Ce que le règlement CRA change pour les entreprises
L’Union européenne avec son règlement Cyber Resilience Act, entend imposer un niveau minimal de sécurité pour les produits comportant des éléments numériques.
Concrètement, ce texte concerne les produits matériels et logiciels connectés ou intégrant des fonctionnalités numériques : logiciels, objets connectés, équipements informatiques, composants, solutions embarquées ou encore certains services de traitement de données à distance nécessaires au fonctionnement du produit.
L’objectif est simple : éviter que des produits insuffisamment sécurisés deviennent des portes d’entrée pour des cyberattaques.
Pourquoi ce règlement est important pour les entreprises ?
Aujourd’hui, de nombreuses failles de sécurité proviennent de produits numériques mal conçus, mal maintenus ou insuffisamment mis à jour. Un logiciel non corrigé, un objet connecté vulnérable ou un composant tiers mal maîtrisé peuvent compromettre toute une organisation.
Le règlement européen cherche donc à changer la logique : la cybersécurité ne doit plus être ajoutée après coup. Elle doit être intégrée dès la conception du produit, puis suivie pendant toute sa durée de vie.
Pour les entreprises, cela signifie que la cybersécurité devient un sujet de conformité, mais aussi de compétitivité. Un produit plus sûr inspire davantage confiance aux clients, aux partenaires et aux donneurs d’ordre.
Pour comprendre les enjeux, nous vous invitons notamment à consulter The Wolf avec Christian Slater de HP Studios disponible sur youtube :
https://www.youtube.com/watch?v=Bo4dY8X2QFg /
https://www.youtube.com/watch?v=b7i3luPRoYk
Quelles entreprises sont concernées ?
Le règlement vise principalement les opérateurs économiques qui mettent sur le marché européen des produits comportant des éléments numériques. Cela concerne notamment :
→ les fabricants, qui conçoivent ou commercialisent ces produits ;
→les importateurs, qui introduisent sur le marché européen des produits venant de pays tiers ;
→ les distributeurs, qui mettent ces produits à disposition des clients ; →les entreprises qui modifient substantiellement un produit numérique déjà existant.
Une entreprise qui développe une solution logicielle, vend un équipement connecté ou intègre des composants numériques dans un produit devra donc vérifier si elle entre dans le champ du règlement.
Ce que le règlement impose concrètement Le texte impose plusieurs obligations fortes notamment :
→les fabricants devront réaliser une évaluation des risques de cybersécurité liés à leurs produits, dès les phases de conception, de développement, de production, de livraison et de maintenance.
→les produits devront respecter des exigences essentielles de cybersécurité : limiter les vulnérabilités, empêcher les accès non autorisés, protéger les données et permettre la correction des failles par des mises à jour de sécurité.
→ une gestion continue des vulnérabilités. Les fabricants devront suivre les failles identifiées, les corriger et fournir des mises à jour de sécurité pendant une période d’assistance définie. Cette période devra en principe être d’au moins 5 ans, sauf lorsque la durée d’utilisation prévue du produit est plus courte.
→ la transparence. Les entreprises devront être capables de produire une documentation technique, une déclaration UE de conformité et, selon les cas, une nomenclature des logiciels ou des composants utilisés. Le marquage CE jouera également un rôle dans la démonstration de conformité.
Enfin, en cas de vulnérabilité activement exploitée ou d’incident grave affectant la sécurité du produit, les fabricants devront notifier au CERT-FR de l’ANSSI, via la plateforme unique de signalement gérée par l’ENISA dans des délais courts. Une première alerte doit être transmise sous 24 heures, puis une notification plus complète sous 72 heures.
Un calendrier à ne pas sous-estimer
Même si l’application générale du règlement est prévue pour décembre 2027, certaines obligations arrivent plus tôt, notamment celles liées au signalement des vulnérabilités et incidents graves à partir de septembre 2026. Les entreprises ont donc intérêt à anticiper dès maintenant.
Quels risques en cas de non-conformité ?
Le règlement prévoit des sanctions importantes telles que des amendes pouvant atteindre plusieurs millions d’euros ou un pourcentage du chiffre d’affaires annuel mondial. L’enjeu est aussi commercial, un produit non conforme pourra être retiré du marché, rappelé ou faire l’objet de restrictions.
Comment les entreprises peuvent se préparer ?
Premièrement, il faut identifier les produits concernés, cartographier les logiciels, matériels, composants et services numériques mis sur le marché.
Il faut ensuite clarifier le rôle de l’entreprise : fabricant, importateur, distributeur ou intégrateur. Les obligations ne sont pas identiques selon la position occupée dans la chaîne de valeur.
La troisième étape consiste à intégrer la cybersécurité dans le cycle de vie du produit : analyse de risques, sécurité dès la conception, gestion des vulnérabilités, politique de mises à jour, documentation, suivi des incidents et relation avec les fournisseurs.
Enfin, les entreprises doivent préparer une procédure interne de notification. En cas de vulnérabilité exploitée ou d’incident grave.
Un changement de culture
Le règlement sur la cyberrésilience marque une évolution importante : la cybersécurité devient une exigence de qualité produit. Pour les entreprises, ce texte ne doit pas seulement être vu comme une contrainte réglementaire. Il peut aussi devenir un levier de confiance, de différenciation et de professionnalisation.
