Règlement (UE) 2024/2847 – Acte sur la cyberrésilience (CRA)

Le règlement (UE) 2024/2847 – l’Acte sur la cyberrésilience (Cyber Resilience Act, CRA) – est un nouveau règlement de l’UE qui introduit des exigences horizontales en matière de cybersécurité pour les « produits comportant des éléments numériques ». Adopté en octobre 2024, il s’appliquera directement dans tous les pays de l’UE, après des périodes transitoires, à partir de la fin 2027. En tant que manager dans l’industrie – que vous soyez responsable de la maintenance, des achats ou de la conformité – il est utile de comprendre dès maintenant quels produits sont couverts par ce règlement, quelles nouvelles obligations il impose aux fabricants, importateurs et distributeurs, et comment préparer l’entreprise aux changements à venir. Ci-dessous, nous présentons les informations clés dans une approche pratique, sans jargon juridique, mais avec une précision technique – afin de faciliter la mise en place des actions préparatoires appropriées.

Champ d’application : quels produits sont couverts par l’Acte sur la cyberrésilience ?

Le règlement (UE) 2024/2847 s’applique à tous les « produits comportant des éléments numériques » mis à disposition sur le marché de l’UE dont l’usage prévu inclut une connexion à un autre appareil ou à un réseau (directement ou indirectement, physiquement ou logiquement). Autrement dit, la plupart des appareils ou logiciels capables de communiquer avec d’autres systèmes sont soumis à ces nouvelles exigences. En pratique, il s’agira notamment de dispositifs IoT et d’électronique grand public (p. ex. montres connectées, téléphones mobiles, appareils électroménagers/électroniques intelligents, babyphones), de dispositifs portables (p. ex. bracelets de fitness), d’équipements industriels dotés de fonctions réseau (capteurs et machines industrielles connectés au réseau) ainsi que de divers logiciels (systèmes d’exploitation, applications mobiles et informatiques, logiciels métiers, etc.). Il est important de noter que les logiciels vendus séparément (en tant que produit) relèvent également du CRA, tout comme les services de traitement de données à distance constituant une partie intégrante du produit – par exemple, un service cloud pilotant un appareil de smart home sera considéré comme faisant partie du produit et devra satisfaire aux exigences de sécurité.

Le règlement a un champ d’application très large, mais prévoit aussi des exclusions pour certaines catégories de produits déjà encadrées par leurs propres textes sectoriels. Le CRA ne couvre pas, notamment : les dispositifs médicaux (couverts par les règlements MDR 2017/745 et 2017/746), les véhicules et leurs équipements (couverts notamment par le règlement 2019/2144 en matière d’homologation des véhicules), les aéronefs (règlement 2018/1139 relatif à l’aviation), ni les équipements marins (directive 2014/90/UE). Ces produits relèvent de réglementations distinctes, qui intègrent souvent déjà des exigences adaptées au secteur concerné ; ils ont donc été exclus du champ du CRA. En outre, les nouvelles dispositions ne s’appliquent pas aux matériels et logiciels exclusivement militaires ou destinés à la sécurité nationale (ainsi qu’au traitement d’informations classifiées). Sont également exclues les pièces de rechange fournies en remplacement de composants identiques : si le produit d’origine a été légalement mis sur le marché, la pièce identique n’a pas à satisfaire séparément au CRA.

Il convient de noter que les logiciels dits libres et open source (open source) ne seront pas couverts par le CRA, dès lors qu’ils ne sont pas mis à disposition dans le cadre d’une activité commerciale. Ainsi, si un logiciel est développé et publié gratuitement, en dehors du circuit marchand, ses créateurs (p. ex. une communauté open source) ne sont pas considérés comme des « fabricants » au sens du règlement et ne sont pas soumis aux obligations décrites ci-dessous. En revanche, si une entreprise utilisait un composant open source dans son produit commercial, la responsabilité du respect des exigences de sécurité incombe au fabricant du produit final. En résumé, le CRA vise principalement les produits numériques conçus et vendus de manière professionnelle, qui parviennent aux utilisateurs finaux sur le marché intérieur de l’UE.

Pourquoi le CRA a-t-il été introduit ? Nouvelles menaces, vide réglementaire et chaîne d’approvisionnement

L’Union européenne a identifié l’urgence de renforcer la cyberrésilience des produits numériques face à la montée des menaces. Ces dernières années, le nombre et la diversité des appareils connectés à internet ont augmenté de façon fulgurante – des systèmes IoT industriels dans les usines aux équipements domestiques intelligents. Malheureusement, le niveau de cybersécurité de ces produits est souvent faible, ce qui se traduit par des vulnérabilités répandues ainsi que par une fourniture de mises à jour de sécurité insuffisante et incohérente. De nombreux fabricants n’ont jusqu’à présent pas fait de la sécurité une priorité tout au long du cycle de vie du produit, et les utilisateurs manquent souvent de sensibilisation et d’informations pour savoir quels appareils sont sûrs, pendant combien de temps ils seront pris en charge par des mises à jour et comment les utiliser en toute sécurité. Cette combinaison de facteurs entraîne un risque accru de cyberattaques.

L’Acte sur la cyberrésilience vise à combler un vide réglementaire – jusqu’à présent, il n’existait pas, au niveau de l’UE, d’exigences uniformes et obligatoires en matière de sécurité numérique des produits. Certes, des initiatives existaient, telles que les certifications de sécurité des TIC (en vertu de l’Acte sur la cybersécurité 2019/881) ou les exigences de la directive NIS2 pour les secteurs critiques, mais aucun texte n’imposait directement l’obligation de « cybersécurité dès la conception » pour l’ensemble des appareils et des logiciels mis sur le marché. Le CRA met précisément en place un cadre universel de ce type – il impose que le matériel et les logiciels soient conçus, fabriqués et maintenus en intégrant des mesures de protection robustes tout au long de leur cycle de vie. L’objectif est que des produits présentant moins de vulnérabilités arrivent sur le marché et que les fabricants assurent une élimination rapide des nouvelles menaces (p. ex. via des correctifs de sécurité), au lieu de laisser les utilisateurs avec des appareils truffés de failles.

La question de la cyberrésilience a aussi une dimension liée à la chaîne d’approvisionnement et un caractère transfrontalier. À l’ère où tout est connecté à tout, un incident sur un appareil en apparence insignifiant peut devenir le vecteur d’une attaque visant l’ensemble de l’organisation ou ses partenaires commerciaux. Un capteur IoT infecté dans un atelier de production peut ouvrir une brèche vers le réseau de l’entreprise ; une vulnérabilité dans une application largement utilisée peut être exploitée à l’échelle mondiale en quelques minutes. Comme cela a été souligné dans l’exposé des motifs du règlement, un incident cyber sur un produit peut se propager dans la chaîne d’approvisionnement au-delà des frontières d’un seul pays en quelques minutes. Les coûts de telles attaques ne sont pas supportés uniquement par les fabricants et les utilisateurs, mais aussi par l’ensemble de la société – perturbations des infrastructures critiques, pertes financières, atteintes à la sécurité publique. Des règles communes et obligatoires dans toute l’UE doivent relever le niveau global de protection et éviter qu’un maillon faible (un produit non résilient) ne mette tout le monde en danger.

Un autre objectif est d’accroître la confiance dans les produits numériques et d’égaliser les conditions de concurrence. Aujourd’hui, les fabricants qui investissent dans la sécurité by design se retrouvent parfois désavantagés sur le plan des prix face à ceux qui ignorent ces enjeux. Le CRA doit faire en sorte que la cybersécurité devienne un standard de qualité – tous devront satisfaire à des exigences minimales, ce qui rétablira l’équité et réduira les coûts sociaux des attaques (aujourd’hui reportés sur les victimes). Cela doit, au final, renforcer la résilience de l’ensemble du marché de l’UE ainsi que la confiance des clients envers les appareils modernes intégrant des composants numériques. L’acte s’inscrit également dans une stratégie plus large de l’UE (avec le RODO, NIS2, DORA, etc.) visant à renforcer la cybersécurité des services et des produits comme fondement de l’économie numérique.

Règlement (UE) 2024/2847 : principales obligations des fabricants, importateurs et distributeurs

Le nouveau règlement introduit une série d’obligations concrètes pour les opérateurs économiques impliqués dans la chaîne d’approvisionnement de produits comportant des éléments numériques. L’étendue des responsabilités dépend du rôle : les exigences les plus importantes s’appliquent aux fabricants, mais les importateurs et les distributeurs ont également des missions essentielles. Ci-dessous, nous récapitulons les principales obligations du point de vue d’un responsable chargé de veiller à la conformité des produits de l’entreprise avec la réglementation.

Obligations des fabricants

Le fabricant (ainsi que l’entité qui met le produit sur le marché sous sa propre marque ou le modifie – celle-ci est également considérée comme un fabricant) assume la responsabilité principale du respect des exigences du CRA. Ses missions les plus importantes sont les suivantes :

• Assurer la conformité du produit aux exigences essentielles de cybersécurité définies à l’annexe I du règlement. En pratique, cela signifie que, dès la phase de conception et de développement, le produit doit intégrer des caractéristiques garantissant un niveau de sécurité numérique approprié, proportionné au risque associé au produit concerné. Le règlement énumère un ensemble d’exigences techniques précises – notamment l’absence de vulnérabilités connues au moment de la mise sur le marché, l’utilisation de configurations par défaut sécurisées (p. ex. éviter les mots de passe par défaut), le chiffrement lorsque cela est pertinent, des protections contre l’accès non autorisé, la protection des données personnelles de l’utilisateur, la résistance aux attaques perturbant les fonctions (p. ex. attaques DoS) ainsi que la possibilité d’effectuer une réinitialisation aux paramètres d’usine. Le produit doit être conçu de manière à réduire au maximum sa « surface d’attaque » – par exemple, ne pas comporter de ports ouverts ou de services inutiles qui augmentent l’exposition aux cybermenaces. Ces exigences essentielles (partie I de l’annexe I CRA) constituent une liste de contrôle des caractéristiques de sécurité que tout produit numérique doit respecter.
• Mise en place d’un processus de gestion des vulnérabilités et des incidents – le fabricant doit assurer activement la sécurité du produit après sa vente, pendant toute la durée de support déclarée. La partie II de l’annexe I précise les exigences relatives au processus de traitement des vulnérabilités (vulnerability handling) : tests et surveillance réguliers afin d’identifier de nouvelles failles, réception des signalements de vulnérabilités (p. ex. de la part de chercheurs ou d’utilisateurs) ainsi que correction/colmatage rapide des vulnérabilités détectées via la fourniture de mises à jour de sécurité. Le fabricant doit mettre en place une politique de divulgation coordonnée des vulnérabilités (coordinated disclosure) – c.-à-d. disposer d’un point de contact désigné auquel les problèmes peuvent être signalés, ainsi que de procédures indiquant comment traiter ces signalements. Il est important que les mises à jour corrigent les vulnérabilités sans délai et soient distribuées de manière sécurisée (p. ex. signées numériquement). Point essentiel : le fabricant est tenu d’assurer le support et les mises à jour de sécurité pendant une durée correspondant au cycle de vie prévu du produit, au minimum 5 ans (sauf si la nature du produit justifie une durée plus courte). Autrement dit, si notre équipement est censé servir typiquement les clients ~5+ ans, nous ne pouvons pas arrêter de publier des correctifs au bout d’un an ou deux : un support post-commercialisation sur plusieurs années sera requis afin que l’utilisateur ne se retrouve pas avec un appareil truffé de failles.
• Réalisation d’une évaluation des risques de cybersécurité – avant de mettre sur le marché un produit comportant des éléments numériques, le fabricant doit mener une analyse systématique des risques liés aux cybermenaces visant ce produit. L’évaluation des risques doit faire partie du processus de conception (security by design) et prendre en compte, entre autres, l’usage prévu du produit, les usages potentiellement inappropriés, ainsi que les conditions d’utilisation (environnement IT, réseau, type de données traitées par l’appareil). Sur la base de cette analyse, il convient de planifier des mesures de protection adaptées et de les intégrer à la conception. La documentation issue de l’évaluation des risques dans le cyberespace devient un élément de la documentation technique du produit et doit être mise à jour si de nouvelles menaces apparaissent. Le fabricant est tenu de conserver cette documentation pendant au moins 10 ans à compter de la mise sur le marché du produit (et si la période de support déclarée est supérieure à 10 ans – pendant une durée proportionnellement plus longue). L’évaluation des risques n’est pas ponctuelle : elle doit être revue et actualisée si nécessaire, en particulier lorsque de nouvelles vulnérabilités sont détectées ou que le contexte d’utilisation du produit évolue.
• Supervision des composants externes – le fabricant doit faire preuve de la diligence requise lors de l’utilisation de composants de tiers, y compris des bibliothèques open source. Il convient de garantir que les composants externes (logiciels et matériels) ne compromettent pas la cybersécurité de l’ensemble du produit. En pratique, cela implique de contrôler les versions et les mises à jour des bibliothèques utilisées, de surveiller les vulnérabilités connues (p. ex. publiées dans les CVE) affectant ces composants, et de les mettre à jour/remplacer dès que des failles apparaissent. Si le produit utilise un logiciel open source et qu’une vulnérabilité y est détectée, le fabricant a l’obligation d’informer l’entité responsable de la maintenance de cet open source (p. ex. le projet open source) du problème constaté et, s’il corrige lui-même la vulnérabilité de son côté, de transmettre à la communauté les informations relatives au correctif appliqué. L’objectif est d’intégrer les fabricants à l’écosystème de correction coordonnée des failles, y compris dans les composants open source.
• Évaluation formelle de la conformité et documents – avant la mise sur le marché du produit, le fabricant doit mener la procédure d’évaluation de la conformité aux exigences du CRA et établir une documentation attestant du respect des exigences. Pour la plupart des produits « ordinaires » (non classés dans la catégorie à risque accru), un contrôle interne (évaluation interne) suffira, ainsi que la préparation d’une documentation technique comprenant notamment la description du produit, les résultats de l’analyse de risques, la liste des mesures de sécurité appliquées, les procédures d’essai et de mise à jour, etc. Le fabricant établit ensuite la déclaration UE de conformité, dans laquelle il déclare que le produit satisfait à toutes les exigences applicables du CRA, puis appose sur le produit le marquage CE. Attention : si un produit est classé comme « important » ou « critique » du point de vue de la cybersécurité (Annex III et IV CRA), des procédures d’évaluation de la conformité plus strictes peuvent s’appliquer. Pour les produits importants (dits « essentiels ») de classe II ainsi que pour les produits critiques, une certification par une tierce partie sera requise, c’est-à-dire un examen et un certificat délivré par un organisme notifié (p. ex. un laboratoire accrédité). Pour les produits importants de classe I, l’autocertification n’est admise que s’il existe des normes harmonisées appropriées dont le fabricant peut se prévaloir – à défaut, l’intervention d’une tierce partie est également nécessaire. Le manager doit donc déterminer à quelle catégorie appartient le produit de l’entreprise et s’il faudra prévoir une certification externe (ce qui peut influer sur le calendrier de mise sur le marché).
• Surveillance de la sécurité après mise sur le marché et notification – la CRA introduit notamment l’obligation de signaler les problèmes de sécurité graves aux autorités compétentes. Le fabricant doit notifier au CSIRT national (équipe de réponse) désigné comme coordinateur, ainsi qu’à l’agence ENISA, toute vulnérabilité de son produit faisant l’objet d’une exploitation active, ainsi que tout incident grave ayant un impact sur la sécurité du produit. Le délai de notification est très court – il est de 24 heures à compter de la détection de la vulnérabilité/de l’événement (à l’instar des exigences strictes du RGPD ou de NIS2). Les notifications se feront via une plateforme européenne unique opérée par ENISA. L’obligation de notification entrera en vigueur avant le reste des exigences (septembre 2026 – voir les échéances ci-dessous) et s’appliquera, à partir de cette date, à tous les produits présents sur le marché. Le fabricant doit donc disposer de procédures internes capables de détecter un incident/une vulnérabilité et, dans un délai d’une journée, de transmettre les informations exigées par le règlement. L’objectif est de fournir aux autorités de surveillance une vue d’ensemble des menaces émergentes et de coordonner la réponse (p. ex., avertir d’autres utilisateurs lorsqu’un produit présente une faille critique).

Les responsabilités décrites ci-dessus nécessitent souvent d’importantes modifications organisationnelles : mise en œuvre d’un cycle de vie de développement logiciel sécurisé (SDLC) au sein du département R&D, élaboration de nouvelles politiques de maintenance et de support produit, documentation supplémentaire et formation du personnel. En contrepartie, l’entreprise bénéficie d’une plus grande certitude que son produit ne sera pas à l’origine d’un incident de cybersécurité grave et se conforme à la législation en vigueur, ce qui lui permet de poursuivre ses ventes sur le marché européen.

Règlement (UE) 2024/2847 : obligations des importateurs et des distributeurs

Les entités qui importent des produits comportant des éléments numériques depuis des pays hors UE (importateurs) ou les revendent ensuite sur le marché de l’Union (distributeurs) doivent également veiller à la conformité de ces produits avec le CRA. Leur rôle consiste principalement à vérifier et à réagir en cas d’éventuelles non-conformités.

Importateur, avant de mettre un produit sur le marché de l’UE, doit vérifier que le fabricant s’est acquitté de ses obligations – autrement dit, que le produit dispose du CE requis et de la déclaration UE de conformité, que les instructions et les informations de sécurité sont jointes, et que le fabricant a établi la documentation technique exigée. L’importateur n’a pas à tester lui-même la cybersécurité du produit, mais s’il a des doutes raisonnables quant à la conformité du produit aux exigences (p. ex. absence de marquage CE, absence d’informations sur la période de support, etc.), il ne doit pas mettre un tel produit à disposition sur le marché tant qu’il ne s’est pas assuré que la non-conformité a été corrigée. S’il est constaté que le produit ne satisfait pas aux exigences du CRA, l’importateur est tenu d’informer les autorités de surveillance et de prendre des mesures correctives – faire en sorte que le produit soit mis en conformité et, si cela est impossible, le retirer de la commercialisation ou du marché. Les importateurs, comme les fabricants, doivent conserver une copie de la déclaration de conformité et veiller à ce que la documentation technique soit disponible pour les autorités sur demande. Ils doivent également apposer sur le produit (ou l’emballage) leurs coordonnées et s’assurer que le produit est correctement marqué. En pratique, le rôle de l’importateur se résume à une barrière de sécurité : empêcher la distribution dans l’UE de produits qui ne disposent pas des « documents » attestant du respect du CRA.

Les distributeurs (grossistes nationaux, détaillants, etc.) se trouvent dans une situation comparable à celle des importateurs, à la différence près qu’ils vérifient le respect des exigences à la fois par le fabricant et, le cas échéant, par l’importateur si le produit provient de l’extérieur de l’UE. Avant toute revente, le distributeur doit donc vérifier que le produit porte le marquage CE, qu’une déclaration ou des instructions exigées par la loi sont jointes, et qu’aucune communication publique n’a été publiée indiquant que le modèle concerné n’est pas conforme aux exigences de sécurité. En cas de doute, il a également l’obligation de suspendre la vente jusqu’à clarification de la situation. S’il estime (ou s’il est informé) que le produit présente un danger grave ou ne satisfait pas aux exigences du CRA, il doit en informer le fabricant ou l’importateur ainsi que les autorités de surveillance, et coopérer aux actions correctives (p. ex. lors d’opérations de retrait du marché).

Du point de vue d’un responsable des achats, ces réglementations impliquent la nécessité d’une vigilance accrue lors du choix des fournisseurs d’équipements/logiciels. Il faut s’assurer que les partenaires situés hors UE livrent des produits déjà conformes au CRA, faute de quoi notre entreprise (en tant qu’importateur) assumera la responsabilité des manquements. Pour un distributeur (p. ex. une entreprise de négoce en automatisme), s’ajoute l’obligation de surveiller si les produits de différentes marques proposés disposent de déclarations de conformité à jour et répondent aux exigences — en pratique, cela exigera une coopération étroite avec les fabricants et une réaction rapide à toute alerte de sécurité concernant les appareils vendus.

À noter : si l’importateur ou le distributeur met un produit sur le marché sous son propre logo/sa propre marque ou modifie le produit (p. ex. en changeant ses fonctionnalités, son logiciel ou sa configuration d’une manière significative pour la cybersécurité), alors, conformément au règlement, il devient lui-même le fabricant de ce produit. Il doit alors assumer l’ensemble des obligations du fabricant (réaliser l’évaluation de conformité, établir sa propre déclaration, etc.). Cette situation concerne, par exemple, les entreprises qui intègrent des systèmes et qui vendent des appareils OEM sous leur propre marque : elles doivent être particulièrement vigilantes, car, sur le plan formel, elles sont responsables de la conformité au même titre que le fabricant d’origine.

Dates d’entrée en vigueur et périodes transitoires

Le règlement (UE) 2024/2847 a été publié au Journal officiel le 20 novembre 2024. Il est entré en vigueur le 10 décembre 2024 (20 jours après sa publication), toutefois les principales obligations ne s’appliqueront qu’au terme de 36 mois à compter de cette date. Le législateur a en effet prévu une longue période transitoire afin de laisser au secteur le temps de s’adapter. Voici les dates clés :

• 11 septembre 2026 – à compter de cette date, les obligations de notification des vulnérabilités et des incidents entreront en vigueur. Le fabricant de tout produit comportant des éléments numériques présent sur le marché de l’UE devra signaler aux autorités compétentes toute faille activement exploitée ainsi que tout incident de sécurité grave concernant son produit. Cette date intervient 21 mois après l’entrée en vigueur du CRA et signifie que, dès 2026, les entreprises doivent disposer de procédures de surveillance de la sécurité et de signalement des problèmes. Cela ne dépend pas de la date de mise sur le marché du produit – cela concerne aussi les produits vendus avant 2026 et toujours utilisés. Autrement dit, même si un appareil a été mis sur le marché, par exemple, en 2025 (avant l’application du règlement), et qu’une vulnérabilité critique y est révélée en septembre 2026, le fabricant a l’obligation de la déclarer et de la corriger.
• Le 11 juin 2026 entrera en vigueur la réglementation relative aux organismes notifiés et aux autorités d’évaluation de la conformité. D’ici mi-2026, les États membres mettront en place un système de désignation et de notification des organismes habilités à certifier la conformité des produits (importants et critiques) aux exigences des autorités d’évaluation de la conformité. Il est essentiel pour les fabricants que l’infrastructure nécessaire à la réalisation des essais et à la certification soit opérationnelle d’ici la fin de l’année 2026.
• 11 décembre 2027 – Le règlement CRA sera pleinement applicable. À compter de cette date, tout produit comportant des éléments numériques et ne répondant pas aux exigences du règlement CRA ne pourra être légalement mis sur le marché de l’UE.Cette échéance (3 ans à compter de l’entrée en vigueur) constitue la date limite pour adapter les produits et les processus. Après le 11.12.2027, tous les nouveaux appareils et logiciels vendus dans l’UE devront être conçus, fabriqués et maintenus conformément au CRA – à défaut, l’entreprise s’expose à des sanctions sévères. Il convient de souligner que les dispositions prévoient un certain allègement pour les produits déjà présents sur le marché : si un produit (un exemplaire précis) a déjà été mis à disposition sur le marché avant le 11 grudnia 2027, il pourra continuer à circuler sans satisfaire au CRA. Toutefois, cela ne concerne que des exemplaires individuels – le type de produit conçu avant le CRA ne bénéficie pas automatiquement d’une exclusion. Chaque nouveau lot, chaque nouvel exemplaire mis en vente après cette date doit être conforme au CRA, sauf s’il se trouvait déjà physiquement en circulation auparavant (ce qui signifie, en pratique, par exemple un stock chez un distributeur ayant déjà acheté la marchandise avant l’échéance). Il n’est donc pas possible de contourner les règles en produisant « en avance » puis en vendant après 2027 – chaque produit, au moment de sa mise sur le marché, est soumis aux exigences en vigueur. Font encore exception les certyfikaty UE badania typu encore valides, délivrés avant cette date sur la base d’autres réglementations – ils resteront valables jusqu’en juin 2028, sauf si un délai plus court a été fixé.

Pour les entreprises, la conclusion pratique est la suivante : la véritable échéance est fixée à la fin de 2027. À partir de 2028, il ne sera plus possible de vendre dans l’UE des appareils qui ne respectent pas les exigences du CRA. En revanche, dès 2026, il faudra être prêt à assumer les nouvelles obligations de notification des incidents. Le temps restant doit être mis à profit pour analyser les produits et les adapter. Même si 3 ans semblent beaucoup, les changements peuvent s’avérer profonds ; mieux vaut lancer les travaux en amont. Ci-dessous, nous présentons une liste de contrôle des actions qu’un manager devrait envisager afin de préparer son organisation à satisfaire aux exigences de l’acte sur la cyberrésilience.

Règlement (UE) 2024/2847 : comment se préparer à 2026/2027 – checklist pour le manager

• Identifiez les produits soumis au CRA – Établissez la liste des produits de l’entreprise qui sont des « produits comportant des éléments numériques » (matériel ou logiciel se connectant au réseau/à d’autres appareils). Pour chacun, déterminez s’il peut être considéré comme important ou critique au sens du règlement (Annex III/IV) – p. ex. s’il assure des fonctions de sécurité essentielles, ou si sa compromission peut entraîner un préjudice à grande échelle. De cette classification dépend notamment la procédure d’évaluation de la conformité requise (et la nécessité éventuelle de l’intervention d’une tierce partie).
• Prends connaissance des exigences et des normes – Analyse les exigences essentielles de cybersécurité de l’annexe I du CRA et mets-les en regard de tes produits. Vérifie s’il existe déjà des normes harmonisées pertinentes ou des standards sectoriels susceptibles de faciliter le respect des exigences (p. ex. les normes de la famille IEC 62443 pour la sécurisation des systèmes d’automatique industrielle peuvent être utiles lors de la conception des protections des machines). Suis l’actualité des travaux de normalisation : des lignes directrices pourraient apparaître et faciliter la mise en œuvre des exigences du CRA dans ton domaine.
• Réaliser le processus une analyse des écarts (gap analysis) – Compare l’état actuel de tes produits et de tes processus aux nouvelles exigences. Évalue dans quelle mesure le niveau de protection actuel répond aux exigences (p. ex., si les appareils disposent de mécanismes d’authentification, de chiffrement, de mises à jour sécurisées, etc.). Analyse le processus de développement logiciel dans l’entreprise – les principes de secure coding sont-ils appliqués, des tests d’intrusion sont-ils réalisés, à quelle vitesse réagissez-vous aux vulnérabilités signalées. Identifie les lacunes et les axes d’amélioration, tant sur le plan de l’organisation (procédures) que de la technologie (fonctions de sécurité).
• Adaptez la conception et le développement des produits – Si l’analyse des écarts met en évidence des insuffisances, planifiez la mise en œuvre des mécanismes et pratiques manquants. Cela peut inclure des modifications de l’architecture du produit (p. ex. ajout d’un module de chiffrement, sécurisation des interfaces de communication), l’amélioration du processus SDLC (Software Development Life Cycle) par l’intégration d’éléments de threat modeling, de code review axée sur la sécurité, de tests de fuzzing, etc., ainsi que la mise en place de nouvelles politiques de sécurité produit. Assurez-vous que l’équipe R&D considère la cybersécurité comme une exigence de conception au même titre que la fonctionnalité – le règlement impose une approche « security by design/default ».
• Planifiez un système de mises à jour et de support – Analysez si votre entreprise est prête à assurer le support des produits pendant une durée suffisante. Il peut être nécessaire de mettre en place un calendrier et des ressources pour publier des mises à jour régulières du logiciel firmware pendant plusieurs années après la vente. Vérifiez si les produits disposent de capacités techniques de mise à jour (à distance ou locale) – sinon, c’est un problème sérieux, car le CRA exige la possibilité d’éliminer les vulnérabilités après la vente. Définissez une période de support réaliste (minimum 5 ans) et communiquez-la aux utilisateurs. Préparez également un plan de support technique pour le traitement des signalements de sécurité émanant des clients.
• Préparez la documentation requise – Assurez-vous qu’une documentation technique complète relative à la cybersécurité soit élaborée pour chaque produit. Celle-ci doit notamment inclure un rapport d’évaluation des risques, une description de l’architecture de sécurité, une liste des mesures mises en œuvre (par exemple, chiffrement, authentification), les résultats des tests de sécurité, les procédures de mise à jour, une politique de divulgation des vulnérabilités, etc. Cette documentation servira de base pour démontrer la conformité en cas d’audit (et, le cas échéant, pour la soumission à un organisme de certification). Mettez également en place un processus d’archivage pour la durée requise (10 ans ou plus). Par ailleurs, préparez des modèles pour la déclaration de conformité UE de vos produits, en veillant à ce qu’ils incluent la nouvelle formulation confirmant la conformité à toutes les exigences du règlement.
• Prenez soin de la chaîne d’approvisionnement – Contactez les fournisseurs de composants (en particulier les logiciels, modules IoT, etc.) afin d’aborder les questions de conformité au CRA. Mettez à jour les contrats avec les fournisseurs en y intégrant des clauses sur le niveau de cybersécurité requis des sous-ensembles et sur l’obligation d’informer en cas de vulnérabilités détectées. Assurez-vous d’avoir accès aux informations sur l’origine et les versions des composants (tenez un SBOM – Software Bill of Materials pour les produits, ce qui facilitera le suivi des vulnérabilités dans les bibliothèques dépendantes). Si vous utilisez des services cloud externes liés au produit, vérifiez leurs mesures de sécurité et leur conformité à NIS2 (car le SaaS peut relever de NIS2 plutôt que du CRA). La cybersécurité du produit, c’est aussi la sécurité de tous les « blocs » qui le composent – les fournisseurs doivent avancer dans la même direction.
• Formez le personnel et sensibilisez les clients – Les nouvelles obligations impliquent que différents services de l’entreprise disposent d’une connaissance de base du CRA. Organisez des formations pour les équipes conception, qualité, IT et service sur les exigences du règlement et les procédures internes (p. ex. comment réagir à un signalement de vulnérabilité, comment documenter les changements au regard de la conformité). Il est également utile d’informer les services achats et ventes, afin qu’ils aient connaissance des nouveaux marquages et déclarations (p. ex. la nécessité de vérifier si un fournisseur hors UE a fourni une déclaration de conformité). Envisagez aussi de préparer, à destination des clients, des informations sur la politique de sécurité de vos produits – la transparence sur ce point peut devenir un avantage commercial (les utilisateurs commenceront à vérifier si un produit répond aux exigences cyber et bénéficie de mises à jour garanties).
• Surveillez les orientations et les échéances – Suivez les communications de la Commission européenne et des autorités nationales concernant le CRA. Des actes délégués ou d’exécution peuvent être publiés afin de préciser certains points (p. ex. exclusions sectorielles – la Commission peut décider d’exclure du champ du CRA des produits déjà couverts par des exigences sectorielles équivalentes). Suivez également le processus de publication des normes harmonisées – l’application d’une norme sera la voie la plus simple pour bénéficier de la présomption de conformité. Veillez à respecter les échéances mentionnées : septembre 2026 (capacité à déclarer les incidents) et décembre 2027 (conformité complète de tous les nouveaux produits). L’idéal est de définir des jalons internes bien en amont – p. ex. finaliser l’analyse de risque préliminaire d’ici mi-2025, adapter le processus de développement d’ici fin 2025, réaliser les essais de conformité et les pré-certifications en 2026, etc., afin d’aborder 2027 avec des exigences quasiment satisfaites. Une découverte de dernière minute peut entraîner une suspension des ventes ; une approche proactive est donc essentielle.

Faire ces « devoirs » en amont permettra d’éviter la précipitation stressante en 2027 et les risques qui en découlent. Plutôt que de considérer le CRA uniquement comme une obligation, il vaut la peine de le voir comme une occasion d’élever le niveau global de sécurité des produits – ce qui protège à la fois l’entreprise et les clients contre des incidents coûteux.

CRA et le règlement Machines (UE) 2023/1230 – qu’est-ce qui relève de quoi ?

De nombreux managers du secteur industriel se demandent comment les nouvelles règles en matière de cyberrésilience s’articulent avec le déjà bien connu Règlement Machines (UE) 2023/1230 (qui remplacera la Directive Machines). Y a-t-il un doublon des exigences, ou ces règlements se complètent-ils au contraire ? L’essentiel est de comprendre quels aspects du produit sont encadrés par chacun de ces actes juridiques.

Le Règlement Machines 2023/1230 couvre la sécurité des machines au sens traditionnel du terme – il se concentre sur la protection de la santé et de la sécurité des utilisateurs de machines. Il définit les exigences essentielles de sécurité et de protection de la santé (EHSR), qui portent notamment sur les aspects mécaniques, électriques, l’ergonomie, le bruit, l’EMC, etc. Le nouveau règlement machines a certes introduit l’exigence de prendre en compte les risques liés à l’accès à Internet et aux cyberattaques en tant que menace potentielle pour la sécurité. Cela signifie que le fabricant de la machine doit, lors de l’évaluation des risques, envisager des scénarios dans lesquels, par exemple, une intervention à distance sur le système de commande de la machine pourrait provoquer un accident. Il doit donc concevoir des mesures visant à prévenir de telles situations (p. ex. des protections réseau empêchant une personne non autorisée de prendre le contrôle de la machine). Toutefois, le règlement machines n’encadre la cybersécurité que dans la mesure où elle a un impact sur la sécurité physique des personnes qui utilisent les machines. Il s’agit d’un des nombreux éléments constitutifs de l’évaluation de conformité de la machine, sans pour autant entrer dans des exigences détaillées de type IT – on n’y trouvera ni liste de mécanismes cryptographiques ni obligation de mettre à jour le logiciel de la machine après la vente. On peut le résumer ainsi : le Règlement Machines veille à ce que la machine ne présente pas de danger pour la vie/la santé (y compris à la suite d’un incident cyber), tandis que le CRA veille à la cybersécurité globale du produit (notamment la confidentialité des données, la résilience des services, l’ensemble du cycle de vie).

Le Cyber Resilience Act couvre un champ de questions IT bien plus large que le règlement sur les machines. Même pour les machines industrielles, le CRA impose par exemple des exigences de signalement des vulnérabilités, de fourniture de mises à jour pendant X ans, de protection contre la perte de données — des sujets qui ne sont pas directement liés à la sécurité de l’utilisateur de la machine, mais à la cybersécurité en tant que telle. En pratique, cela signifie qu’une machine constituant un produit comportant des éléments numériques sera soumise simultanément aux dispositions des deux règlements. Le fabricant d’une telle machine doit respecter les exigences de l’un et de l’autre texte — à la fois celles relatives à une conception sûre, par exemple sur le plan mécanique (règlement sur les machines), et celles portant sur la sécurisation du logiciel, des réseaux et des données (CRA). Le respect des exigences d’un règlement n’implique pas automatiquement la conformité à l’autre, car les critères d’évaluation diffèrent.

Du point de vue de la procédure d’évaluation de la conformité, un produit relevant de plus d’un règlement de l’UE doit satisfaire à toutes les exigences applicables avant l’apposition du marquage CE. Par exemple, un fabricant qui met sur le marché un robot industriel collaboratif doté d’une fonction de surveillance à distance devra s’assurer que le robot respecte les exigences essentielles de sécurité des machines (rozporz. 2023/1230) ainsi que les exigences essentielles de cybersécurité (Rozporządzenie (UE) 2024/2847). La déclaration UE de conformité d’une telle machine doit mentionner ces deux actes juridiques. De son côté, le directeur de la maintenance qui achète un tel équipement doit vérifier à la fois la conformité au « CE machines » et au « CE cyber ». En pratique, il n’existe qu’un seul marquage CE, mais la documentation doit démontrer la conformité à l’ensemble des dispositions de la nouvelle approche qui s’appliquent au produit concerné.

Il convient d’indiquer quelques exemples de ce qui relève de quel règlement :

• Les équipements IT purement électroniques (sans fonctions de machine) – p. ex. routeurs, smartphones, caméras IP – ne relèvent pas du Règlement Machines (car ce ne sont pas des machines), mais relèvent du CRA s’ils comportent des éléments numériques et communiquent via un réseau. Dans leur cas, l’enjeu principal est la cybersécurité, et les questions de sécurité physique de l’utilisateur ne sont pas pertinentes (en dehors des dispositions générales en matière de BHP/EMC).
• Machines traditionnelles sans connexion numérique – p. ex. une presse hydraulique avec une commande entièrement analogique – relèvent du Règlement Machines (il faut satisfaire aux exigences relatives à la conception, aux protecteurs, aux circuits de sécurité, etc.), mais ne relèvent pas directement du CRA, car elles ne contiennent pas d’éléments numériques communiquant vers l’extérieur. Bien entendu, si la machine intègre une électronique de commande, celle-ci peut, en elle-même, être considérée comme un équipement numérique – toutefois, tant qu’il n’y a pas de connectivité (p. ex. absence de ports réseau, absence d’accès à distance), elle ne répond pas à la définition de « produit comportant des éléments numériques » au sens du CRA.
• Machines modernes dotées de fonctions numériques – p. ex. des robots, des lignes de production avec IoT, des chariots AGV communiquant avec le système de gestion – relèvent des deux actes. Ici, le Règlement Machines imposera notamment une évaluation des risques « classique » (pour que la machine ne crée pas de dangers mécaniques/électriques) ainsi que l’exigence que, par exemple, l’accès à distance au robot ne puisse pas provoquer une situation dangereuse (c’est-à-dire la prise en compte des cybermenaces pour la sécurité). De son côté, le CRA imposera en plus l’obligation que ce robot dispose d’un logiciel globalement sécurisé (p. ex. transmissions de données chiffrées, mots de passe uniques), qu’il soit mis à jour par le fabricant et que, en cas de détection d’une vulnérabilité, celle-ci soit corrigée et signalée aux autorités. Le fabricant d’un tel équipement doit donc garantir une résilience face aux cyberattaques à la fois du point de vue de la sécurité des personnes et de la continuité d’activité, de la confidentialité des données, etc.

En résumé, le Règlement Machines et le CRA ne se font pas concurrence, ils se complètent. Le premier veille à la sécurité fonctionnelle des machines (y compris des exigences minimales en matière de cyber afin que la machine soit sûre), le second couvre une cybersécurité plus large du produit sur l’ensemble de son cycle de vie. Pour les managers, cela implique une conformité à plusieurs dimensions : un produit intelligent doit être à la fois sûr par conception et cybersécurisé. Il faut donc suivre les exigences des deux réglementations. Heureusement, leurs dates d’application sont proches : le Règlement Machines commencera lui aussi à être appliqué en pratique à partir de janvier 2027 (en remplacement de la directive), et le CRA à partir de fin 2027. Il est donc possible de regrouper les préparatifs des deux dans un programme de conformité cohérent. Par exemple, lors de la conception d’une nouvelle machine, intégrer d’emblée à la fois les exigences de sécurité des machines et les protections IT ; lors des essais du prototype, vérifier non seulement la conformité à des normes telles que ISO 13849 (safety), mais aussi, par exemple, des tests d’intrusion du système de commande. Grâce à cette approche, l’entreprise garantira une conformité globale et évitera de se retrouver dans une situation où elle respecte un texte au prix de l’ignorance de l’autre.

Le règlement (UE) 2024/2847 constitue indéniablement un défi pour les fabricants et les fournisseurs, tout en étant une réponse nécessaire aux réalités actuelles. Les machines et les équipements deviennent de plus en plus intelligents et connectés – la réglementation doit suivre le rythme. Les managers qui engageront dès maintenant des actions préparatoires prendront une longueur d’avance : leurs entreprises non seulement aborderont sans heurts le nouveau cadre juridique, mais renforceront aussi la compétitivité et la crédibilité de leurs produits aux yeux de clients pour lesquels la cybersécurité devient aussi importante que le prix ou la fonctionnalité. Avec l’appui adéquat d’experts en sécurité des machines et en IT, la mise en œuvre des exigences du CRA peut être envisagée comme un levier d’amélioration continue, et non comme une simple contrainte réglementaire. Au final, l’entreprise, les utilisateurs finaux et l’ensemble de l’écosystème numérique y gagneront. Des produits plus sûrs, c’est moins de risques d’arrêts, d’attaques et de pertes – un objectif partagé à la fois par le législateur et par les acteurs responsables du marché.