Cyber Resilience Act Articles 13 et 14 : Pourquoi un SMSI ne suffit pas
Le CRA exige la sécurité dès la conception, le signalement des vulnérabilités sous 24 heures, les SBOM et le marquage CE. Un SMSI soutient la gouvernance, mais pas la conformité au niveau du produit.
Cyber Resilience Act Articles 13 et 14 : Pourquoi un SMSI ne suffit pas pour les produits comportant des éléments numériques
Le Cyber Resilience Act oblige les fabricants de matériel et de logiciels à mettre en œuvre la sécurité dès la conception, la gestion continue des vulnérabilités et des obligations de signalement pour les vulnérabilités activement exploitées. Ce que beaucoup d'organisations sous-estiment : ces obligations s'étendent tout au long du cycle de vie du produit — et nécessitent des preuves qu'un SMSI seul ne peut fournir.
Un SMSI structure la gouvernance interne. Le CRA exige en outre des exigences de cybersécurité spécifiques au produit dès la phase de conception, le signalement des vulnérabilités activement exploitées sous 24 heures (article 14), des nomenclatures logicielles (SBOM), le marquage CE et des mises à jour de sécurité continues pendant toute la période de support (article 13).
Aller directement à :
- Article 14 : Obligations de signalement des fabricants
- Article 13 : Obligations des fabricants
- Chaîne d'approvisionnement : Obligations des importateurs et distributeurs
Pourquoi un SMSI ne suffit plus sous le Cyber Resilience Act
Le Règlement (UE) 2024/2847 — le Cyber Resilience Act (CRA) — est entré en vigueur le 11 décembre 2024 et deviendra pleinement applicable à partir du 11 décembre 2027. Les obligations de signalement au titre de l'article 14 s'appliquent déjà à partir du 11 septembre 2026.
Le CRA est le premier règlement européen établissant des exigences minimales obligatoires de cybersécurité pour les produits comportant des éléments numériques — qu'il s'agisse de produits grand public à faible coût ou de logiciels B2B à haute valeur.
La différence cruciale avec NIS2, DORA ou le RGPD : Le CRA est centré sur le produit, pas sur l'organisation. Alors qu'un SMSI structure la sécurité d'une organisation, le CRA exige la sécurité au niveau du produit — de la conception au développement jusqu'à toute la durée de vie du produit.
Où un SMSI contribue à la conformité CRA — Fondation organisationnelle
Un bon SMSI fournit la base structurelle pour de nombreuses exigences du CRA :
- Processus de gestion des risques pour l'évaluation des risques de cybersécurité
- Processus documentés pour la gestion des vulnérabilités
- Procédures de réponse aux incidents comme fondation pour les obligations de signalement
- Gestion de la configuration et processus de contrôle des modifications
L'Annexe I du CRA exige que les produits soient « conçus, développés et produits de manière à garantir un niveau approprié de cybersécurité basé sur les risques ». Cela ressemble au domaine du SMSI — et un SMSI peut effectivement servir de fondation ici.
Cependant, le CRA va plus loin sur des points critiques : il exige des preuves spécifiques au produit, des obligations de signalement avec des délais très courts et un marquage CE confirmant la conformité aux exigences de cybersécurité.
Où le CRA va au-delà d'un SMSI
Article 14 : Obligations de signalement des fabricants
Le CRA introduit un régime de signalement à trois niveaux pour les vulnérabilités activement exploitées et les incidents de sécurité graves.
Alerte précoce (24 heures)
Le fabricant doit signaler toute vulnérabilité activement exploitée dont il a connaissance au CSIRT concerné et à l'ENISA sans retard injustifié et en tout état de cause dans les 24 heures.
Le signalement se fait via la Plateforme de signalement unique (SRP) exploitée par l'ENISA au CSIRT de l'État membre où le fabricant a son établissement principal.
Contenu de l'alerte précoce au titre de l'article 14(2)(a) :
| Élément | Description |
|---|---|
| Délai | Sans retard injustifié, en tout état de cause dans les 24 heures suivant la prise de connaissance |
| États membres concernés | Indication des États membres où le produit a été mis à disposition |
| Nature de la vulnérabilité | Classification initiale de la faille de sécurité |
Notification complète (72 heures)
Dans les 72 heures suivant la prise de connaissance, une notification complète de vulnérabilité doit être soumise, sauf si l'information était déjà incluse dans l'alerte précoce.
Contenu de la notification complète au titre de l'article 14(2)(b) :
| Élément | Description |
|---|---|
| Informations générales | Nature de la vulnérabilité et produits concernés |
| Détails techniques | Description de la vulnérabilité et de son impact |
| Gravité | Évaluation de la criticité |
| Mesures prises | Contre-mesures déjà mises en œuvre |
| Recommandations aux utilisateurs | Mesures possibles de réduction des risques |
Rapport final
| Situation | Délai |
|---|---|
| Vulnérabilité activement exploitée | Au plus tard 14 jours après qu'une mesure corrective soit disponible |
| Incident de sécurité grave | Au plus tard 1 mois après la notification à 72 heures |
Le rapport final doit inclure une analyse des causes profondes, les mesures correctives prises et les mesures préventives.
Notification aux utilisateurs
Au titre de l'article 14(8), après avoir pris connaissance d'une vulnérabilité activement exploitée ou d'un incident grave, le fabricant doit informer les utilisateurs concernés — de la vulnérabilité, de l'incident et, le cas échéant, des mesures de réduction des risques.
Si le fabricant ne parvient pas à informer les utilisateurs en temps voulu, le CSIRT concerné peut publier ces informations lui-même.
Article 13 : Obligations des fabricants
Le CRA établit des obligations complètes pour les fabricants tout au long du cycle de vie du produit.
Sécurité dès la conception et par défaut (Article 13(1))
Les fabricants doivent s'assurer que les produits comportant des éléments numériques sont conçus, développés et produits conformément aux exigences essentielles de cybersécurité de l'Annexe I Partie I :
| Exigence | Description |
|---|---|
| Niveau de protection approprié | Les produits doivent garantir un niveau de cybersécurité adapté aux risques |
| Aucune vulnérabilité connue | Les produits ne doivent pas être mis sur le marché avec des vulnérabilités exploitables connues |
| Configuration sécurisée par défaut | Les produits doivent être livrés avec des paramètres sécurisés par défaut |
| Protection contre l'accès non autorisé | Mécanismes d'authentification, d'identité et de contrôle d'accès |
| Protection de la confidentialité | Chiffrement des données au repos et en transit |
| Protection de l'intégrité | Protection contre la manipulation non autorisée des données et fonctions |
| Protection de la disponibilité | Résilience face aux attaques par déni de service |
| Minimisation de la surface d'attaque | Réduction des interfaces externes au strict nécessaire |
Nomenclature logicielle (SBOM)
L'Annexe I Partie II exige des fabricants qu'ils identifient et documentent les vulnérabilités et composants de leurs produits — incluant une nomenclature logicielle (SBOM) dans un format couramment utilisé et lisible par machine couvrant au moins les dépendances de premier niveau.
Le SBOM n'a pas besoin d'être publié mais doit être mis à disposition des autorités de surveillance du marché sur demande.
Pourquoi les obligations SBOM s'appliquent effectivement à partir de septembre 2026 :
L'exigence SBOM ne devient formellement exécutoire que le 11 décembre 2027. Cependant, les obligations de signalement s'appliquent déjà à partir du 11 septembre 2026. Sans SBOM ni surveillance des vulnérabilités, un fabricant ne peut pas savoir si une vulnérabilité nouvellement divulguée affecte son produit — et le délai de 24 heures expire.
Période de support et mises à jour de sécurité (Article 13(8))
Les fabricants doivent déterminer une période de support pendant laquelle ils fournissent des mises à jour de sécurité. Cette période doit :
- Être d'au moins 5 ans (ou plus courte si la durée de vie prévue du produit est plus courte)
- Être communiquée aux utilisateurs avant l'achat
- Inclure des mises à jour de sécurité gratuites
Documentation technique (Article 13 et Annexe VII)
Les fabricants doivent préparer la documentation technique et la conserver pendant 10 ans après la mise sur le marché ou pendant la période de support (la durée la plus longue étant retenue) :
| Document | Description |
|---|---|
| Description du produit | Conception, design et développement |
| Évaluation des risques de cybersécurité | Évaluation des risques au titre de l'article 13(2) |
| SBOM | Nomenclature logicielle des composants |
| Évaluation de conformité | Preuves de conformité aux exigences |
| Déclaration UE de conformité | Déclaration du fabricant |
Pourquoi la due diligence n'est pas un exercice ponctuel
Due diligence pour les composants tiers (Article 13(5))
Lors de l'intégration de composants tiers — y compris des logiciels open source — les fabricants doivent exercer une due diligence pour s'assurer que ces composants ne compromettent pas la cybersécurité du produit.
Signalement des vulnérabilités dans les composants (Article 13(6))
Si un fabricant identifie une vulnérabilité dans un composant, il doit la signaler au fabricant ou au mainteneur de ce composant et remédier à la vulnérabilité conformément aux exigences.
Modifications substantielles (Article 3(31))
Une modification substantielle est tout changement apporté à un produit après sa mise sur le marché qui :
- Peut affecter la conformité aux exigences de cybersécurité, ou
- Constitue un changement de la destination prévue
En cas de modification substantielle, le modificateur devient le fabricant du produit ou de la partie concernée — avec toutes les obligations des articles 13 et 14.
Chaîne d'approvisionnement : Obligations des importateurs et distributeurs
Le CRA établit une chaîne de responsabilité tout au long de la chaîne d'approvisionnement.
Obligations des importateurs (Article 19)
Les importateurs ne peuvent mettre sur le marché que des produits conformes aux exigences de cybersécurité. Avant la mise sur le marché, ils doivent s'assurer :
| Devoir de vérification | Description |
|---|---|
| Évaluation de conformité | Le fabricant a effectué les procédures requises |
| Documentation technique | Le fabricant a préparé la documentation |
| Marquage CE | Le produit porte le marquage CE |
| Déclaration UE de conformité | La déclaration accompagne le produit |
| Information des utilisateurs | Les instructions et informations sont fournies dans une langue compréhensible |
Les importateurs doivent conserver la déclaration UE de conformité et la documentation technique pendant 10 ans et les mettre à disposition des autorités de surveillance du marché sur demande.
Obligations des distributeurs (Article 20)
Avant de mettre un produit à disposition sur le marché, les distributeurs doivent vérifier :
- Le produit porte le marquage CE
- Le fabricant et l'importateur ont rempli leurs obligations
- Tous les documents requis sont fournis
Si un importateur ou un distributeur devient lui-même fabricant (en commercialisant sous son propre nom ou en effectuant une modification substantielle), toutes les obligations des articles 13 et 14 s'appliquent à lui.
Signalement des vulnérabilités par les importateurs et distributeurs
Les importateurs et distributeurs qui prennent connaissance d'une vulnérabilité doivent en informer le fabricant sans délai. S'il existe des indices de non-conformité, ils ne peuvent pas (continuer à) mettre le produit à disposition sur le marché.
Sanctions (Article 64)
Le CRA prévoit un système de sanctions à trois niveaux :
| Violation | Amende | Base juridique |
|---|---|---|
| Exigences essentielles de cybersécurité (Annexe I) et obligations des fabricants (Art. 13, 14) | Jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel | Art. 64(2) |
| Autres obligations (Art. 18-23, 28, 30-33, 39, 41, 47, 49, 53) | Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel | Art. 64(3) |
| Informations fausses ou incomplètes aux autorités | Jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires annuel | Art. 64(4) |
Le montant le plus élevé s'applique dans chaque cas.
Exceptions :
- Les micro-entreprises et petites entreprises sont exemptées d'amendes pour non-respect du délai de 24 heures au titre de l'article 14
- Les responsables de logiciels open source sont exemptés de toutes les amendes au titre du CRA
Mesures supplémentaires des autorités de surveillance du marché :
En plus des amendes, les autorités peuvent retirer des produits du marché, ordonner des rappels ou interdire la mise sur le marché — à l'échelle de l'UE.
SMSI et Trust Center : Deux perspectives sur la conformité
Le CRA crée une nouvelle dimension de responsabilité produit pour la cybersécurité. Un SMSI reste indispensable pour la gouvernance organisationnelle — mais les exigences liées au produit du CRA nécessitent des structures supplémentaires.
Les deux directions d'un Trust Center
En tant que fabricant/vendeur (sortant) :
Les organisations vendant des produits comportant des éléments numériques dans l'UE doivent fournir aux clients et aux autorités des preuves étendues. Un Trust Center consolide cette documentation en un lieu professionnel unique :
| Document | Objectif | Référence CRA |
|---|---|---|
| Déclaration UE de conformité | Preuve de conformité | Art. 13(20) |
| Marquage CE | Marquage de conformité | Art. 30 |
| SBOM (sur demande) | Transparence sur les composants | Annexe I Partie II |
| Documentation technique | Preuve de conformité | Annexe VII |
| Période de support et politique de mise à jour | Information des utilisateurs | Art. 13(8) |
| Politique de divulgation des vulnérabilités | Processus de signalement des vulnérabilités | Annexe I Partie II |
| Certifications (ISO 27001, IEC 62443) | Preuves complémentaires | Art. 27 |
| Rapports de tests d'intrusion | Évaluation indépendante | Annexe I Partie II |
En tant qu'acheteur/intégrateur (entrant) :
Les organisations intégrant des produits comportant des éléments numériques dans leurs propres produits sont tenues d'exercer une due diligence au titre de l'article 13(5). Un Trust Center soutient :
- La collecte et le maintien des preuves et SBOM des fabricants
- La surveillance des mises à jour de sécurité et des vulnérabilités connues
- La documentation de la due diligence dans le choix des composants
- Les preuves de conformité de la chaîne d'approvisionnement pour les propres clients
La double perspective
De nombreuses organisations B2B sont simultanément acheteurs (intégrant des composants tiers) et fabricants (vendant leurs propres produits). Un Trust Center adresse les deux rôles :
- Entrant : Preuves de due diligence lors de l'intégration de composants tiers
- Sortant : Fourniture de toutes les preuves requises aux clients et autorités
Sans Trust Center, cette documentation passe par des e-mails, des demandes individuelles et des processus manuels — incompatibles avec les courts délais du CRA et la complexité des chaînes d'approvisionnement logicielles modernes. Avec un Trust Center, les recherches réactives de documents deviennent un système fonctionnel.
Le calendrier critique
| Date | Obligation |
|---|---|
| 11 décembre 2024 | Le CRA est entré en vigueur |
| 11 juin 2026 | Organismes notifiés autorisés pour l'évaluation de conformité |
| 11 septembre 2026 | Obligations de signalement au titre de l'article 14 applicables — y compris pour les produits déjà sur le marché |
| 11 décembre 2027 | Application complète de toutes les exigences du CRA |
Les obligations de signalement à partir de septembre 2026 sont l'étape critique : les organisations qui n'auront pas mis en œuvre une surveillance des vulnérabilités basée sur les SBOM et des processus de réponse aux incidents d'ici là ne pourront pas respecter le délai de 24 heures.
Les organisations qui connectent gouvernance et communication sont bien positionnées : un SMSI pour la gouvernance interne, un Trust Center pour la communication externe — dans les deux directions de la chaîne d'approvisionnement. Cela transforme l'effort de conformité en un système fonctionnel et la documentation en véritable cyber-résilience.
Sources
- Règlement (UE) 2024/2847 (Cyber Resilience Act) — Texte intégral — Journal officiel de l'Union européenne. Le texte complet du Cyber Resilience Act.
- Commission européenne — Résumé du Cyber Resilience Act — Résumé des dispositions clés.
- Commission européenne — Obligations de signalement CRA — Détails sur les obligations de signalement et la plateforme de signalement unique.
- European Commission - Cyber Resilience Act summary — Informations et orientations du BSI.
- european-cyber-resilience-act.com — Article 13 — Obligations des fabricants.
- european-cyber-resilience-act.com — Article 14 — Obligations de signalement.
- european-cyber-resilience-act.com — Article 64 — Sanctions.
- ENISA — Cartographie des exigences CRA et des normes — Cartographie des exigences du CRA aux normes existantes.