que les logiciels commercialisés séparément (applications mobiles, systèmes d'exploitation, logiciels de sécurité). Deux critères cumulatifs définissent l'entrée dans le champ d'application : la présence d'une fonctionnalité numérique et la mise à disposition sur le marché de l'Union européenne.

Le règlement exclut explicitement plusieurs catégories de produits déjà soumis à une réglementation sectorielle spécifique :

• les dispositifs médicaux relevant du règlement (UE) 2017/745 ;
• les équipements d'aviation civile couverts par le règlement (UE) 2018/1139 ;
• les véhicules à moteur et leurs systèmes relevant du règlement (UE) 2019/2144 ;
• les équipements marins soumis à la directive 2014/90/UE ;
• les produits destinés exclusivement à un usage militaire ou à la sécurité nationale ;
• les logiciels libres et open source fournis hors cadre commercial, sous conditions.

Le CRA distingue quatre catégories de produits selon leur profil de risque :

Catégorie	Exemples	Procédure de conformité
Produits par défaut	Appareils connectés grand public, jouets intelligents, montres connectées	Auto-évaluation et déclaration de conformité UE du fabricant
Produits importants – classe I	Logiciels de gestion des identités et des accès, gestionnaires de mots de passe, logiciels VPN, navigateurs web, systèmes de détection d'intrusion	Auto-évaluation ou certification par un organisme tiers selon une norme harmonisée
Produits importants – classe II	Hyperviseurs, pare-feu industriels, systèmes de contrôle industriel (ICS/SCADA), microprocesseurs à usage général, systèmes de sécurité physique connectés	Certification obligatoire par un organisme d'évaluation de la conformité tiers
Produits critiques	Cartes à puce sécurisées, modules matériels de sécurité (HSM), microprocesseurs inviolables utilisés dans les infrastructures critiques	Certification renforcée par un organisme tiers notifié

Le principe de Sécurité dès la conception (security by design) est au cœur des exigences du CRA. Les fabricants doivent s'assurer que leurs produits :

• ne contiennent pas de vulnérabilités connues et exploitables au moment de leur mise sur le marché ;
• sont livrés avec une configuration sécurisée par défaut, sans services ou ports réseau inutiles activés ;
• permettent la mise à jour des logiciels et composants de manière sécurisée et vérifiable ;
• assurent la protection des données par des mécanismes de chiffrement appropriés ;
• minimisent la surface d'attaque en limitant les fonctionnalités aux seules nécessaires ;
• intègrent des mécanismes d'authentification multifacteur pour les accès sensibles.

Les fabricants ont l'obligation d'assurer la Gestion des vulnérabilités pendant toute la durée de vie attendue du produit, avec un plancher réglementaire de cinq ans à compter de la date de mise sur le marché. Cette obligation comprend :

• la fourniture gratuite de mises à jour de sécurité ;
• la mise en place et la publication d'un processus de divulgation coordonnée des vulnérabilités (CVD) ;
• la publication d'une nomenclature logicielle (SBOM — Software Bill of Materials) identifiant l'ensemble des composants tiers, notamment les bibliothèques open source, intégrés dans le produit.

La politique de fin de support doit être documentée et communiquée aux utilisateurs. À l'expiration de la période de support, le fabricant doit informer clairement l'utilisateur de l'arrêt des mises à jour de sécurité.

Le CRA instaure un système de notification obligatoire à délais contraints :

Délai	Obligation	Destinataire
24 heures	Notification précoce (early warning) de toute vulnérabilité activement exploitée	ENISA (Agence de l'Union européenne pour la cybersécurité)
72 heures	Notification détaillée incluant l'évaluation de la vulnérabilité, l'impact et les mesures correctives en cours	ENISA
14 jours	Rapport final sur la vulnérabilité avec la description complète des mesures prises	ENISA

L'ENISA redistribue ces informations aux équipes nationales de réponse aux incidents et aux autorités nationales compétentes, dont l'ANSSI et le CERT-FR pour la France, dans les 24 heures suivant la réception de la notification précoce.

Tout fabricant doit constituer une documentation technique complète et apposer le Marquage CE sur son produit, accompagné d'une déclaration de conformité UE. La documentation technique comprend notamment :

• la description du produit et de ses fonctionnalités numériques ;
• le rapport d'évaluation des risques de cybersécurité (menaces identifiées, mesures de mitigation, tests réalisés) ;
• la liste des normes harmonisées ou spécifications techniques appliquées ;
• la politique de gestion des vulnérabilités ;
• la nomenclature logicielle (SBOM).

Les importateurs qui mettent sur le marché européen des produits fabriqués hors UE doivent vérifier, avant toute commercialisation, que le fabricant a réalisé l'évaluation de conformité appropriée, que la documentation technique est disponible et que le Marquage CE est apposé. Ils ne peuvent pas mettre en vente un produit dont ils ont connaissance qu'il présente un risque important de cybersécurité.

Les distributeurs sont tenus de vérifier la présence du Marquage CE et la disponibilité des instructions d'utilisation dans une langue compréhensible par les utilisateurs finals dans chaque pays de commercialisation. En cas d'incident ou de non-conformité détectée, ils coopèrent avec les autorités de surveillance du marché et informent leurs fournisseurs des problèmes identifiés.

L'ENISA occupe une position centrale dans le dispositif du CRA. Ses missions incluent la réception et la redistribution des notifications d'incidents, l'élaboration de lignes directrices techniques, la publication de rapports bisannuels sur la mise en œuvre du règlement et la coordination avec les organismes de normalisation européens (CEN/CENELEC, ETSI) pour le développement des normes harmonisées. L'ENISA s'appuie sur les schémas européens de certification de cybersécurité développés dans le cadre du Cybersecurity Act (règlement (UE) 2019/881) pour définir les critères d'évaluation applicables aux produits de classe II et critiques.

Chaque État membre désigne une ou plusieurs autorités nationales de surveillance du marché. En France, l'ANSSI intervient pour les aspects techniques de cybersécurité, en coordination avec la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour la surveillance générale du marché. Ces autorités disposent du pouvoir d'ordonner le retrait de produits non conformes, d'imposer leur rappel auprès des consommateurs et de prononcer les sanctions administratives prévues par le règlement.

Les infractions aux obligations du CRA exposent les opérateurs économiques à des amendes administratives graduées :

• jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) pour les manquements aux exigences essentielles de cybersécurité ;
• jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les manquements aux obligations documentaires ou de coopération avec les autorités ;
• jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial pour la fourniture d'informations inexactes ou trompeuses aux autorités.

Ces plafonds sont analogues à ceux établis par le RGPD pour les violations de données à caractère personnel.

L'entrée en vigueur du règlement le 11 décembre 2024 a ouvert une période transitoire différenciée :

Date	Obligations applicables
11 décembre 2024	Entrée en vigueur du règlement (UE) 2024/2847
11 septembre 2026	Application des obligations de notification des vulnérabilités et incidents à l'ENISA et aux autorités nationales (21 mois après l'entrée en vigueur)
11 décembre 2027	Application de l'intégralité des exigences : sécurité by design, gestion des vulnérabilités, Marquage CE, documentation technique (36 mois après l'entrée en vigueur)

Les produits mis sur le marché avant le 11 décembre 2027 qui ne font pas l'objet de modifications substantielles de leur conception peuvent continuer à être commercialisés sans se conformer aux nouvelles exigences.

La Directive NIS2 s'applique aux entités opérant dans des secteurs critiques (énergie, transports, santé, eau, finance, infrastructures numériques, administrations publiques) et leur impose des obligations de gestion des risques et de notification d'incidents à l'échelle organisationnelle. Le CRA intervient en amont, au niveau des produits numériques que ces organisations déploient. Les deux textes sont complémentaires : NIS2 sécurise les organisations opérant des services essentiels, le CRA sécurise les produits présents sur le marché.

Le CRA et la réglementation sur la protection des données personnelles partagent plusieurs principes fondamentaux : minimisation des données, sécurité dès la conception et obligation de signalement des incidents. Le chiffrement et la pseudonymisation requis par le CRA renforcent simultanément la conformité au RGPD. Un manquement aux exigences de sécurité by design du CRA, en cas de violation de données en résultant, est susceptible d'aggraver la responsabilité de l'entreprise au titre de l'article 32 du RGPD relatif à la sécurité du traitement.

La certification ISO/IEC 27001 d'un fabricant atteste de la maturité de son système de management de la sécurité de l'information mais ne suffit pas à démontrer la conformité au CRA, qui porte sur les propriétés intrinsèques du produit et non sur l'organisation qui le fabrique. Elle constitue néanmoins un socle pertinent dans la démarche de gestion des risques informatiques globale. Le NIST Cybersecurity Framework fournit une méthodologie structurée en cinq fonctions (identifier, protéger, détecter, répondre, récupérer) applicable à la documentation de conformité aux exigences du CRA.

Le CRA amplifie la demande en compétences spécialisées en cybersécurité. L'ingénieur en cybersécurité intervient dès la conception des produits pour intégrer les exigences réglementaires dans l'architecture technique et les processus de développement (choix des bibliothèques, modélisation des menaces, tests de sécurité). Le responsable de la sécurité des systèmes d'information (RSSI) pilote la mise en conformité à l'échelle de l'organisation, coordonne la politique de gestion des vulnérabilités et supervise les procédures de notification réglementaire.

Les spécialistes de l'audit de cybersécurité et du test d'intrusion contribuent aux évaluations de conformité, notamment pour les produits de classe I et II nécessitant une vérification tierce. Les équipes de red team testent la robustesse des produits avant leur mise sur le marché en simulant des scénarios d'attaque réalistes. Les analystes d'un SOC participent à la détection et au traitement des incidents susceptibles de déclencher des obligations de notification dans les délais réglementaires.

Les fabricants et importateurs de produits numériques doivent engager avant le 11 décembre 2027 une revue complète de leur portefeuille : qualification des produits entrant dans le champ du CRA, évaluation de leur classe de risque, et planification des travaux de mise en conformité (refonte de l'architecture, mise en place d'un processus CVD, constitution des SBOM). Les PME bénéficient de mesures de soutien spécifiques publiées par l'ENISA et les autorités nationales, incluant des guides simplifiés et des outils d'auto-évaluation. La cyberassurance constitue un mécanisme de transfert de risque complémentaire aux mesures techniques, les assureurs intégrant progressivement la conformité au CRA dans leurs critères de souscription et de tarification.

La mise en application du CRA génère des besoins nouveaux en formation professionnelle : maîtrise du cycle de développement sécurisé (SDL — Secure Development Lifecycle), compréhension de la gestion des SBOM, connaissance des processus de divulgation coordonnée des vulnérabilités (CVD), et familiarisation avec les schémas européens de certification portés par l'ENISA. Les organismes de formation et les référentiels de certification professionnelle en cybersécurité intègrent progressivement ces contenus dans leurs programmes, en réponse aux nouvelles obligations légales pesant sur les entreprises du secteur numérique.

• Directive NIS2
• Directive NIS
• Cybersécurité
• ANSSI
• ENISA
• ISO/IEC 27001
• Cyberassurance