Les objectifs du Règlement (UE) 2024/2847 du 23 octobre 2024, dit Cyber Resilience Act (CRA), sont clairs :
➡️ élever le niveau de cybersécurité dès la conception des produits (security by design)
➡️ réduire les vulnérabilités exploitées dans les chaînes d’approvisionnement numériques
Ce règlement s’inscrit dans la continuité des politiques européennes telles que NIS2 et le Cybersecurity Act, mais va plus loin en imposant des obligations directes aux fabricants et éditeurs de logiciels.
Quels produits sont concernés ?
Le CRA s’applique à tout produit avec des éléments numériques, c’est-à-dire :
-
Logiciels (y compris SaaS dans certains cas)
-
Applications mobiles
-
Objets connectés (IoT)
-
Équipements industriels intégrant du logiciel
-
Systèmes embarqués
⚠️ Sont exclus certains produits déjà couverts par des réglementations spécifiques (ex : dispositifs médicaux, aviation).
👉 Cela concerne directement :
-
les éditeurs de logiciels,
-
les industriels connectés,
-
les plateformes SaaS,
-
les acteurs de la cybersécurité et de la data.
Une obligation majeure : la cybersécurité sur tout le cycle de vie
Le CRA impose une approche complète de la cybersécurité :
1. Sécurité dès la conception (Security by Design)
Les fabricants doivent :
-
intégrer des exigences de cybersécurité dès la phase de conception,
-
limiter les surfaces d’attaque,
-
garantir des configurations sécurisées par défaut.
2. Gestion des vulnérabilités
Les entreprises doivent :
-
identifier et documenter les vulnérabilités,
-
mettre en place un processus de correction,
-
publier des mises à jour de sécurité.
3. Support et maintenance obligatoire
Les produits doivent être maintenus pendant toute leur durée de vie prévue.
➡️ Cela impose une logique de responsabilité continue, y compris après commercialisation.
📌 Source : articles relatifs aux exigences essentielles de cybersécurité – Règlement (UE) 2024/2847
Une obligation de notification des incidents
Le CRA introduit une exigence clé :
➡️ notification des vulnérabilités exploitées activement
Les fabricants doivent :
-
notifier les incidents significatifs à l’ENISA,
-
informer les utilisateurs impactés,
-
documenter les mesures correctives.
⏱️ Délais stricts imposés (ex : notification rapide après détection).
Une classification des produits à risque
Le règlement distingue plusieurs niveaux de criticité :
🔹 Produits standards
Obligations générales de cybersécurité.
🔹 Produits critiques (classes I et II)
Exigences renforcées, notamment :
-
évaluation de conformité plus stricte,
-
contrôles externes,
-
documentation technique approfondie.
👉 Exemple :
-
systèmes d’authentification,
-
logiciels de sécurité,
-
composants critiques d’infrastructure.
Marquage CE et conformité obligatoire
Le CRA introduit une exigence structurante :
➡️ les produits devront être conformes pour être mis sur le marché européen
Cela implique :
-
une évaluation de conformité,
-
une documentation technique complète,
-
un marquage CE spécifique cybersécurité.
📌 Le non-respect entraîne :
-
interdiction de mise sur le marché,
-
sanctions financières importantes.
Quelles sanctions en cas de non-conformité ?
Le règlement prévoit des sanctions significatives :
-
jusqu’à 15 millions d’euros ou
-
2,5 % du chiffre d’affaires mondial annuel
📌 Source : dispositions relatives aux sanctions – Règlement (UE) 2024/2847
Calendrier d’application
-
Entrée en vigueur : 2024
-
Application progressive :
-
obligations principales dans les 36 mois
-
certaines obligations (notification notamment) plus rapides
-
➡️ Les entreprises doivent anticiper dès maintenant.
Impacts concrets pour les entreprises
Le CRA transforme profondément la gestion des produits numériques :
🔴 Risques
-
Non-conformité réglementaire
-
Risque financier élevé
-
Perte d’accès au marché européen
-
Responsabilité accrue en cas de faille
🟢 Opportunités
-
Différenciation par la sécurité
-
Renforcement de la confiance client
-
Structuration des processus internes
-
Avantage concurrentiel sur les marchés européens
Comment KAiSA vous aide à vous mettre en conformité
Le Cyber Resilience Act illustre parfaitement un enjeu clé :
➡️ transformer un texte complexe en obligations opérationnelles
C’est précisément la mission de KAiSA :
-
identification des exigences CRA applicables à votre activité
-
traduction en points d’audit exploitables
-
suivi des obligations de sécurité produit
-
pilotage des plans d’actions
-
veille continue sur les évolutions réglementaires
KAiSA permet ainsi de passer :
👉 d’un règlement dense et technique
👉 à une conformité pilotée, mesurable et sécurisée
Ce qu’il faut retenir
-
Le Cyber Resilience Act crée un standard européen obligatoire de cybersécurité des produits
-
Il impose une responsabilité sur tout le cycle de vie
-
Il introduit des sanctions lourdes et un marquage CE cybersécurité
-
Il nécessite une mise en conformité structurée dès aujourd’hui