CRA Cyber Resilience Act 2027 : Conformité IoT & Logiciels (SBOM, CE)

Plateforme GRC professionnelle pour piloter votre conformité CRA. Gestion SBOM, vulnérabilités ENISA 24h, marquage CE, 3 classes produits. Solution DSI/RSSI éditeurs logiciels et fabricants IoT. Démo gratuite 20min.

Demander une Démo

Qu'est-ce que le Cyber Resilience Act ?

Le Cyber Resilience Act (CRA) est un règlement européen adopté en novembre 2024 qui établit des exigences obligatoires de cybersécurité pour tous les produits comportant des éléments numériques mis sur le marché européen. Il vise à protéger les consommateurs et les entreprises contre les produits connectés vulnérables.

Le CRA s'inscrit dans la stratégie européenne de cybersécurité et complète d'autres réglementations comme NIS2, la directive sur la sécurité des réseaux et des systèmes d'information. Il impose aux fabricants, importateurs et distributeurs de garantir la sécurité de leurs produits tout au long de leur cycle de vie.

Calendrier d'application du CRA

  • Novembre 2024 : Adoption du règlement par le Parlement européen
  • Mi-2025 : Entrée en vigueur officielle du CRA (20 jours après publication au JO)
  • 2027 : Début de l'application obligatoire pour les nouveaux produits
  • 2027-2029 : Période de transition pour certaines catégories de produits

Sanctions CRA

Le non-respect du Cyber Resilience Act expose les fabricants et distributeurs à des amendes administratives pouvant atteindre :

  • 15 millions d'euros ou 2,5% du chiffre d'affaires annuel mondial (le montant le plus élevé)
  • Retrait du produit du marché européen
  • Interdiction de mise sur le marché de nouveaux produits
  • Responsabilité civile en cas de dommages causés par des vulnérabilités

Quels Produits sont Concernés par le CRA ?

Le CRA s'applique à tous les produits comportant des éléments numériques mis sur le marché européen :

Produits concernés

  • Objets connectés (IoT) : montres, caméras, enceintes, thermostats
  • Équipements réseau : routeurs, switches, modems
  • Logiciels et applications (y compris open source commercialisés)
  • Systèmes de contrôle industriel (ICS/SCADA)
  • Dispositifs de sécurité : alarmes, contrôles d'accès
  • Équipements automobiles connectés
  • Équipements médicaux connectés
  • Appareils électroménagers intelligents
  • Composants numériques vendus séparément

Exclusions principales

  • Dispositifs médicaux (couverts par le règlement MDR/IVDR)
  • Véhicules automobiles (couverts par la réglementation spécifique)
  • Composants aéronautiques (couverts par l'AESA)
  • Équipements militaires et de défense
  • Logiciels open source non commercialisés
  • Services cloud purs (sans composant matériel)

Important : Le CRA distingue les produits "critiques" et "hautement critiques" qui sont soumis à des exigences renforcées et à des évaluations de conformité par un organisme notifié.

Les 3 Classes de Produits CRA

1

Produits Classe Standard (par défaut)

La majorité des produits connectés : auto-évaluation de conformité par le fabricant (auto-certification).

Exemples : objets connectés grand public, électroménager intelligent, jouets connectés, wearables

2

Produits Classe I - Importance (Annexe III)

Produits présentant un niveau de risque modéré : certification par un organisme notifié requis dans certains cas.

Exemples : gestionnaires de mots de passe, VPN, systèmes de détection d'intrusion, pare-feu, systèmes d'authentification

3

Produits Classe II - Critiques (Annexe IV)

Produits hautement critiques : certification obligatoire par un organisme notifié et processus d'évaluation renforcé.

Exemples : PKI (infrastructures à clés publiques), HSM (modules de sécurité matériels), cartes à puce, processeurs sécurisés, systèmes de contrôle industriel critiques

Les Exigences Essentielles du CRA

Le CRA impose des exigences de cybersécurité tout au long du cycle de vie du produit :

1. Sécurité by Design (conception sécurisée)

  • • Intégrer la sécurité dès la phase de conception du produit
  • • Analyse de risques de cybersécurité documentée
  • • Architecture de sécurité adaptée au niveau de risque
  • • Principe du moindre privilège et de la surface d'attaque minimale
  • • Mécanismes de mise à jour sécurisée intégrés dès l'origine

2. Protection des données et confidentialité

  • • Chiffrement des données sensibles (au repos et en transit)
  • • Protection de la confidentialité, intégrité et disponibilité des données
  • • Minimisation de la collecte de données (privacy by design)
  • • Mécanismes d'authentification et de contrôle d'accès robustes
  • • Protection contre l'accès non autorisé et la manipulation

3. Résilience et disponibilité

  • • Capacité à résister aux attaques et à se rétablir rapidement
  • • Mécanismes de détection et de réponse aux incidents
  • • Sauvegarde et restauration des données critiques
  • • Tests de résistance aux attaques (fuzzing, pentesting)
  • • Journalisation des événements de sécurité

4. Gestion des vulnérabilités

  • • Processus de gestion des vulnérabilités documenté et opérationnel
  • • Notification des vulnérabilités critiques sous 24h à l'ENISA
  • • Notification aux utilisateurs finaux de manière transparente
  • • Coordination avec les chercheurs en sécurité (vulnerability disclosure)
  • • Publication d'un SBOM (Software Bill of Materials)

5. Mises à jour de sécurité

  • • Fourniture de mises à jour de sécurité pendant toute la durée de support annoncée
  • • Durée de support minimale : 5 ans ou durée de vie attendue du produit
  • • Mécanisme de mise à jour automatique sécurisé (signature, chiffrement)
  • • Information claire aux utilisateurs sur les mises à jour disponibles
  • • Possibilité pour l'utilisateur de contrôler le moment des mises à jour (sauf urgence)

6. Documentation et transparence

  • • Instructions d'utilisation sécurisée claires et accessibles
  • • Déclaration de conformité CE détaillée
  • • Documentation technique pour les autorités de surveillance
  • • Information sur la durée de support et les mises à jour
  • • Contact pour signaler les vulnérabilités (Security.txt recommandé)

7. Chaîne d'approvisionnement sécurisée

  • • Sécurité des composants tiers et des dépendances
  • • Publication d'un SBOM (Software Bill of Materials) à jour
  • • Due diligence sur les fournisseurs et sous-traitants
  • • Processus de développement sécurisé (DevSecOps)
  • • Intégrité du code source et des binaires

7 Étapes pour se Conformer au CRA

1

Identifier vos produits concernés

Cartographiez tous vos produits comportant des éléments numériques. Déterminez leur classe (standard, importante, critique) selon les annexes III et IV du CRA.

2

Réaliser une analyse de risques de cybersécurité

Pour chaque produit, identifiez les menaces, vulnérabilités et impacts potentiels. Évaluez les risques selon leur probabilité et gravité. Documentez le tout.

3

Intégrer la sécurité by design

Refondez vos processus de développement pour intégrer la sécurité dès la conception. Adoptez des pratiques DevSecOps, revues de code sécurisées, tests de sécurité automatisés.

4

Implémenter les exigences techniques

Mettez en place les contrôles de sécurité requis : chiffrement, authentification, mise à jour sécurisée, journalisation, mécanismes de résilience, protection des données.

5

Mettre en place la gestion des vulnérabilités

Créez un processus de vulnerability disclosure, un PSIRT (Product Security Incident Response Team), des procédures de notification à l'ENISA et aux utilisateurs.

6

Préparer la documentation de conformité

Constituez le dossier technique : déclaration UE de conformité, documentation utilisateur, SBOM, analyse de risques, preuves de conformité aux exigences essentielles.

7

Certification si nécessaire et marquage CE

Pour les produits classe I et II, faites certifier votre produit par un organisme notifié. Apposez le marquage CE et notifiez le produit dans la base de données européenne.

Durée du projet : Comptez 12 à 24 mois pour une mise en conformité complète, selon la maturité de vos processus de sécurité et la complexité de vos produits.

Recommandation : Commencez dès maintenant, même si l'application obligatoire est en 2027. Les changements organisationnels et techniques sont profonds.

Comment OwlCub Vous Aide à Vous Conformer au CRA

Inventaire des produits connectés

Cartographiez tous vos produits comportant des éléments numériques. Classification automatique selon les catégories CRA (standard, importance, critique).

Analyse de risques cyber par produit

Méthodologie guidée pour l'analyse de risques de cybersécurité conforme aux exigences CRA. Identification des menaces, vulnérabilités et impacts.

Checklist des exigences essentielles

Vérifiez la conformité de vos produits aux exigences essentielles du CRA. Suivi de l'avancement par produit et par exigence avec preuves de conformité.

Gestion des vulnérabilités produit

Processus complet de vulnerability management : disclosure, évaluation, notification ENISA, communication utilisateurs, tracking des correctifs.

Gestion des SBOM

Importez et maintenez vos Software Bill of Materials (SBOM). Détection automatique des vulnérabilités dans les dépendances. Alertes CVE.

Dossier technique de conformité

Générateur de déclaration UE de conformité, documentation technique, preuves de conformité. Tout prêt pour l'audit et la certification.

Commencer CRA

Questions Fréquentes sur le Cyber Resilience Act

Le CRA s'applique-t-il aux logiciels open source ?

Le CRA distingue deux cas : (1) Les logiciels open source non commercialisés (gratuits, développés de manière collaborative sans contrepartie économique) sont exclus du CRA. (2) Les logiciels open source commercialisés (vendus, distribués avec un support payant, intégrés dans une offre commerciale) sont soumis au CRA comme tout autre produit. Le fabricant ou distributeur commercial est responsable de la conformité. Cette distinction vise à ne pas freiner l'innovation open source tout en garantissant la sécurité des produits commerciaux.

Quelle est la différence entre le CRA et NIS2 ?

Le CRA (Cyber Resilience Act) s'applique aux fabricants de produits connectés et impose des exigences de sécurité produit (conception sécurisée, mises à jour, gestion des vulnérabilités). NIS2 s'applique aux opérateurs de services essentiels et importants (entreprises utilisant ces produits) et impose des mesures de cybersécurité organisationnelles (gouvernance, gestion des risques, réponse aux incidents). Les deux règlements sont complémentaires : NIS2 oblige les entreprises à sécuriser leurs opérations, le CRA oblige les fabricants à fournir des produits sécurisés. Une entreprise peut être soumise aux deux réglementations.

Qu'est-ce qu'un SBOM et pourquoi est-il obligatoire ?

Un SBOM (Software Bill of Materials) est un inventaire exhaustif de tous les composants logiciels (bibliothèques, dépendances, frameworks) utilisés dans un produit. Le CRA impose la publication d'un SBOM pour permettre : (1) l'identification rapide des vulnérabilités affectant des composants tiers, (2) la traçabilité de la chaîne d'approvisionnement logicielle, (3) la transparence sur les dépendances pour les utilisateurs. Le SBOM doit être au format standardisé (SPDX ou CycloneDX), tenu à jour et accessible. C'est un élément clé de la sécurité de la supply chain.

Combien de temps dois-je fournir des mises à jour de sécurité ?

Le CRA impose une durée de support minimale de 5 ans à compter de la mise sur le marché, ou la durée de vie attendue du produit si elle est supérieure. Cette durée doit être clairement communiquée aux utilisateurs au moment de l'achat. Pendant cette période, le fabricant doit fournir gratuitement toutes les mises à jour de sécurité nécessaires. Après cette période, le fabricant doit informer les utilisateurs de la fin du support. Cette exigence vise à lutter contre l'obsolescence prématurée et les produits abandonnés qui deviennent des risques de sécurité.

Que se passe-t-il si je découvre une vulnérabilité critique dans mon produit ?

Le CRA impose des délais stricts : (1) Notification à l'ENISA dans les 24 heures suivant la découverte d'une vulnérabilité activement exploitée ou critique. (2) Information des utilisateurs finaux sans délai injustifié, avec les mesures d'atténuation temporaires et le calendrier de déploiement du correctif. (3) Publication d'un patch de sécurité dans les meilleurs délais (généralement sous 14 à 30 jours pour une vulnérabilité critique). Le non-respect de ces obligations peut entraîner des sanctions importantes. Il est donc essentiel de mettre en place un processus de gestion des vulnérabilités opérationnel avant la mise sur le marché.

Mon produit est déjà certifié ISO 27001, suis-je conforme au CRA ?

Non, la certification ISO 27001 démontre que votre organisation a mis en place un système de management de la sécurité de l'information, mais elle ne garantit pas la conformité de vos produits aux exigences du CRA. Le CRA évalue la sécurité intrinsèque du produit lui-même (architecture, fonctionnalités de sécurité, processus de mise à jour, gestion des vulnérabilités produit), pas l'organisation qui le développe. En revanche, ISO 27001 est un excellent fondement pour construire votre conformité CRA, car beaucoup de processus sont similaires (gestion des risques, secure development, incident response). Considérez l'ISO 27001 comme un prérequis utile, mais pas suffisant.

Anticipez le Cyber Resilience Act Dès Maintenant

OwlCub vous accompagne dans votre préparation au CRA avec une plateforme complète de gestion de la conformité produit.

Réserver une démonstration gratuite