Règlement (UE) 2024/2847 – Règlement sur la cyberrésilience (CRA)

Le règlement (UE) 2024/2847 – le Cyber Resilience Act (CRA) – est un nouveau règlement européen qui introduit des exigences horizontales de cybersécurité pour les « produits comportant des éléments numériques ». Adopté en octobre 2024, il s’appliquera directement dans tous les pays de l’UE, après des périodes transitoires, à partir de la fin 2027. En tant que manager dans l’industrie – que vous soyez responsable de la maintenance, des achats ou de la conformité – il est utile de comprendre dès maintenant quels produits sont concernés par ce règlement, quelles nouvelles obligations il impose aux fabricants, importateurs et distributeurs, et comment préparer l’entreprise aux changements à venir. Ci-dessous, nous présentons les informations clés de manière pratique, sans jargon juridique, mais avec une précision technique, afin de faciliter la mise en place des actions préparatoires appropriées.

Champ d’application : quels produits sont couverts par le Cyber Resilience Act ?

Le règlement (UE) 2024/2847 concerne tous les « produits comportant des éléments numériques » mis à disposition sur le marché de l’UE dont l’usage prévu inclut une connexion à un autre appareil ou à un réseau (directement ou indirectement, physiquement ou logiquement). Autrement dit, la plupart des équipements ou logiciels capables de communiquer avec d’autres systèmes seront soumis à ces nouvelles exigences. En pratique, il s’agira notamment des appareils IoT et de l’électronique grand public (p. ex. montres connectées, téléphones mobiles, électroménager/électronique grand public intelligents, babyphones), des objets portés (p. ex. bracelets fitness), des équipements industriels dotés de fonctions réseau (capteurs et machines industrielles connectés) ainsi que de divers logiciels (systèmes d’exploitation, applications mobiles et PC, logiciels métiers, etc.). Il est important de noter que les logiciels vendus séparément (en tant que produit) relèvent également du CRA, tout comme les services de traitement de données à distance constituant une partie intégrante du produit : par exemple, un service cloud pilotant un appareil de maison connectée sera considéré comme une composante du produit et devra satisfaire aux exigences de sécurité.

Le règlement a un champ d’application très large, mais prévoit aussi des exclusions pour certaines catégories de produits déjà encadrées par leurs propres règles sectorielles. Le CRA ne couvre pas, notamment : les dispositifs médicaux (régis par les règlements MDR 2017/745 et 2017/746), les véhicules et leurs équipements (couverts notamment par le règlement 2019/2144 en matière d’homologation des véhicules), les aéronefs (règlement 2018/1139 relatif à l’aviation), ni les équipements marins (directive 2014/90/UE). Ces produits disposent de réglementations distinctes, souvent déjà assorties d’exigences adaptées au secteur concerné, et ont donc été exclus du champ du CRA. En outre, les nouvelles dispositions ne s’appliquent pas aux matériels et logiciels exclusivement militaires ou destinés à la sécurité nationale (ainsi qu’au traitement d’informations classifiées). Sont également exclues les pièces de rechange fournies en remplacement de composants identiques : si le produit d’origine a été légalement mis sur le marché, la pièce identique n’a pas à satisfaire séparément au CRA.

Il convient de noter que les logiciels libres et open source ne seront pas couverts par le CRA, tant qu’ils ne sont pas mis à disposition dans le cadre d’une activité commerciale. Ainsi, si un logiciel est développé et publié gratuitement, en dehors du marché, ses auteurs (p. ex. une communauté open source) ne sont pas considérés comme des « fabricants » au sens du règlement et ne sont pas soumis aux obligations décrites ci-dessous. En revanche, si une entreprise utilise un composant open source dans un produit commercial, la responsabilité de satisfaire aux exigences de sécurité incombe au fabricant du produit final. En résumé, le CRA vise principalement les produits numériques fabriqués et vendus de manière professionnelle, mis à disposition des utilisateurs finaux sur le marché intérieur de l’UE.

Pourquoi le CRA a-t-il été introduit ? Nouvelles menaces, vide réglementaire et chaîne d’approvisionnement

L’Union européenne a identifié un besoin urgent de renforcer la cyberrésilience des produits numériques face à l’augmentation des menaces. Ces dernières années, le nombre et la diversité des appareils connectés à Internet ont explosé – des systèmes IoT industriels en usine aux équipements domestiques intelligents. Malheureusement, le niveau de cybersécurité de ces produits est souvent faible, ce qui se traduit par des vulnérabilités fréquentes ainsi que par une fourniture insuffisante et incohérente des mises à jour de sécurité. Jusqu’à présent, de nombreux fabricants n’ont pas fait de la sécurité une priorité sur l’ensemble du cycle de vie du produit, et les utilisateurs manquent souvent de sensibilisation et d’informations : quels appareils sont sûrs, pendant combien de temps ils seront maintenus via des mises à jour, et comment les utiliser de manière sécurisée. Cette combinaison de facteurs entraîne un risque accru de cyberattaques.

Le règlement sur la cyberrésilience vise à combler un vide réglementaire – jusqu’à présent, il n’existait pas, au niveau de l’UE, d’exigences uniformes et obligatoires concernant la sécurité numérique des produits. Certes, des initiatives existaient, comme les certifications de cybersécurité des TIC (au titre de l’Acte sur la cybersécurité 2019/881) ou les exigences de la directive NIS2 pour les secteurs critiques, mais aucun texte n’imposait directement l’obligation de « cybersécurité dès la conception » pour l’ensemble des appareils et logiciels mis sur le marché. Le CRA met précisément en place ce cadre universel – il impose que le matériel et les logiciels soient conçus, fabriqués et maintenus en intégrant des mesures de protection robustes tout au long de leur cycle de vie. L’objectif est que des produits présentant moins de vulnérabilités arrivent sur le marché et que les fabricants assurent l’élimination rapide des nouvelles menaces (par exemple via des correctifs de sécurité), au lieu de laisser les utilisateurs avec des appareils truffés de failles.

La question de la cyberrésilience a aussi une dimension chaîne d’approvisionnement et transfrontalière. À l’ère de l’interconnexion généralisée, un incident sur un appareil en apparence insignifiant peut devenir le vecteur d’une attaque visant toute une organisation ou ses partenaires commerciaux. Un capteur IoT infecté dans un atelier de production peut ouvrir une brèche vers le réseau de l’entreprise ; une vulnérabilité dans une application populaire peut être exploitée à l’échelle mondiale en quelques minutes. Comme cela est souligné dans l’exposé des motifs du règlement, un incident cyber affectant un produit peut se propager dans la chaîne d’approvisionnement au-delà des frontières d’un pays en quelques minutes. Les coûts de telles attaques ne sont pas supportés uniquement par les fabricants et les utilisateurs, mais par la société dans son ensemble – perturbations des infrastructures critiques, pertes financières, atteintes à la sécurité publique. Des règles communes et obligatoires dans toute l’UE doivent relever le niveau global de protection et éviter qu’un maillon faible (un produit non résilient) ne mette tout le monde en danger.

Un autre moteur est le renforcement de la confiance dans les produits numériques et l’égalisation des conditions de concurrence. Aujourd’hui, les fabricants qui investissent dans la sécurité dès la conception perdent parfois sur le plan des prix face à ceux qui ignorent ces enjeux. Le CRA doit faire en sorte que la cybersécurité devienne un standard de qualité – tous devront satisfaire à des exigences minimales, ce qui rééquilibrera les chances et réduira les coûts sociétaux des attaques (aujourd’hui reportés sur les victimes). À terme, cela doit accroître la résilience de l’ensemble du marché de l’UE ainsi que la confiance des clients envers les appareils modernes intégrant des éléments numériques. L’Acte s’inscrit également dans une stratégie plus large de l’UE (avec le RGPD, NIS2, DORA, etc.) visant à renforcer la cybersécurité des services et des produits, en tant que fondement de l’économie numérique.

Règlement (UE) 2024/2847 : principales obligations des fabricants, importateurs et distributeurs

Le nouveau règlement introduit une série d’obligations concrètes pour les opérateurs économiques impliqués dans la chaîne d’approvisionnement de produits comportant des éléments numériques. L’étendue des responsabilités dépend du rôle – les exigences les plus importantes concernent les fabricants, mais les importateurs et les distributeurs ont eux aussi des missions essentielles. Ci-dessous, nous récapitulons les obligations clés du point de vue d’un responsable chargé de veiller à la conformité des produits de l’entreprise avec la réglementation.

Obligations des fabricants

Le fabricant (ainsi que l’entité qui met un produit sur le marché sous sa propre marque ou qui le modifie – celle-ci est également considérée comme un fabricant) assume la responsabilité principale du respect des exigences du CRA. Parmi ses missions les plus importantes figurent :

• Assurer la conformité du produit aux exigences essentielles de cybersécurité définies à l’annexe I du règlement. En pratique, cela signifie que, dès la phase de conception et de développement, le produit doit intégrer des caractéristiques garantissant un niveau de sécurité numérique approprié, proportionné au risque associé au produit concerné. Le règlement énumère un ensemble d’exigences techniques concrètes – notamment l’absence de vulnérabilités connues au moment de la mise sur le marché, l’utilisation de configurations par défaut sécurisées (p. ex. éviter les mots de passe par défaut), le chiffrement lorsque pertinent, des protections contre l’accès non autorisé, la protection des données personnelles de l’utilisateur, la résilience aux attaques perturbant les fonctions (p. ex. attaques DoS) ainsi que la possibilité d’effectuer une réinitialisation aux paramètres d’usine. Le produit doit être conçu de manière à réduire au maximum sa « surface d’attaque » – p. ex. ne pas exposer de ports ouverts ou de services inutiles qui augmentent l’exposition aux cybermenaces. Ces exigences essentielles (partie I de l’annexe I du CRA) constituent une liste de contrôle des caractéristiques de sécurité que tout produit numérique doit respecter.
• Mise en place d’un processus de gestion des vulnérabilités et des incidents – le fabricant doit assurer activement la sécurité du produit après sa vente, pendant toute la durée de support déclarée. La partie II de l’annexe I définit les exigences relatives au processus de traitement des vulnérabilités (vulnerability handling) : tests et surveillance réguliers afin d’identifier de nouvelles failles, réception des signalements de vulnérabilités (p. ex. de la part de chercheurs ou d’utilisateurs) et correction/colmatage rapide des vulnérabilités détectées via la fourniture de mises à jour de sécurité. Le fabricant doit appliquer une politique de divulgation coordonnée des vulnérabilités (coordinated disclosure) – c.-à-d. disposer d’un point de contact dédié pour signaler les problèmes et de procédures décrivant la manière de traiter ces signalements. Il est essentiel que les mises à jour corrigent les vulnérabilités sans délai et soient distribuées de façon sécurisée (p. ex. signées numériquement). Point important : le fabricant est tenu d’assurer le support et les mises à jour de sécurité pendant une durée correspondant au cycle de vie prévu du produit, au minimum 5 ans (sauf si la nature du produit justifie une durée plus courte). Autrement dit, si notre équipement est destiné à être utilisé par les clients pendant ~5+ ans, nous ne pouvons pas arrêter de publier des correctifs au bout d’un ou deux ans – un support post-commercialisation sur plusieurs années sera requis afin que l’utilisateur ne se retrouve pas avec un appareil vulnérable.
• Réalisation d’une évaluation des risques de cybersécurité – avant la mise sur le marché d’un produit comportant des éléments numériques, le fabricant doit effectuer une analyse systématique des risques liés aux cybermenaces visant ce produit. L’évaluation des risques doit faire partie du processus de conception (security by design) et prendre en compte notamment l’usage prévu du produit, les usages incorrects raisonnablement prévisibles, ainsi que les conditions d’utilisation (environnement IT, réseau, type de données traitées par l’appareil). Sur la base de cette analyse, il convient de planifier des mesures de protection adaptées et de les intégrer à la conception. La documentation relative à l’évaluation des risques dans le cyberespace devient un élément de la documentation technique du produit et doit être mise à jour si de nouvelles menaces apparaissent. Le fabricant a l’obligation de conserver la documentation pendant au moins 10 ans à compter de la mise sur le marché du produit (et si la durée de support déclarée dépasse 10 ans – d’autant plus longtemps). L’évaluation des risques n’est pas ponctuelle : elle doit être revue et actualisée si nécessaire, en particulier lorsque de nouvelles vulnérabilités sont découvertes ou que le contexte d’utilisation du produit évolue.
• Supervision des composants externes – le fabricant doit faire preuve de la diligence requise lors de l’utilisation de composants tiers, y compris des bibliothèques open source. Il convient de garantir que les composants externes (logiciels et matériels) ne compromettent pas la cybersécurité de l’ensemble du produit. En pratique, cela implique de maîtriser les versions et les mises à jour des bibliothèques utilisées, de surveiller les vulnérabilités connues (p. ex. publiées dans les CVE) affectant ces composants, et de les mettre à jour/remplacer lorsqu’une faille apparaît. Si le produit utilise un logiciel open source et qu’une vulnérabilité y est détectée, le fabricant a l’obligation d’informer l’entité responsable de la maintenance de cet open source (p. ex. le projet open source) du problème constaté, et, s’il corrige lui-même la vulnérabilité de son côté, de transmettre à la communauté les informations sur le correctif appliqué. L’objectif est d’intégrer les fabricants à l’écosystème de correction coordonnée des failles, y compris pour les composants open source.
• Évaluation formelle de la conformité et documents – avant la mise sur le marché, le fabricant doit réaliser la procédure d’évaluation de la conformité aux exigences du CRA et établir une documentation attestant du respect des exigences. Pour la plupart des produits « ordinaires » (non classés dans la catégorie à risque accru), un contrôle interne (évaluation interne) et la préparation d’une documentation technique contenant notamment la description du produit, les résultats de l’analyse de risques, la liste des mesures de sécurité mises en œuvre, les procédures de test et de mise à jour, etc., seront suffisants. Le fabricant établit ensuite une déclaration UE de conformité, dans laquelle il déclare que le produit satisfait à toutes les exigences applicables du CRA, puis appose sur le produit le marquage CE. Attention : si un produit est classé comme « important » ou « critique » du point de vue de la cybersécurité (Annex III et IV CRA), des procédures d’évaluation de la conformité plus strictes peuvent s’appliquer. Pour les produits importants (importants) de classe II ainsi que pour les produits critiques, une certification par un tiers sera requise, c.-à-d. un examen et un certificat délivré par une organisme notifié (p. ex. un laboratoire accrédité). Pour les produits importants de classe I, l’autocertification n’est admise que s’il existe des normes harmonisées appropriées auxquelles le fabricant se conforme – à défaut, l’intervention d’un tiers est également nécessaire. Le manager doit donc déterminer à quelle catégorie appartient le produit de l’entreprise et s’il faut prévoir une certification externe (ce qui peut influencer le calendrier de mise sur le marché).
• Surveillance de la sécurité après mise sur le marché et reporting – une nouveauté introduite par le CRA est l’obligation de déclarer les problèmes de sécurité graves aux autorités compétentes. Le fabricant doit notifier toute vulnérabilité de son produit activement exploitée ainsi que tout incident grave affectant la sécurité du produit au CSIRT national (équipe de réponse) désigné comme coordinateur, ainsi qu’à l’agence ENISA. Le délai de notification est très court – 24 heures à compter de la détection de la vulnérabilité/de l’événement (à l’image des exigences du RGPD ou de NIS2). Les notifications seront effectuées via une plateforme européenne unique opérée par l’ENISA. L’obligation de reporting entrera en vigueur plus tôt que le reste des exigences (septembre 2026 – voir les échéances ci-dessous) et s’appliquera à tous les produits présents sur le marché à partir de ce moment. Le fabricant doit donc disposer de procédures internes capables de détecter un incident/une vulnérabilité et de transmettre, dans les 24 heures, les informations exigées par le règlement. L’objectif est de fournir aux autorités de surveillance une vue d’ensemble des menaces émergentes et de coordonner la réponse (p. ex. avertir d’autres utilisateurs lorsqu’un produit présente une faille critique).

Ces obligations entraînent souvent d’importants changements organisationnels – depuis la mise en place d’un Secure SDLC au sein du département R&D, jusqu’à de nouvelles politiques de maintenance et de support des produits, en passant par de la documentation supplémentaire et la formation du personnel. En contrepartie, l’entreprise gagne une plus grande assurance que son produit ne deviendra pas la source d’un cyberincident grave, ainsi que la conformité avec la réglementation à venir, ce qui permettra de poursuivre les ventes sur le marché de l’UE.

Règlement (UE) 2024/2847 : obligations des importateurs et des distributeurs

Les entités qui importent des produits comportant des éléments numériques depuis des pays hors UE (importateurs) ou qui les revendent ensuite sur le marché de l’Union (distributeurs) doivent également veiller à la conformité de ces produits avec le CRA. Leur rôle consiste principalement à vérifier et réagir en cas de non-conformité éventuelle.

L’importateur, avant de mettre un produit sur le marché de l’UE, doit vérifier que le fabricant a rempli ses obligations – autrement dit, que le produit porte le marquage CE et qu’il est accompagné d’une déclaration UE de conformité, que les instructions et les informations de sécurité sont fournies, et que le fabricant a établi la documentation technique requise. L’importateur n’a pas à tester lui-même la cybersécurité du produit, mais s’il a des doutes raisonnables quant à la conformité du produit aux exigences (p. ex. absence de marquage CE, absence d’information sur la durée de support, etc.), il ne doit pas mettre ce produit à disposition sur le marché tant qu’il ne s’est pas assuré que la non-conformité a été corrigée. S’il est constaté que le produit ne répond pas aux exigences du CRA, l’importateur est tenu d’informer les autorités de surveillance et de prendre des mesures correctives – faire en sorte que le produit soit mis en conformité et, si cela est impossible, le retirer de la distribution ou du marché. Les importateurs, comme les fabricants, doivent conserver une copie de la déclaration de conformité et veiller à ce que la documentation technique puisse être fournie aux autorités sur demande. Ils doivent aussi apposer sur le produit (ou l’emballage) leurs coordonnées et s’assurer que le produit est correctement marqué. En pratique, le rôle de l’importateur revient à une barrière de sécurité : empêcher la distribution dans l’UE de produits qui ne disposent pas des « documents » attestant du respect du CRA.

Les distributeurs (grossistes nationaux, détaillants, etc.) se trouvent dans une situation similaire à celle des importateurs, à la différence qu’ils vérifient le respect des exigences à la fois par le fabricant et, le cas échéant, par l’importateur si le produit provient de pays hors UE. Avant toute revente, le distributeur doit donc vérifier que le produit porte le marquage CE, qu’il est accompagné de la déclaration ou des instructions exigées par la loi, et qu’aucune communication publique n’a été publiée indiquant que le modèle concerné n’est pas conforme aux exigences de sécurité. En cas de doute, il a également l’obligation de suspendre la vente jusqu’à clarification. S’il estime (ou s’il est informé) que le produit présente un danger grave ou ne respecte pas les exigences du CRA, il doit en informer le fabricant ou l’importateur ainsi que les autorités de surveillance, et coopérer aux actions correctives (p. ex. lors d’opérations de retrait du marché).

Du point de vue d’un responsable achats, ces règles impliquent la nécessité d’une vigilance accrue lors du choix des fournisseurs de matériel/logiciel. Il faut s’assurer que les partenaires situés hors UE livrent des produits déjà conformes au CRA, faute de quoi notre entreprise (en tant qu’importateur) assumera la responsabilité des manquements. Pour un distributeur (p. ex. une entreprise de négoce en automatisme), s’ajoute l’obligation de suivre si les produits des différentes marques proposées disposent de déclarations de conformité à jour et répondent aux exigences – en pratique, cela exigera une coopération étroite avec les fabricants et une réaction rapide à toute alerte de sécurité concernant les équipements vendus.

À noter : si l’importateur ou le distributeur met un produit sur le marché sous son propre logo/sa propre marque ou modifie le produit (p. ex. en changeant sa fonctionnalité, son logiciel ou sa configuration d’une manière significative pour la cybersécurité), alors, conformément au règlement, il devient lui-même le fabricant de ce produit. Il doit alors assumer toutes les obligations du fabricant (réaliser l’évaluation de conformité, établir sa propre déclaration, etc.). Cette situation concerne, par exemple, les entreprises d’intégration de systèmes qui vendent des équipements OEM sous leur propre marque : elles doivent être particulièrement vigilantes, car elles sont formellement responsables de la conformité au même titre que le fabricant d’origine.

Dates d’entrée en vigueur et périodes transitoires

Le règlement (UE) 2024/2847 a été publié au Journal officiel le 20 novembre 2024. Il est entré en vigueur le 10 décembre 2024 (20 jours après la publication), toutefois les principales obligations ne s’appliqueront qu’après 36 mois à compter de cette date. Le législateur a en effet prévu une longue période transitoire afin de laisser au secteur le temps de s’adapter. Voici les dates clés :

• 11 septembre 2026 – à compter de cette date s’appliqueront les obligations de notification des vulnérabilités et des incidents. Le fabricant de tout produit comportant des éléments numériques présent sur le marché de l’UE devra signaler aux autorités compétentes toute faille activement exploitée ainsi que tout incident de sécurité grave concernant son produit. Cette date intervient 21 mois après l’entrée en vigueur du CRA et signifie que, dès 2026, les entreprises doivent disposer de procédures de surveillance de la sécurité et de signalement des problèmes. Cela ne dépend pas de la date de mise sur le marché du produit – cela concerne également les produits vendus avant 2026 et toujours utilisés. Autrement dit, même si un appareil a été mis sur le marché, par exemple, en 2025 (avant l’application du règlement) et qu’une vulnérabilité critique y est révélée en septembre 2026, le fabricant a l’obligation de la déclarer et de la corriger.
• 11 juin 2026 – à compter de cette date, les dispositions relatives aux organismes notifiés et aux organismes d’évaluation de la conformité doivent s’appliquer. D’ici la mi-2026, les États membres mettront en place un système de désignation et de notification des organismes habilités à certifier les produits (importants et critiques) au regard du respect des exigences du CRA. Pour les fabricants, il est essentiel que, au second semestre 2026, l’infrastructure nécessaire à la réalisation des essais et des certifications requis soit déjà disponible.
• 11 décembre 2027 – application intégrale du règlement CRA. À compter de cette date, aucun produit comportant des éléments numériques qui ne satisfait pas aux exigences du CRA ne pourra être légalement mis sur le marché dans l’UE. Cette échéance (3 ans après l’entrée en vigueur) constitue la date limite pour adapter les produits et les processus. Après le 11.12.2027, tous les nouveaux appareils et logiciels vendus dans l’UE devront être conçus, fabriqués et maintenus conformément au CRA – faute de quoi l’entreprise s’expose à des sanctions importantes. Il convient de souligner que les dispositions prévoient un certain allègement pour les produits déjà présents sur le marché : si un produit (un exemplaire précis) a déjà été mis à disposition sur le marché avant le 11 décembre 2027, il pourra continuer à circuler sans satisfaire au CRA. Toutefois, cela ne concerne que des exemplaires individuels – le type de produit conçu avant le CRA ne bénéficie pas automatiquement d’une exclusion. Chaque nouveau lot, chaque nouvel exemplaire mis en vente après cette date doit être conforme au CRA, sauf s’il se trouvait déjà physiquement dans le circuit de distribution auparavant (ce qui, en pratique, signifie par exemple un stock chez un distributeur qui a déjà acheté la marchandise avant l’échéance). Il n’est donc pas possible de contourner les règles en produisant « à l’avance » et en vendant après 2027 – chaque produit, au moment de sa mise sur le marché, est soumis aux exigences en vigueur. Font encore exception les certificats UE d’examen de type encore valides, délivrés avant cette date sur la base d’autres réglementations – ils resteront valables jusqu’en juin 2028, sauf si une durée plus courte a été fixée.

Pour les entreprises, la conclusion pratique est que la véritable date butoir est la fin de l’année 2027. À partir de 2028, il ne sera plus possible de vendre dans l’UE des appareils ne répondant pas aux exigences du CRA. En revanche, dès 2026, il faut être prêt à assumer les nouvelles obligations de notification des incidents. Le temps restant doit être mis à profit pour analyser et adapter les produits. Même si 3 ans peuvent sembler beaucoup, les changements peuvent s’avérer profonds – mieux vaut engager les travaux en amont. Ci-dessous, nous présentons une liste de contrôle des actions qu’un manager devrait envisager afin de préparer son organisation à satisfaire aux exigences de l’acte sur la cyberrésilience.

Règlement (UE) 2024/2847 : comment se préparer à 2026/2027 – liste de contrôle pour le manager

• Identifiez les produits soumis au CRA – Dressez la liste des produits de l’entreprise qui sont des « produits comportant des éléments numériques » (matériel ou logiciel se connectant au réseau/à d’autres appareils). Pour chacun, déterminez s’il peut être considéré comme important ou critique au sens du règlement (Annex III/IV) – par exemple, s’il assure des fonctions de sécurité essentielles, ou si sa compromission peut entraîner un préjudice à grande échelle. De cette classification dépend notamment la procédure d’évaluation de la conformité requise (et la nécessité éventuelle de recourir à une tierce partie).
• Prenez connaissance des exigences et des normes – Analysez les exigences essentielles de cybersécurité de l’annexe I du CRA et mettez-les en regard de vos produits. Vérifiez s’il existe déjà des normes harmonisées pertinentes ou des standards sectoriels susceptibles de faciliter la conformité (par exemple, les normes de la famille IEC 62443 pour la sécurisation des systèmes d’automatisation industrielle peuvent être utiles lors de la conception des protections des machines). Suivez l’actualité des travaux de normalisation – des lignes directrices pourraient apparaître et faciliter la mise en œuvre des exigences du CRA dans votre domaine.
• Réalisez une analyse des écarts (gap analysis) – Comparez l’état actuel de vos produits et de vos processus aux nouvelles exigences. Évaluez dans quelle mesure le niveau de sécurité existant répond aux obligations (p. ex. présence de mécanismes d’authentification, de chiffrement, de mises à jour sécurisées, etc.). Analysez le processus de développement logiciel dans l’entreprise – les règles de secure coding sont-elles appliquées, des tests d’intrusion sont-ils réalisés, à quelle vitesse réagissez-vous aux vulnérabilités signalées. Identifiez les manques et les axes d’amélioration, tant sur le plan de l’organisation (procédures) que de la technologie (fonctions de sécurité).
• Adaptez la conception et le développement des produits – Si l’analyse des écarts met en évidence des insuffisances, planifiez le déploiement des mécanismes et des pratiques manquants. Cela peut inclure des changements d’architecture du produit (p. ex. ajout d’un module de chiffrement, sécurisation des interfaces de communication), l’amélioration du processus SDLC (Software Development Life Cycle) avec des éléments de threat modeling, des revues de code orientées sécurité, des tests de fuzzing, etc., ainsi que la mise en place de nouvelles politiques de sécurité produit. Assurez-vous que l’équipe R&D considère la cybersécurité comme une exigence de conception au même titre que la fonctionnalité – le règlement impose une approche « security by design/default ».
• Planifiez un dispositif de mise à jour et de support – Évaluez si votre entreprise est prête à assurer le support des produits sur une durée suffisante. Il faudra peut-être définir un calendrier et mobiliser des ressources pour publier des mises à jour régulières du logiciel/firmware pendant plusieurs années après la vente. Vérifiez que les produits disposent des capacités techniques de mise à jour (à distance ou localement) – à défaut, c’est un problème majeur, car le CRA exige la possibilité de corriger les vulnérabilités après la mise sur le marché. Définissez une durée de support réaliste (minimum 5 ans) et communiquez-la aux utilisateurs. Préparez également un plan de traitement des signalements de sécurité remontés par les clients.
• Préparez la documentation requise – Assurez-vous que, pour chaque produit, une documentation technique complète est constituée du point de vue cybersécurité. Elle doit inclure notamment un rapport d’évaluation des risques, une description de l’architecture de sécurité, la liste des mesures appliquées (p. ex. chiffrement, autorisation), les résultats des tests de sécurité, les procédures de mise à jour, la politique de divulgation des vulnérabilités, etc. Cette documentation servira de base pour démontrer la conformité en cas de contrôle (et, le cas échéant, pour la soumettre à l’organisme certificateur). Organisez aussi son archivage pendant la durée requise (10 ans ou plus). En complément, préparez des modèles de déclaration UE de conformité pour vos produits – en gardant à l’esprit qu’ils doivent contenir une nouvelle formulation confirmant le respect de toutes les exigences du règlement.
• Sécurisez la chaîne d’approvisionnement – Contactez les fournisseurs de composants (en particulier logiciels, modules IoT, etc.) afin d’aborder les questions de conformité au CRA. Mettez à jour les contrats fournisseurs en y intégrant des clauses sur le niveau de cybersécurité requis des sous-ensembles et l’obligation d’informer en cas de vulnérabilités détectées. Assurez-vous d’avoir accès aux informations sur l’origine et les versions des composants (tenez un SBOM – Software Bill of Materials pour les produits, ce qui facilitera le suivi des vulnérabilités dans les bibliothèques dépendantes). Si vous utilisez des services cloud externes liés au produit, vérifiez leur sécurité et leur conformité à NIS2 (car le SaaS peut relever de NIS2 plutôt que du CRA). La cybersécurité d’un produit, c’est aussi la sécurité de tous les blocs qui le composent – les fournisseurs doivent avancer dans la même direction.
• Formez le personnel et sensibilisez les clients – Les nouvelles obligations impliquent que différents services de l’entreprise disposent d’un socle de connaissances sur le CRA. Organisez des formations pour les équipes conception, qualité, IT et service sur les exigences du règlement et les procédures internes (p. ex. comment réagir à un signalement de vulnérabilité, comment documenter les changements au regard de la conformité). Il est également utile d’informer les achats et les ventes, afin qu’ils aient connaissance des nouveaux marquages et déclarations (p. ex. la nécessité de vérifier qu’un fournisseur hors UE a fourni une déclaration de conformité). Envisagez de préparer, pour les clients, des informations sur la politique de sécurité de vos produits – la transparence sur ce point peut devenir un avantage commercial (les utilisateurs commenceront à vérifier si un produit répond aux exigences cyber et bénéficie de mises à jour garanties).
• Surveillez les lignes directrices et les échéances – Suivez les communications de la Commission européenne et des autorités nationales concernant le CRA. Des actes délégués ou d’exécution peuvent préciser certains points (p. ex. exclusions sectorielles – la Commission peut décider d’exclure du CRA des produits déjà couverts par des exigences sectorielles équivalentes). Suivez également le processus de publication des normes harmonisées – l’application d’une norme sera la voie la plus simple pour bénéficier de la présomption de conformité. Veillez au respect des échéances mentionnées : septembre 2026 (capacité de reporting des incidents) et décembre 2027 (conformité complète de tous les nouveaux produits). Idéalement, fixez des jalons internes bien en amont – p. ex. finalisation de l’analyse de risques initiale d’ici mi-2025, adaptation du processus de développement d’ici fin 2025, tests de conformité et pré-certifications en 2026, etc., afin d’aborder 2027 avec des exigences presque entièrement satisfaites. Une surprise de dernière minute peut conduire à une suspension des ventes ; une démarche proactive est donc essentielle.

Réaliser ce « travail préparatoire » en amont permettra d’éviter la précipitation stressante de 2027 et les risques qui en découlent. Plutôt que de considérer le CRA uniquement comme une contrainte, il vaut mieux y voir une opportunité d’élever le niveau global de sécurité des produits – ce qui protège à la fois l’entreprise et les clients contre des incidents coûteux.

CRA et Règlement Machines (UE) 2023/1230 – qu’est-ce qui relève de quoi ?

De nombreux managers du secteur industriel se demandent comment les nouvelles règles de cyberrésilience s’articulent avec le déjà bien connu Règlement Machines (UE) 2023/1230 (qui remplacera la Directive Machines). Y a-t-il un doublon d’exigences, ou ces textes se complètent-ils ? L’essentiel est de comprendre quels aspects du produit sont encadrés par chacun de ces actes juridiques.

Le Règlement Machines 2023/1230 couvre la sécurité des machines au sens traditionnel – il se concentre sur la protection de la santé et de la sécurité des utilisateurs de machines. Il définit les exigences essentielles de sécurité et de protection de la santé (EHSR), qui concernent notamment les aspects mécaniques, électriques, l’ergonomie, le bruit, l’EMC, etc. Le nouveau règlement machines a certes introduit l’exigence de prendre en compte les menaces liées à l’accès à internet et aux cyberattaques comme un danger potentiel pour la sécurité. Cela signifie que le fabricant d’une machine doit, lors de l’évaluation des risques, envisager des scénarios dans lesquels, par exemple, une intervention à distance sur le système de commande pourrait provoquer un accident. Il doit donc concevoir des mesures empêchant de telles situations (p. ex. des protections réseau rendant impossible la prise de contrôle de la machine par une personne non autorisée). Toutefois, le règlement machines ne traite la cybersécurité que dans la mesure où elle a un impact sur la sécurité physique des personnes qui utilisent les machines. Il s’agit d’un des nombreux éléments de l’évaluation de conformité d’une machine, sans entrer dans des exigences informatiques détaillées – on n’y trouvera ni liste de mécanismes cryptographiques ni obligation de mettre à jour le logiciel de la machine après la vente. On peut le résumer ainsi : le Règlement Machines veille à ce que la machine ne mette pas en danger la vie/la santé (y compris à la suite d’un cyberincident), tandis que le CRA vise la cybersécurité globale du produit (dont la confidentialité des données, la résilience des services, l’ensemble du cycle de vie).

Le Cyber Resilience Act couvre un périmètre de sujets IT nettement plus large que le règlement machines. Même pour les machines industrielles, le CRA impose par exemple des exigences de signalement des vulnérabilités, de fourniture de mises à jour pendant X ans, de protection contre la perte de données – des sujets qui ne sont pas directement liés à la sécurité de l’utilisateur de la machine, mais à la cybersécurité en tant que telle. En pratique, cela signifie qu’une machine qui est un produit comportant des éléments numériques relèvera simultanément des deux règlements. Le fabricant d’une telle machine doit respecter les exigences des deux textes – à la fois celles relatives à une conception sûre du point de vue, par exemple, de la mécanique (Règlement Machines), et celles relatives à la sécurisation des logiciels, des réseaux et des données (CRA). Le respect des exigences d’un règlement n’implique pas automatiquement la conformité à l’autre, car les critères d’évaluation diffèrent.

Du point de vue de la procédure d’évaluation de conformité, un produit relevant de plus d’un règlement de l’UE doit satisfaire à toutes les dispositions applicables avant l’apposition du marquage CE. Par exemple, un fabricant mettant sur le marché un robot industriel collaboratif doté d’une fonction de surveillance à distance devra s’assurer que le robot respecte les exigences essentielles de sécurité des machines (règl. 2023/1230) et les exigences essentielles de cybersécurité (Règlement (UE) 2024/2847). La déclaration UE de conformité d’une telle machine devrait mentionner ces deux actes juridiques. De son côté, le directeur de la maintenance achetant un tel équipement doit vérifier à la fois la conformité au « CE machines » et au « CE cyber ». En pratique, le marquage CE est unique – mais la documentation doit démontrer la conformité à l’ensemble des dispositions de la nouvelle approche qui s’appliquent au produit concerné.

Il convient d’indiquer quelques exemples de ce qui relève de quel règlement :

• Équipements IT purement électroniques (sans fonctions de machine) – p. ex. routeurs, smartphones, caméras IP – ne relèvent pas du Règlement Machines (car ce ne sont pas des machines), mais relèvent du CRA s’ils comportent des éléments numériques et communiquent via un réseau. Dans leur cas, l’enjeu principal est la cybersécurité, et les questions de sécurité physique de l’utilisateur ne sont pas déterminantes (en dehors des exigences générales en matière de santé et sécurité au travail/EMC).
• Machines traditionnelles sans connexion numérique – p. ex. une presse hydraulique avec une commande entièrement analogique – relèvent du Règlement Machines (il faut satisfaire aux exigences relatives à la conception, aux protecteurs, aux circuits de sécurité, etc.), mais ne relèvent pas directement du CRA, puisqu’elles ne contiennent pas d’éléments numériques communiquant vers l’extérieur. Bien entendu, si la machine intègre une électronique de commande, celle-ci peut, en soi, être considérée comme un équipement numérique – toutefois, tant qu’il n’y a pas de connectivité (p. ex. absence de ports réseau, absence d’accès à distance), elle ne répond pas à la définition de « produit comportant des éléments numériques » au sens du CRA.
• Machines modernes avec fonctions numériques – p. ex. robots, lignes de production avec IoT, chariots AGV communiquant avec un système de gestion – relèvent des deux textes. Ici, le Règlement Machines imposera notamment une évaluation des risques « classique » (afin que la machine ne crée pas de dangers mécaniques/électriques) ainsi que l’exigence que, par exemple, l’accès à distance au robot ne puisse pas provoquer une situation dangereuse (donc la prise en compte des cybermenaces pour la sécurité). De son côté, le CRA imposera en plus que ce robot dispose, de manière générale, d’un logiciel sécurisé (p. ex. transmissions de données chiffrées, mots de passe uniques), qu’il soit mis à jour par le fabricant et que, en cas de vulnérabilité détectée, celle-ci soit corrigée et signalée aux autorités. Le fabricant d’un tel équipement doit donc garantir une résilience aux cyberattaques à la fois du point de vue de la sécurité des personnes et de la continuité d’activité, de la confidentialité des données, etc.

En résumé, le Règlement Machines et le CRA ne se concurrencent pas, ils se complètent. Le premier vise la sécurité fonctionnelle des machines (y compris des exigences minimales en matière de cyber afin que la machine soit sûre), le second vise une cybersécurité plus large du produit sur l’ensemble de son cycle de vie. Pour les managers, cela signifie la nécessité d’une conformité multidimensionnelle : un produit intelligent doit être à la fois sûr par conception et cybersécurisé. Il faut donc suivre les exigences des deux réglementations. Heureusement, leurs calendriers d’application sont proches – le Règlement Machines commencera lui aussi à s’appliquer en pratique à partir de janvier 2027 (en remplaçant la directive), et le CRA à partir de fin 2027. Il est donc possible de regrouper les préparatifs des deux dans un programme de conformité cohérent. Par exemple, lors de la conception d’une nouvelle machine, intégrer d’emblée à la fois les exigences de sécurité des machines et les protections IT ; lors des essais du prototype, vérifier non seulement la conformité à des normes telles que ISO 13849 (safety), mais aussi, par exemple, des tests d’intrusion du système de commande. Avec une telle approche, l’entreprise assurera une conformité globale et évitera la situation où elle respecte un texte en en négligeant un autre.

Le Règlement (UE) 2024/2847 constitue à l’évidence un défi pour les fabricants et les fournisseurs, mais aussi une réponse nécessaire aux réalités actuelles. Les machines et les équipements deviennent de plus en plus intelligents et connectés – la réglementation doit suivre. Les managers qui engagent dès maintenant des actions de préparation y gagneront un avantage : leurs entreprises non seulement entreront sans heurts dans le nouveau cadre juridique, mais renforceront aussi la compétitivité et la crédibilité de leurs produits aux yeux des clients, pour lesquels la sécurité numérique devient aussi importante que le prix ou la fonctionnalité. Avec un accompagnement adapté d’experts en sécurité des machines et en IT, la mise en œuvre des exigences du CRA peut être envisagée comme un levier d’amélioration continue, et non comme une simple obligation réglementaire. Au final, l’entreprise, les utilisateurs finaux et l’ensemble de l’écosystème numérique y gagneront. Des produits plus sûrs, c’est moins de risques d’arrêts, d’attaques et de pertes – et c’est l’objectif poursuivi à la fois par le législateur et par les acteurs responsables du marché.