5 questions pour comprendre le Cyber Resilience Act

Ce règlement européen vise à élever le niveau de sécurité des produits numériques d’ici décembre 2027. Voici 5 choses à savoir pour vous y préparer.

Alexandra Patard
Publié le
CyberResilienceAct
De lourdes amendes financières sont prévues en cas de non-conformité au règlement européen. © Sidney vd Boogaard - stock.adobe.com
Sommaire

1. Le Cyber Resilience Act, c’est quoi ?

Le Cyber Resilience Act (CRA), aussi désigné en français par « règlement sur la cyber-résilience », est un règlement européen adopté officiellement le 23 octobre 2024 et publié au Journal Officiel de l’Union européenne le 20 novembre 2024. Il introduit des règles en matière de cybersécurité pour les fabricants et les développeurs de produits comportant des éléments numériques.

Le présent règlement vise à définir les conditions aux limites pour le développement de produits sécurisés comportant des éléments numériques en faisant en sorte que les produits matériels et logiciels mis sur le marché présentent moins de vulnérabilités et que les fabricants prennent la sécurité au sérieux tout au long du cycle de vie d’un produit, précise le règlement.

Il s’agit donc ici d’améliorer la sécurité des produits numériques mis en vente sur le marché européen, de responsabiliser les fabricants sur la sécurité des produits développés, et ainsi de protéger les consommateurs européens contre les cybermenaces.

2. Quelles sont les principales mesures du Cyber Resilience Act ?

Plusieurs mesures composent ce règlement européen sur la cyber-résilience en vue de garantir la cybersécurité des produits numériques au sein de l’Union européenne d’ici fin 2027. Parmi celles-ci, des « exigences essentielles de cybersécurité » impliquent notamment aux fabricants des produits numériques mis en vente dans l’UE qu’ils soient conçus, développés et produits à travers une approche dite « security by design » par défaut, sans vulnérabilité exploitable connue.

D’après le site de la Commission européenne, le CRA doit répondre à 4 objectifs :

  1. « veiller à ce que les fabricants améliorent la sécurité des produits comportant des éléments numériques dès la phase de conception et de développement et tout au long du cycle de vie »,
  2. « assurer un cadre de cybersécurité cohérent, facilitant la conformité pour les producteurs de matériel et de logiciels »,
  3. « améliorer la transparence des propriétés de sécurité des produits avec des éléments numériques »,
  4. et « permettre aux entreprises et aux consommateurs d’utiliser des produits contenant des éléments numériques en toute sécurité ».

De nombreuses mesures jalonnent ainsi ce Cyber Resilience Act, avec notamment des exigences concernant le processus de gestion des vulnérabilités, la protection contre les accès non autorisés via des mécanismes de contrôle appropriés, ou encore la protection de la confidentialité et de l’intégrité des données. Les fabricants devront aussi signaler les incidents de sécurité aux autorités compétentes et apporter des informations concernant la sécurité de leurs produits via une documentation technique.

Le marquage CE devrait être apposé sur les produits comportant des éléments numériques pour indiquer de manière visible, lisible et indélébile leur conformité avec le présent règlement, afin qu’ils puissent circuler librement dans le marché intérieur, ajoute le CRA.

3. Quels sont produits numériques concernés par le CRA ?

Le règlement européen sur la cyber-résilience cible les « produits comportant des éléments numériques ». Dans l’article 3 dédié aux définitions, le CRA indique qu’il s’agit de « produit logiciel ou matériel et ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément ». Une large gamme d’appareils, de logiciels et de composants, englobe les produits numériques concernés ici, classés par le CRA selon leur degré de criticité.

On retrouve ainsi les ordinateurs, les smartphones, les caméras, les robots intelligents, les appareils connectés, mais aussi les applications, les jeux vidéo ou encore les logiciels. Car c’est bel et bien le point spécifique de ce règlement européen : les « logiciels libres et ouverts » sont eux aussi soumis aux mesures du Cyber Resilience Act.

En ce qui concerne les opérateurs économiques auxquels s’applique le présent règlement, seuls les logiciels libres et ouverts mis à disposition sur le marché, donc fournis pour être distribués ou utilisés dans le cadre d’une activité commerciale, devraient relever du champ d’application du présent règlement.

Certains produits sont en revanche exclus du règlement européen, à l’image des logiciels fournis en tant que services (SaaS). La raison : ils sont déjà encadrés par d’autres législations, notamment la directive NIS 2, qui vise à renforcer le niveau de sécurité des États membres. Ne figurent pas non plus dans le périmètre du CRA : certains domaines qui disposent d’une législation européenne spécifique ou encore des produits relevant de la sécurité nationale des États membres ou traitant d’informations classifiées.

À lire également

4. Quel est le calendrier du règlement européen sur la cyber-résilience ?

Les mesures spécifiées par le Cyber Resilience Act s’appliqueront à partir du 11 décembre 2027. Cela signifie que les « opérateurs économiques », à savoir les fabricants, les développeurs de logiciels, les importateurs, les distributeurs, les revendeurs, ainsi que les « intendants de logiciels ouverts » devront intégrer les exigences de cybersécurité et de la gestion des vulnérabilités dans le cycle de vie de leurs produits numériques qui seront mis sur le marché européen à cette date. Un « délai suffisant » indique le CRA (dont la publication date du 20 novembre 2024) pour permettre aux différents acteurs concernés de s’y préparer.

Le présent règlement devrait s’appliquer à partir du 11 décembre 2027, à l’exception des obligations de signalement concernant les vulnérabilités activement exploitées et les incidents graves ayant des répercussions sur la sécurité des produits comportant des éléments numériques, qui devraient s’appliquer à partir du 11 septembre 2026, et des dispositions relatives à la notification des organismes d’évaluation de la conformité, qui devraient s’appliquer à partir du 11 juin 2026.

5. Que risquent les entreprises que ne se conformeraient pas au CRA ?

En cas de non-respect du Cyber Resilience Act, des sanctions sévères sont prévues. Pour les entreprises qui ne se conformeraient pas aux articles 13 et 14, c’est-à-dire les obligations incombant aux fabricants, il est prévu « une amende administrative pouvant aller jusqu’à 15 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2,5 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu. »

La non-conformité du CRA par les mandataires, les importateurs, les distributeurs, mais aussi les entités qui n’apposeraient pas le marquage CE « de manière visible, lisible et indélébile sur le produit comportant des éléments numériques », encourent quant à eux « une amende administrative pouvant aller jusqu’à 10 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu. »

Autre sanction : « la fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités de surveillance du marché » peut faire l’objet « d’une amende administrative pouvant aller jusqu’à 5 000 000 EUR ou, si l’auteur de l’infraction est une entreprise, jusqu’à 1 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu. »

Bonus : des mesures de soutien pour les microentreprises, les petites et les moyennes entreprises

Si les sanctions en cas de manquement au Cyber Resilience Act peuvent être lourdes, le règlement européen a néanmoins prévu certaines mesures en vue de soutenir les microentreprises, les petites et moyennes entreprises, « y compris les jeunes pousses ». Chaque État membre aura ainsi la possibilité de :

  • Organiser des activités de sensibilisation et de formation au règlement,
  • Créer un canal de communication dédié avec des conseils sur sa mise en œuvre,
  • Soutenir « les activités d’essai et d’évaluation de la conformité »,
  • Mettre en place « des sas réglementaires en matière de cyber-résilience », pour prévoir « des environnements d’essai contrôlés »,
  • Bénéficier d’une documentation technique simplifiée, pour alléger la charge administrative.
À lire également
Sujets liés :
Publier un commentaire
Ajouter un commentaire

Votre adresse email ne sera pas publiée.

Les meilleurs logiciels cybersécurité

Norton Small Business

Antivirus
Un antivirus pour les petites entreprises

Protect by Mailinblack

Anti-spam
Un outil pour bloquer les malwares, spams et phishings

Surfshark Antivirus

Antivirus
Un antivirus tout-en-un pour protéger jusqu'à cinq appareils
BDM / Articles / Tech / 5 questions pour comprendre le Cyber Resilience Act

Sur le même thème

Cybersécurité

Cybersécurité : 5 chiffres clés qui démontrent l’impact majeur d’une faille
Cybersécurité

Attaque DDoS contre votre entreprise : comment réagir ?
Cybersécurité

Violations de données : la France est le 2e pays le plus ciblé, derrière les États-Unis
Cybersécurité

Cybersécurité : 5 précautions à prendre en télétravail
Données personnelles

Comment se protéger face aux fuites de données : les conseils de la CNIL
Interviews

Cyberattaques : comment les TPE, PME et ETI sont devenues des cibles privilégiées