Cyber Resilience Act (CRA)

Le Cyber Resilience Act fixe des exigences en matières de cybersécurité pour les produits à éléments numériques présent sur le marché européen. 

Pour bien commencer

Le Cyber Resilience Act (CRA) est un règlement de l’UE publié le 20 novembre 2024. Il fixe des exigences en matière de cybersécurité pour tous les "produits à éléments numériques " mis sur le marché européen :

  • Matériels connectés : smartphones, ordinateurs portables, caméras, montres connectées, jouets connectés, modems, pare-feu, compteurs intelligents, équipements IT hospitaliers (routeurs, passerelles IoT), etc.
  • Logiciels vendus seuls : logiciel de comptabilité, application mobile de jeu, logiciel de dossier patient informatisé (DPI), application de télésuivi, etc.

Objectif : rendre les produits connectés plus sûrs via :

  • La sécurité dès la conception (“by design”),
  • La sécurité par défaut (“by default”),
  • La transparence pour les utilisateurs,
  • Une gestion des vulnérabilités tout au long du cycle de vie

En pratique

Sont concernés par le CRA : Tous les fabricants (même établis hors UE) qui mettent des produits sur le marché de l’UE, ainsi que importateurs, distributeurs, fondations open source, organismes d’évaluation et autorités publiques.

Exclus : Logiciels open source non commerciaux, pièces détachées identiques*, prototypes* (tests/salons), logiciels non finalisés utilisés à des fins de test*, services cloud/SaaS qui ne fournissent pas de traitement de données à distance indispensable au fonctionnement du produit (les fournisseurs de cloud relèvent de NIS2), ainsi que les produits liés à la défense ou déjà couverts par une autre réglementation européenne spécifique.

*sous conditions

Pour l’e-santé :

  • Les dispositifs médicaux disposant d’un marquage CE au titre des règlements du MDR (Medical Devices Regulation) ou de l’IVDR (In Vitro Diagnostic Regulation) ne sont pas soumis au CRA, car ces derniers couvrent déjà la sécurité numérique.
  • Sinon, une application, un logiciel ou un objet connecté non couvert par une réglementation sectorielle peut être considéré comme " produit à éléments numériques " et est donc soumis aux obligations du CRA.

Quand ?

  • 20/11/2024 

    Publication du CRA.

  • Application progressive

    dans tous les pays de l’UE.

  • À 3 ans après l’entrée en vigueur (2027)

    Toutes les exigences s’appliquent (sécurité by design/by default, gestion des vulnérabilités, transparence, etc.).

Assouplissements pour PME et startups

  • Formalisme allégé : procédures simplifiées pour la conformité
  • Soutien prévu : guides pratiques, accompagnement par les autorités nationales (Objectif : éviter une charge disproportionnée pour les petites structures). 

Plusieurs projets sont financés pour accompagner les micro, petites et moyennes entreprises (MPME) comme, par exemple, sur la mise en conformité ou sur la participation aux travaux de standardisation : Plus d'information sur ce lien

Obligations clés (à anticiper)

Le CRA établit ces obligations afin de garantir une sécurité minimum des produits, non seulement avant leur mise sur le marché de l’Union européenne, mais également tout au long de leur cycle de vie.

Sécurité by design

Les produits doivent être conçus en tenant compte de la cybersécurité

Par exemple : 

  • Concevoir en minimisant la surface d’attaque
  • Chiffrer les données stockées/transmises,

Sécurité by default

Les paramètres par défaut du produit doivent, dans la mesure du possible, contribuer à réduire les vulnérabilités, sans que l'utilisateur ait à intervenir

Par exemple : 

  • Interdire les mots de passe par défaut faibles
  • Prévoir l’installation automatique des mises à jour de sécurité, etc.

Transparence pour l’utilisateur

L'objectif est de permettre aux utilisateurs de choisir un produit en tenant compte du niveau de cybersécurité, pas seulement du prix ou des fonctionnalités.

Mesure clé : 

  • Afficher clairement la “date de fin de support” (jusqu’à quand les mises à jour de sécurité sont fournies) sur le produit/l’emballage.

Gestion des vulnérabilités & incidents

Les fabricants doivent signaler :

  • Toutes les vulnérabilités exploitées et les incidents graves affectant la sécurité des produits.
  • Délais : alerte initiale sous 24 h, déclaration complète sous 72 h.

Une plateforme européenne centralisée (avec points de contact nationaux) sera mise en place pour faciliter ces échanges entre fabricants, CSIRT et l’ENISA. Une page d'information européenne avec une foire aux questions est d'ores et déjà disponible : Accéder à la FAQ 

Évaluation de conformité

 La procédure permettant d'évaluer si les produits sont conformes aux règles du CRA peut varier :

Produits standardsprocédure générale.

Produits sensibles (" importants " ou "critiques ", ex. gestionnaires de mots de passe, pare-feu, cartes à puce,) → procédures d'évaluation plus strictes :

  • Obtenir une certification de cybersécurité de l'UE (ou certification nationale équivalente)
  • audit externe dans le cadre du système législatif actuel sur les produits (NLF)
  • Se conformer aux normes harmonisées reconnues au niveau européen 

Documentation

Cyber Resilience Act Règlement (UE) 2017/745 du Parlement européen relatif aux dispositifs médicaux (MDR) Règlement (UE) 2017/746 du Parlement européen relatif aux dispositifs médicaux de diagnostic in vitro Page d’information européenne, incluant une FAQ (en anglais) Page d'information de l'ANSSI