2026-03-07
By Emre SalmanogluCyber Resilience Act (CRA) : ce qu'il exige, qui est concerne et comment se preparer
Guide pratique du Cyber Resilience Act de l'UE — ce que le CRA exige pour les produits comportant des elements numeriques, qui est concerne, les exigences essentielles de securite, les procedures d'evaluation de la conformite et comment les editeurs de logiciels peuvent se preparer.
CRA
Cyber Resilience Act
Reglementation UE
Securite des produits
Securite logicielle
Marquage CE
Cyber Resilience Act (CRA) : ce qu'il exige, qui est concerne et comment se preparer
Le Cyber Resilience Act (CRA) est le reglement de l'UE etablissant des exigences obligatoires de cybersecurite pour les produits comportant des elements numeriques. Adopte en 2024, avec une mise en oeuvre progressive jusqu'a decembre 2027, le CRA comble une lacune critique dans la legislation europeenne de cybersecurite en abordant la securite des produits avant leur mise sur le marche.
Pour les entreprises de logiciels B2B, le CRA represente un changement fondamental : la cybersecurite n'est plus une fonctionnalite volontaire mais un prerequis legal pour l'acces au marche de l'UE. Les produits doivent etre concus avec la securite a l'esprit, les vulnerabilites doivent etre activement gerees, et les fabricants doivent fournir des mises a jour de securite tout au long du cycle de vie du produit.
Ce guide couvre ce que le CRA exige, a qui il s'applique, les obligations essentielles de conformite et comment les editeurs de logiciels peuvent se preparer.
Champ d'application et applicabilite du CRA
Que sont les produits comportant des elements numeriques
Le CRA couvre tout produit logiciel ou materiel et ses solutions de traitement de donnees a distance mis sur le marche de l'UE :
| Categorie | Exemples |
|---|---|
| Logiciel autonome | Applications de bureau, applications mobiles, plateformes SaaS |
| Systemes d'exploitation | OS de bureau, OS mobile, OS embarque |
| Appareils IoT | Appareils domestiques connectes, objets portables, appareils connectes |
| Equipements reseau | Routeurs, commutateurs, pare-feu, points d'acces |
| Systemes industriels | Automates programmables, systemes SCADA, IoT industriel |
| Composants | Bibliotheques logicielles, SDK, micrologiciels, microcontroleurs |
Classification des produits
Le CRA categorise les produits par niveau de risque, determinant l'evaluation de conformite requise :
| Categorie | Evaluation | Exemples |
|---|---|---|
| Par defaut | Auto-evaluation (si les normes harmonisees s'appliquent) | Logiciels generalistes, enceintes connectees, jeux |
| Important Classe I | Auto-evaluation avec normes harmonisees, ou tiers | Gestion d'identite, gestionnaires de mots de passe, VPN, SIEM, gestion de reseau |
| Important Classe II | Tiers obligatoire (organisme notifie) | Systemes d'exploitation, hyperviseurs, pare-feu, microcontroleurs, cartes a puce, automatisation industrielle |
| Critique | Tiers obligatoire (certification UE) | Modules de securite materielle, passerelles de compteurs intelligents, cartes a puce pour signatures electroniques qualifiees |
Qui doit se conformer
| Role | Obligations |
|---|---|
| Fabricants | Concevoir des produits securises, realiser l'evaluation de conformite, fournir des mises a jour, signaler les vulnerabilites, maintenir la documentation technique, marquage CE |
| Importateurs | Verifier la conformite du fabricant, s'assurer du marquage CE, conserver les declarations disponibles, signaler les produits non conformes |
| Distributeurs | Verifier le marquage CE, s'assurer de la documentation de conformite, signaler les produits non conformes |
| Open source (non commercial) | Exemptes de la plupart des obligations ; les intendants open source ont des exigences de transparence allegees |
Exigences essentielles de cybersecurite
Exigences de securite des produits (Annexe I, Partie I)
Les produits comportant des elements numeriques doivent satisfaire ces exigences essentielles :
Conception et developpement
- Concus, developpes et produits pour assurer un niveau de cybersecurite adapte base sur l'evaluation des risques
- Livres sans vulnerabilites connues exploitables
- Configuration securisee par defaut, incluant la possibilite de reinitialiser a l'etat securise d'origine
- Protection contre l'acces non autorise avec authentification et gestion des identites appropriees
Protection des donnees
- Proteger la confidentialite des donnees stockees, transmises et traitees (chiffrement au repos et en transit)
- Proteger l'integrite des donnees, commandes et configurations contre la manipulation
- Traiter uniquement les donnees adequates, pertinentes et limitees a l'usage prevu (minimisation des donnees)
Resilience et disponibilite
- Concus pour assurer la disponibilite, incluant la resilience contre les attaques par deni de service
- Minimiser l'impact negatif sur la disponibilite des services fournis par d'autres appareils ou reseaux
- Reduire les surfaces d'attaque, incluant les interfaces externes
- Concus pour limiter l'impact d'un incident grace a des mecanismes d'attenuation d'exploitation adaptes
Surveillance et journalisation
- Fournir des capacites de journalisation et de surveillance des evenements de securite
- Capacite de detection et de signalement des evenements de securite
- Mecanismes de distribution securisee des mises a jour
Exigences de gestion des vulnerabilites (Annexe I, Partie II)
Les fabricants doivent etablir et maintenir :
| Exigence | Description |
|---|---|
| Identification des vulnerabilites | Identifier et documenter les vulnerabilites, y compris par des tests reguliers et des rapports de tiers |
| Documentation des composants | Maintenir un Software Bill of Materials (SBOM) identifiant les composants et dependances |
| Mises a jour de securite | Appliquer des mises a jour efficaces et regulieres, fournies gratuitement pendant la periode de support |
| Divulgation des vulnerabilites | Mettre en oeuvre une politique de divulgation coordonnee des vulnerabilites |
| Partage d'information | Partager en temps opportun les informations sur les vulnerabilites corrigees |
| Distribution des mises a jour | Fournir des mecanismes securises de distribution des mises a jour |
| Avis de securite | Diffuser des avis sur les vulnerabilites et les correctifs disponibles |
Signalement des incidents et des vulnerabilites
Signalement a l'ENISA
Les fabricants doivent signaler a l'ENISA (via une plateforme de signalement unique) :
| Evenement | Notification initiale | Notification complete | Rapport final |
|---|---|---|---|
| Vulnerabilite activement exploitee | 24 heures | 72 heures | 14 jours |
| Incident grave impactant la securite | 24 heures | 72 heures | 14 jours |
L'ENISA transmet les notifications aux CSIRT nationaux concernes et aux autorites de surveillance du marche.
Notification aux utilisateurs
Les fabricants doivent egalement :
- Informer les utilisateurs des incidents et des vulnerabilites activement exploitees
- Fournir des conseils sur les mesures potentielles d'attenuation des risques
- Lorsque possible, fournir des mesures correctives (correctifs, solutions de contournement)
Delai de signalement
L'obligation de signalement s'applique pendant toute la duree de vie attendue du produit ou pendant un minimum de cinq ans a compter de la mise sur le marche du produit, selon la duree la plus courte.
Evaluation de conformite et marquage CE
Procedures d'evaluation
| Procedure | Applicable a | Processus |
|---|---|---|
| Controle interne (auto-evaluation) | Produits par defaut ; Classe I avec normes harmonisees | Le fabricant evalue par rapport aux exigences, cree la documentation technique, emet la declaration UE de conformite |
| Examen UE de type | Classe I sans normes harmonisees ; Classe II ; produits critiques | Un organisme notifie examine la conception technique et un echantillon du produit |
| Assurance qualite complete | Alternative pour Classe I/II | Un organisme notifie approuve et surveille le systeme d'assurance qualite du fabricant |
| Certification UE | Produits critiques lorsque specifie | Certification dans le cadre d'un schema de certification de cybersecurite de l'UE |
Documentation technique
Les fabricants doivent preparer et maintenir une documentation technique comprenant :
- Description generale du produit et usage prevu
- Details de conception et de developpement pertinents pour la cybersecurite
- Evaluation des risques et moyens de satisfaire les exigences essentielles
- Liste des normes harmonisees appliquees (ou autres solutions)
- Rapports de tests des evaluations de cybersecurite
- Software Bill of Materials (SBOM)
- Declaration UE de conformite
- Informations sur les mises a jour de securite et la periode de support
Marquage CE
Les produits satisfaisant toutes les exigences applicables recoivent le marquage CE, qui :
- Indique la conformite aux exigences essentielles de cybersecurite
- Est requis pour la mise sur le marche de l'UE
- Doit etre appose de maniere visible, lisible et indelebile
- Pour les produits uniquement logiciels, peut etre inclus dans la documentation ou l'interface numerique
Calendrier de mise en oeuvre du CRA
| Date | Etape |
|---|---|
| 2024 | CRA adopte et entre en vigueur |
| Septembre 2026 | Obligations de signalement pour les fabricants (signalement des vulnerabilites et incidents a l'ENISA) |
| Decembre 2027 | Toutes les exigences du CRA pleinement applicables, incluant l'evaluation de conformite et le marquage CE |
CRA et autres referentiels
CRA et NIS2
| Aspect | CRA | NIS2 |
|---|---|---|
| Objet | Securite des produits (pre-marche) | Cybersecurite organisationnelle (operationnelle) |
| Perimetre | Produits comportant des elements numeriques | Entites essentielles et importantes |
| Nature | Reglement (directement applicable) | Directive (necessite une transposition) |
| Evaluation | Evaluation de conformite avant la mise sur le marche | Gestion des risques et signalement des incidents en exploitation |
| Signalement | Vulnerabilites activement exploitees a l'ENISA | Incidents significatifs aux autorites competentes |
| Relation | Complementaires — le CRA securise le produit, NIS2 securise l'organisation qui l'utilise |
CRA et ISO 27001
| Aspect | ISO 27001 | Ajouts du CRA |
|---|---|---|
| Objet | SMSI organisationnel | Securite au niveau du produit |
| Gestion des vulnerabilites | A.8.8 Gestion des vulnerabilites techniques | SBOM obligatoire, divulgation coordonnee, correctifs gratuits |
| Signalement des incidents | Procedures internes | Signalement a l'ENISA sous 24/72 heures |
| Developpement securise | A.8.25-A.8.31 Securite applicative | Conception securisee par defaut obligatoire |
| Chaine d'approvisionnement | A.5.19-A.5.23 Securite des fournisseurs | Documentation des composants et exigences SBOM |
Se preparer a la conformite CRA
Pour les fabricants de logiciels
- Classifiez votre produit — Determinez si votre produit est par defaut, Important Classe I/II ou critique
- Analyse des ecarts — Cartographiez les pratiques de securite actuelles par rapport aux exigences essentielles du CRA (Annexe I)
- Cycle de developpement securise — Mettez en oeuvre ou renforcez les pratiques SDL, incluant la modelisation des menaces et les tests de securite
- Gestion des vulnerabilites — Etablissez la divulgation coordonnee des vulnerabilites, la gestion des correctifs et les processus d'avis de securite
- Creation du SBOM — Generez et maintenez un Software Bill of Materials pour tous les produits
- Documentation technique — Preparez la documentation demontrant la conformite aux exigences essentielles
- Preparation au signalement — Developpez la capacite de signalement des vulnerabilites et incidents a l'ENISA sous 24 heures
- Planification de la periode de support — Definissez et communiquez la periode de support securite pour chaque produit
Pour les entreprises SaaS B2B
- Determinez l'applicabilite — Evaluez si votre SaaS constitue un produit comportant des elements numeriques ou un traitement de donnees a distance
- Revoyez les contrats clients — Preparez-vous aux exigences contractuelles alignees sur le CRA de la part des acheteurs entreprises
- Renforcez la gestion des vulnerabilites — Mettez en oeuvre la generation de SBOM, l'analyse de vulnerabilites et la divulgation coordonnee
- Publiez sur le Trust Center — Rendez la documentation de securite, les processus de gestion des vulnerabilites et les preuves de conformite accessibles aux acheteurs
- Planifiez l'evaluation de conformite — Determinez la voie d'evaluation appropriee et preparez-vous en consequence
- Surveillez les normes harmonisees — Suivez le developpement des normes harmonisees qui permettront l'auto-evaluation pour les produits Classe I
Comment Orbiq accompagne la conformite CRA
- Trust Center — Publiez votre posture de conformite CRA — pratiques de developpement securise, processus de gestion des vulnerabilites, disponibilite du SBOM et politiques de mises a jour de securite en libre-service pour les acheteurs
- Surveillance continue — Suivez les exigences essentielles du CRA a travers vos controles de securite produit avec un statut de conformite en temps reel
- Gestion des preuves — Centralisez la documentation technique, les rapports de tests de securite et les registres de vulnerabilites cartographies aux exigences de l'Annexe I du CRA
- Questionnaires alimentes par l'IA — Repondez automatiquement aux questions des questionnaires de securite lies au CRA des clients entreprises
Pour aller plus loin
- Conformite NIS2 — Comprendre la relation entre la securite produit du CRA et la securite organisationnelle NIS2
- Conformite DORA — Implications du CRA pour les fournisseurs TIC au service du secteur financier
- Test d'intrusion — Satisfaire les exigences de tests de securite du CRA
- Reponse aux incidents — Developper les capacites de signalement pour les notifications de vulnerabilites et d'incidents du CRA
Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.