Cyber Resilience Act (CRA)

Le Cyber Resilience Act fixe des exigences en matières de cybersécurité pour les produits à éléments numériques présent sur le marché européen. 

Pour bien commencer

Le Cyber Resilience Act (CRA) est un règlement de l’UE publié le 20 novembre 2024. Il fixe des exigences en matière de cybersécurité pour tous les "produits à éléments numériques " mis sur le marché européen :

  • Matériels connectés : smartphones, ordinateurs portables, caméras, montres connectées, jouets connectés, modems, pare-feu, compteurs intelligents, équipements IT hospitaliers (routeurs, passerelles IoT), etc.
  • Logiciels vendus seuls : logiciel de comptabilité, application mobile de jeu, logiciel de dossier patient informatisé (DPI), application de télésuivi, etc.

Objectif : rendre les produits connectés plus sûrs via :

  • La sécurité dès la conception (“by design”),
  • La sécurité par défaut (“by default”),
  • La transparence pour les utilisateurs,
  • Une gestion des vulnérabilités tout au long du cycle de vie

En pratique

Sont concernés par le CRA : Tous les fabricants (même établis hors UE) qui mettent des produits sur le marché de l’UE, ainsi que importateurs, distributeurs, fondations open source, organismes d’évaluation et autorités publiques.

Exclus : Logiciels open source non commerciaux, pièces détachées identiques*, prototypes* (tests/salons), logiciels non finalisés utilisés à des fins de test*, services cloud/SaaS qui ne fournissent pas de traitement de données à distance indispensable au fonctionnement du produit (les fournisseurs de cloud relèvent de NIS2), ainsi que les produits liés à la défense ou déjà couverts par une autre réglementation européenne spécifique.

*sous conditions

Pour l’e-santé :

  • Les dispositifs médicaux disposant d’un marquage CE au titre des règlements du MDR (Medical Devices Regulation) ou de l’IVDR (In Vitro Diagnostic Regulation) ne sont pas soumis au CRA, car ces derniers couvrent déjà la sécurité numérique.
  • Sinon, une application, un logiciel ou un objet connecté non couvert par une réglementation sectorielle peut être considéré comme " produit à éléments numériques " et est donc soumis aux obligations du CRA.

Quand ?

  • 20/11/2024 

    Publication du CRA.

  • Application progressive

    dans tous les pays de l’UE.

  • À 3 ans après l’entrée en vigueur (2027)

    Toutes les exigences s’appliquent (sécurité by design/by default, gestion des vulnérabilités, transparence, etc.).

Assouplissements pour PME et startups

  • Formalisme allégé : procédures simplifiées pour la conformité
  • Soutien prévu : guides pratiques, accompagnement par les autorités nationales (Objectif : éviter une charge disproportionnée pour les petites structures). 

Plusieurs projets sont financés pour accompagner les micro, petites et moyennes entreprises (MPME) comme, par exemple, sur la mise en conformité ou sur la participation aux travaux de standardisation : Plus d'information sur ce lien

Obligations clés (à anticiper)

Le CRA établit ces obligations afin de garantir une sécurité minimum des produits, non seulement avant leur mise sur le marché de l’Union européenne, mais également tout au long de leur cycle de vie.

Sécurité by design

Les produits doivent être conçus en tenant compte de la sécurité numérique

Par exemple : 

  • Concevoir en minimisant la surface d’attaque
  • Chiffrer les données stockées/transmises,

Sécurité by default

Les paramètres par défaut du produit doivent, dans la mesure du possible, contribuer à réduire les vulnérabilités, sans que l'utilisateur ait à intervenir

Par exemple : 

  • Interdire les mots de passe par défaut faibles
  • Prévoir l’installation automatique des mises à jour de sécurité, etc.

Transparence pour l’utilisateur

L'objectif est de permettre aux utilisateurs de choisir un produit en tenant compte du niveau de cybersécurité, pas seulement du prix ou des fonctionnalités.

Mesure clé : 

  • Afficher clairement la “date de fin de support” (jusqu’à quand les mises à jour de sécurité sont fournies) sur le produit/l’emballage.

Gestion des vulnérabilités & incidents

Les fabricants doivent signaler :

  • Toutes les vulnérabilités exploitées et les incidents graves affectant la sécurité des produits.
  • Délais : alerte initiale sous 24 h, déclaration complète sous 72 h.

Une plateforme européenne centralisée (avec points de contact nationaux) sera mise en place pour faciliter ces échanges entre fabricants, chaine fonctionnelle d’alerte (CERT Santé, FSSI, DNS, CERT-FR) et l’ENISA. Une page d'information européenne avec une foire aux questions est d'ores et déjà disponible : Accéder à la FAQ 

Évaluation de conformité

 La procédure permettant d'évaluer si les produits sont conformes aux règles du CRA peut varier :

Produits standardsprocédure générale.

Produits sensibles (" importants " ou "critiques ", ex. gestionnaires de mots de passe, pare-feu, cartes à puce,) → procédures d'évaluation plus strictes :

  • Obtenir une certification de cybersécurité de l'UE (ou certification nationale équivalente)
  • audit externe dans le cadre du système législatif actuel sur les produits (NLF)
  • Se conformer aux normes harmonisées reconnues au niveau européen 

Documentation

Cyber Resilience Act Règlement (UE) 2017/745 du Parlement européen relatif aux dispositifs médicaux (MDR) Règlement (UE) 2017/746 du Parlement européen relatif aux dispositifs médicaux de diagnostic in vitro Page d’information européenne, incluant une FAQ (en anglais) Page d'information de l'ANSSI

Un cadre européen structurant pour la cybersécurité

Le Cyber Resilience Act s’impose comme une réglementation européenne clé visant à renforcer la cybersécurité des produits à éléments numériques mis sur le marché européen. Publié par l’Union européenne, ce règlement établit un socle commun d’exigences afin de mieux protéger les usages numériques et d’élever le niveau de sécurité des produits, dès la conception et par défaut. Le CRA s’inscrit ainsi dans une logique de cyber résilience, en intégrant la sécurité comme un élément fondamental de la qualité des produits numériques.

Des objectifs clairs pour renforcer la sécurité des produits numériques

Le Cyber Resilience Act poursuit un objectif central : rendre les produits connectés plus sûrs tout au long de leur cycle de vie. Il repose notamment sur plusieurs principes structurants, qui guident les obligations imposées aux acteurs concernés :

  • L’intégration de la sécurité dès la phase de conception des produits et logiciels,
  • La mise en place de paramètres de sécurité activés par défaut,
  • Une meilleure transparence vis-à-vis des utilisateurs,
  • La gestion continue des vulnérabilités après la mise sur le marché.

Ces exigences traduisent la volonté de la Commission européenne de faire de la cybersécurité un prérequis indispensable à la commercialisation des produits numériques dans l’Union.

Un large périmètre d’acteurs concernés par le règlement

Le champ d’application du CRA est volontairement étendu. Il concerne l’ensemble des fabricants qui mettent des produits à éléments numériques sur le marché européen, y compris lorsqu’ils sont établis hors de l’Union. Sont également concernés les importateurs, distributeurs, certaines fondations open source, ainsi que des organismes d’évaluation et autorités publiques. Cette approche globale vise à garantir un niveau homogène de sécurité, indépendamment de l’origine géographique du produit ou de son mode de distribution.

Des obligations adaptées au secteur de la santé numérique

Dans le secteur de l’e santé, le Cyber Resilience Act s’articule avec les réglementations existantes. Les dispositifs médicaux disposant déjà d’un marquage CE au titre du MDR (Medical Device Regulation) ou de l’IVDR (In Vitro Diagnostic Regulation) ne sont pas soumis au CRA, ces règlements couvrant déjà la sécurité numérique. En revanche, une application, un logiciel ou un objet connecté qui ne relève pas d’un cadre sectoriel spécifique peut être considéré comme un produit à éléments numériques et entre alors dans le périmètre du règlement. Cette distinction permet de clarifier les obligations applicables et de sécuriser les solutions numériques utilisées dans des environnements sensibles.

Une mise en œuvre progressive pour accompagner la conformité

Le Cyber Resilience Act prévoit une application progressive dans l’ensemble des pays de l’Union européenne. L’ensemble des exigences sera pleinement applicable trois ans après l’entrée en vigueur du règlement, laissant aux entreprises le temps nécessaire pour adapter leurs pratiques. Afin d’éviter une charge disproportionnée, des mesures d’assouplissement sont prévues pour les PME et les startups, avec des procédures de conformité simplifiées et un accompagnement par les autorités nationales. Cette progressivité favorise une appropriation réaliste des exigences du CRA par l’ensemble des acteurs du marché.

La cyber résilience comme levier de confiance et de compétitivité

Au-delà de la conformité réglementaire, le Cyber Resilience Act incite les entreprises à structurer une véritable démarche de sécurité autour de leurs produits numériques. En renforçant la gestion des risques cyber et la protection des utilisateurs, la conformité au CRA contribue à améliorer la confiance dans les solutions mises sur le marché européen. Pour les fabricants et éditeurs de logiciels, cette approche proactive représente également un avantage concurrentiel, en affirmant un positionnement fondé sur la qualité, la sécurité et la maîtrise des enjeux de cybersécurité au sein de l’Union européenne.

Afficher plus