Pourquoi le Cyber Resilience Act (CRA) n’est pas une mise en conformité de plus, mais un changement de doctrine pour quiconque met un produit numérique sur le marché européen ?
Le 11 décembre 2027, le marquage CE intégrera officiellement la cybersécurité. Pour la première fois dans l’histoire de l’Union, la sécurité des produits numériques cesse d’être une promesse marketing ou un argument différenciant : elle devient une exigence réglementaire opposable, sanctionnable et inscrite au cœur de la conformité produit. À l’approche de l’échéance et de la première vague d’obligations de signalement, les fabricants, importateurs, distributeurs et éditeurs qui considèrent encore le Cyber Resilience Act comme un sujet à traiter plus tard prennent un risque industriel concret.
Cet article propose un décryptage opérationnel du règlement (UE) 2024/2847, plus connu sous le nom de Cyber Resilience Act (CRA), et trace une trajectoire de mise en conformité crédible pour les organisations qui conçoivent, intègrent ou commercialisent des produits comportant des éléments numériques.
Un règlement qui clôt une asymétrie historique
Pendant trente ans, le numérique a été l’unique secteur où l’on pouvait commercialiser un produit en se déresponsabilisant de ses défauts de sécurité. Une voiture rappelée, un médicament retiré, un jouet interdit : la conformité produit existe depuis longtemps pour les biens physiques. Pour un firmware vulnérable, un objet connecté laissé sans correctif, ou une bibliothèque open source intégrée puis abandonnée, l’utilisateur final restait — et reste encore — le dernier rempart face au risque.
Le CRA met fin à cette asymétrie. Entré en vigueur le 10 décembre 2024, le règlement applique ses obligations principales à partir du 11 décembre 2027, et ses obligations de signalement dès le 11 septembre 2026, en application de l’article 71. Il s’inscrit dans le prolongement de la stratégie européenne de cybersécurité et complète directement la directive NIS 2 : là où NIS 2 régule les organisations, le Cyber Resilience Act régule les produits. La continuité est volontaire — et structurante.
Pour les équipes de conception, de gouvernance et de cybersécurité, cela signifie une chose : la sécurité ne peut plus être un correctif tardif. Elle devient une propriété intrinsèque du produit, vérifiable, documentée, et accompagnée d’engagements de long terme.
Un périmètre d’application horizontal
Le Cyber Resilience Act (CRA) s’applique à tous les produits comportant des éléments numériques (PDE) mis sur le marché européen, qu’ils soient matériels ou logiciels, dès lors qu’ils sont susceptibles d’établir une connexion logique ou physique, directe ou indirecte, avec un autre dispositif ou un réseau. Sont également couvertes les solutions de traitement à distance lorsqu’elles sont conçues ou développées par le fabricant — ou pour son compte — et nécessaires à une fonction du produit. La définition est délibérément englobante.
Pour mesurer cette portée, il faut sortir des exemples cyber qui viennent spontanément à l’esprit. Le CRA couvre avant tout l’écosystème quotidien du citoyen et de l’entreprise européens : montres et traqueurs connectés, thermostats et systèmes domotiques, serrures intelligentes, jouets interactifs, caméras de surveillance grand public, équipements industriels connectés, applications mobiles et logiciels professionnels. Les produits « cyber » au sens strict, comme les pares-feux, SIEM, VPN ou gestionnaires de mots de passe, n’en représentent qu’une fraction, certes plus exigeante en termes de procédure de conformité.
L’article 2 du règlement prévoit par ailleurs un certain nombre d’exclusions sectorielles, notamment lorsque des produits relèvent déjà d’autres législations européennes harmonisées, ainsi que pour les produits développés exclusivement pour la défense et la sécurité nationale. La portée précise de chaque exclusion doit être vérifiée au cas par cas. Dans la plupart des chaînes de valeur industrielles européennes, au moins un produit relève néanmoins du CRA.
La distinction la plus structurante porte ensuite sur la classification du produit, qui détermine la rigueur du processus d’évaluation de conformité :
- Les produits standards — l’écrasante majorité du marché, des jouets connectés aux appareils domestiques — relèvent d’une auto-évaluation par le fabricant.
- Les produits importants, répartis en deux classes selon leur criticité, exigent une procédure renforcée. La classe I regroupe par exemple les gestionnaires de mots de passe, certains routeurs domestiques et les solutions VPN grand public ; la classe II couvre notamment pare-feu, IDS/IPS, systèmes d’exploitation à usage général, hyperviseurs et certains composants sécurisés.
- Les produits critiques relèvent du régime le plus exigeant : leur conformité doit, lorsqu’un schéma de certification européen pertinent est disponible, être démontrée par une procédure adaptée au niveau d’assurance requis.
Le règlement raisonne par fonctionnalité principale : un ordinateur portable n’est pas un produit critique parce qu’il intègre un secure element, mais ce secure element commercialisé séparément peut relever du régime renforcé. Cette distinction conditionne directement le processus d’évaluation que devra mener le fabricant.
Les exigences essentielles
L’annexe I du règlement constitue le cœur opérationnel du texte. Elle énumère les exigences essentielles de cybersécurité que tout produit concerné doit satisfaire. Sans entrer dans une exégèse exhaustive, six grands principes structurent l’édifice :
- Conception sécurisée et par défaut.
- Absence de vulnérabilités exploitables connues au moment de la mise sur le marché.
- Mécanisme de mise à jour sécurisé.
- Gestion des vulnérabilités sur toute la période de support.
- Production et tenue à jour d’une nomenclature logicielle.
- Période de support explicite, d’au moins cinq ans, sauf cycle de vie attendu plus court justifié par le fabricant.
Le texte impose aussi la conservation de la documentation technique pendant dix ans après la mise sur le marché.
Pour des équipes habituées à raisonner par projet et par sprint, ce passage à un engagement de long terme sur la résilience est probablement le changement culturel le plus profond induit par le règlement.
Le reporting incident
C’est l’obligation la plus immédiate, et probablement la plus sous-estimée. À compter du 11 septembre 2026, en application de l’article 14, les fabricants devront signaler à l’ENISA et au CSIRT national concerné toute vulnérabilité activement exploitée affectant l’un de leurs produits, ainsi que tout incident de sécurité grave touchant la sécurité du produit.
Le calendrier de notification suit une logique d’escalade :
- Alerte précoce sous 24 heures dès la connaissance d’une exploitation active ou d’un incident grave.
- Notification structurée sous 72 heures, avec une évaluation initiale de la gravité et de l’impact.
- Rapport final sous 14 jours une fois la mesure corrective ou de mitigation disponible pour les vulnérabilités exploitées, ou un mois après la notification initiale pour les incidents graves.
L’ENISA déploie à cet effet une plateforme unique de signalement, opérationnelle au 11 septembre 2026 ; les fabricants déposent un signalement unique, relayé ensuite aux autorités compétentes.
Pour une organisation qui n’a jamais structuré son PSIRT, son canal CVD ou ses workflows de notification, quatre mois ne suffiront pas. C’est particulièrement vrai pour les fabricants dont les produits sont déjà sur le marché : l’obligation de signalement s’applique dès septembre 2026, indépendamment du basculement complet du règlement en décembre 2027.
Le calendrier qui ne pardonne pas
Le Cyber Resilience Act est l’un des rares règlements européens à comporter une rampe d’application graduée mais sans dispositif d’amnistie. Trois jalons doivent être inscrits dans tout schéma directeur cyber 2026-2027 :
| Date | Échéance |
| 11 juin 2026 | Application des règles relatives à la désignation des organismes notifiés. |
| 11 septembre 2026 | Entrée en vigueur des obligations de signalement de l’article 14. |
| 11 décembre 2027 | Application complète du règlement à tout produit nouvellement mis sur le marché européen. |
Les produits placés sur le marché avant le 11 décembre 2027 ne sont pas rétroactivement soumis aux exigences principales du CRA, sauf modification substantielle ultérieure. En revanche, les obligations de signalement de l’article 14 s’appliquent dès le 11 septembre 2026, y compris au parc déjà commercialisé.
S’ajoute la notion de modification substantielle : une mise à jour modifiant l’usage prévu ou augmentant significativement le risque cyber d’un produit existant peut rebasculer ce produit dans le périmètre CRA, même s’il avait été commercialisé avant 2027. La portée précise de cette notion fera l’objet de lignes directrices de la Commission, mais elle doit dès aujourd’hui être intégrée dans les décisions de version produit.
CRA et NIS 2 : deux textes, un même édifice
L’erreur stratégique la plus fréquente, observée chez nos clients depuis dix-huit mois, consiste à traiter le CRA comme un projet siloté, déconnecté des autres chantiers réglementaires en cours. C’est non seulement inefficace, mais coûteux.
L’articulation centrale, voulue par le législateur européen, est celle entre CRA et NIS 2 : NIS 2 régule les organisations exploitant des services essentiels ou importants, tandis que le CRA régule les produits eux-mêmes, indépendamment du statut de l’organisation qui les conçoit. La directive NIS 2 impose aux entités régulées d’assurer la sécurité de leur chaîne d’approvisionnement TIC ; le CRA leur fournit, à terme, la garantie que les produits commercialisés sur le marché européen satisfont à un socle minimal de cybersécurité. Les deux textes se renforcent mutuellement.
Pour les fabricants dont les clients relèvent du secteur financier, une troisième dimension entre en jeu de manière indirecte : le règlement DORA, qui régit la résilience opérationnelle des entités financières, impose à ces dernières des exigences strictes vis-à-vis de leurs prestataires TIC critiques. Sans rendre le fabricant directement assujetti à DORA, ce régime crée une pression contractuelle qui peut anticiper, voire dépasser, les exigences du CRA.
L’enjeu pour les DSI, RSSI et directions juridiques est de mutualiser les preuves transverses — politique de gestion des vulnérabilités, plan de réponse à incident, gouvernance fournisseur, journalisation — tout en distinguant clairement les objets de conformité spécifiques à chaque texte : marquage CE, déclaration UE de conformité et SBOM côté CRA ; registre des entités et notifications côté NIS 2.
Le prix de l’inertie
Le régime de sanctions du CRA est calibré sur les standards européens les plus lourds. Le non-respect des exigences essentielles de cybersécurité ou des obligations de signalement peut entraîner des amendes administratives pouvant atteindre 15 millions d’euros ou 2,5% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, conformément à l’article 64.
Au-delà des amendes, trois conséquences pratiques sont à anticiper :
- Le retrait du marché du produit non conforme par les autorités nationales de surveillance, avec interdiction temporaire ou définitive de mise sur le marché.
- Le risque réputationnel lié à la publicité des décisions de retrait et des signalements d’incidents.
- L’exposition civile et contractuelle vis-à-vis des clients professionnels, en particulier ceux qui doivent prouver à leurs propres autorités la rigueur de leur sélection fournisseur.
Construire une trajectoire crédible
À ce stade, la question opérationnelle est : par quoi commencer ? L’expérience accumulée au travers de missions de conseil, d’audit et de réponse à incident permet de structurer une trajectoire en six chantiers, dimensionnés sur dix-huit à vingt-quatre mois.
1. Cartographier le portefeuille produit. Identifier exhaustivement les PDE commercialisés sur le marché européen, les classer au regard des Annexes III et IV, et statuer pour chacun sur le régime d’évaluation de conformité applicable.
2. Cartographier les écarts avec l’Annexe I. Passer en revue la conception, les tests, la gestion des vulnérabilités et les mécanismes de mise à jour afin de structurer la roadmap de mise en conformité.
3. Industrialiser le SBOM et la gestion des dépendances. Outiller la production automatique de SBOM dans la chaîne CI/CD, déployer la corrélation avec les flux de CVE, et mettre en place un triage outillé des vulnérabilités tierces.
4. Structurer le PSIRT et la chaîne de signalement. Définir les rôles, les canaux CVD publics, les modèles de communication client, et simuler de bout en bout le respect des délais 24 h / 72 h / 14 jours avant septembre 2026.
5. Définir la période de support et le pacte client. Statuer produit par produit sur la durée d’engagement, formaliser les modalités de mise à jour, intégrer ces engagements dans la documentation technique et les conditions générales.
6. Préparer la documentation technique et la déclaration UE de conformité. Constituer le dossier exigible par les autorités de surveillance : analyse de risque, mesures de mitigation, preuves de tests, journal des vulnérabilités traitées, SBOM, déclaration UE de conformité, marquage CE.
Conclusion : du produit livré au produit accompagné
Le Cyber Resilience Act ne sera pas, pour beaucoup d’organisations, le règlement européen le plus simple à absorber. Il bouscule des modèles économiques bâtis sur la livraison ponctuelle ; il impose une logique de cycle de vie sécurisé là où prévalait la logique de version ; il introduit la notion d’engagement de long terme dans des marchés habitués au court-termisme.
Mais — et c’est sans doute l’angle le plus intéressant pour les acteurs européens — il rééquilibre aussi le marché. Pendant des années, les fabricants qui investissaient dans la sécurité de leurs produits étaient pénalisés par la concurrence de ceux qui ne le faisaient pas. Le CRA inverse cette dynamique. Il transforme l’investissement cyber en avantage compétitif réglementaire, et fait du marquage CE une marque de confiance dans un monde où le doute est devenu la norme.
Les organisations qui prendront le sujet au sérieux dès les prochains mois ne se contenteront pas d’éviter les amendes : elles construiront un capital de confiance différenciant, opposable à leurs clients, à leurs partenaires et à leurs régulateurs. Les autres découvriront, à l’automne 2026 puis à l’hiver 2027, que la conformité produit n’est pas un sujet qui se rattrape dans l’urgence.
Entre ces deux trajectoires, il reste dix-huit mois et une décision à prendre.
A propos de nous
Intrinsec propose depuis plus de 16 ans une offre complète de conseil en cyber sécurité permettant d’accompagner les entreprises sur l’ensemble des thématiques Gouvernance, Risques, Audit et Conformité.
Depuis 2024, l’équipe Conseil est labélisée PACS par l’ANSSI sur l’ensemble des activités (Gestion de risques, Homologation de sécurité, Architecture sécurisé et préparation à la gestion de crise).
