De plus en plus d'appareils, gadgets intelligents et équipements que nous utilisons quotidiennement sont désormais connectés entre eux, au cloud et à Internet. Cela entraîne de nouveaux risques de sécurité, c’est pourquoi l’Union européenne (UE) a introduit le Cyber Resilience Act (CRA) afin de définir des normes minimales contraignantes en matière de cybersécurité.
Mais qu’est-ce que cela signifie pour les fabricants ? Quelles sont les tâches à accomplir, les délais à respecter et les opportunités à saisir ?
Quels produits et entreprises sont concernés par le CRA?
Le CRA s’applique à tous les produits numériques connectés — matériels et logiciels — vendus dans l’UE. Les seules exceptions concernent les dispositifs médicaux, les véhicules et les produits développés pour l’aviation, la défense ou la sécurité nationale. Ces produits sont déjà soumis à des exigences de sécurité nettement plus strictes.
La mise en œuvre des exigences de sécurité du CRA incombe principalement aux fabricants. Les importateurs et les distributeurs doivent également veiller à n’importer ou vendre dans l’UE que des produits conformes.
Et si un distributeur commercialise un produit sous son propre nom ou marque, ou apporte des modifications significatives au produit, il est considéré comme fabricant et assume toutes les obligations correspondantes.
Quel est le calendrier de mise en œuvre du CRA?
Les fabricants de produits connectés doivent respecter les obligations strictes de déclaration du CRA d’ici le 11 septembre 2026 et satisfaire aux exigences de cybersécurité d’ici le 11 décembre 2027.
Ces délais sont courts. Pour élaborer et mettre en œuvre un plan de cybersécurité solide — de la conception de produits sécurisés à leur maintien via des mises à jour régulières — il faut apporter de nombreux changements techniques et organisationnels.
Quelles sont les nouvelles obligations de déclaration du CRA?
- Les fabricants doivent signaler aux autorités compétentes toute vulnérabilité exploitée activement dans leurs produits et tout incident grave affectant la sécurité du produit dans un délai de 24 heures.
- Puis, dans les 72 heures, ils doivent fournir des informations détaillées, notamment le type de faille, son mode d’exploitation et les mesures que les utilisateurs peuvent prendre pour y remédier.
- Les vulnérabilités doivent être signalées au plus tard 14 jours après la mise à disposition d’un correctif ou d’une autre solution.
- Les incidents de sécurité doivent être signalés dans un délai d’un mois après la notification initiale.
Les fabricants doivent également informer les utilisateurs des options disponibles pour limiter l’impact d’une vulnérabilité ou d’un incident de sécurité, comme l’installation d’une mise à jour ou la modification des paramètres de configuration du produit. En cas de manquement, les autorités peuvent intervenir et émettre elles-mêmes l’alerte si elles le jugent nécessaire.
Que signifient concrètement les nouvelles exigences en matière de cybersécurité?
L’annexe I du CRA énumère de nombreuses exigences que tous les produits connectés vendus dans l’UE à partir du 11 décembre 2027 doivent respecter.
Par exemple, ils ne doivent présenter aucune vulnérabilité connue et doivent offrir une surface d’attaque minimale, notamment au niveau des connexions aux réseaux, à Internet ou à d’autres appareils.
Les produits doivent également être fournis avec une configuration sécurisée par défaut, recevoir des mises à jour de sécurité pour corriger les vulnérabilités et inclure des mécanismes de contrôle empêchant tout accès non autorisé ou toute manipulation des données.
Cette approche est connue sous le nom de sécurité dès la conception et sécurité par défaut. Cela signifie que les fabricants doivent intégrer la cybersécurité dès le début du processus de développement et maintenir la sécurité des produits après leur mise sur le marché. Cela va de pair avec la gestion des risques — identifier, évaluer et minimiser les risques tout au long du cycle de vie du produit.
Le CRA prévoit une période de support produit de 10 ans, mais les fabricants doivent également tenir compte des attentes des utilisateurs et, si nécessaire, prolonger cette période.
Si un fabricant découvre une vulnérabilité dans son produit, il doit la corriger immédiatement. Les correctifs ou mises à jour de sécurité doivent être fournis gratuitement.
Les fabricants doivent également fournir une adresse de contact permettant aux utilisateurs et tiers de signaler des vulnérabilités ou de demander des informations sur celles déjà connues.
Toutefois, il ne suffit pas d’attendre ces signalements : les fabricants doivent tester régulièrement leurs produits pour détecter les vulnérabilités. Ils doivent aussi surveiller leurs propres logiciels ainsi que les frameworks, bibliothèques et outils provenant de fournisseurs externes. Pour cela, ils doivent tenir à jour une nomenclature logicielle — un inventaire détaillé de tous les composants logiciels présents dans leurs produits.
Quelles sont les sanctions en cas de non-conformité au CRA?
En cas de violation du CRA — par exemple, en négligeant les exigences de sécurité ou en ne respectant pas les délais de déclaration — les fabricants s’exposent à des amendes pouvant atteindre 15 millions d’euros ou 2,5 % de leur chiffre d’affaires annuel mondial. Dans les cas graves, une interdiction de vente peut être prononcée.
Qui vérifie la conformité des produits au CRA?
Pour les produits ne présentant pas de risques majeurs, comme les smartphones, ordinateurs portables, objets connectés simples ou jeux numériques, les fabricants peuvent effectuer des tests en interne. Ils doivent conserver un dossier des tests, des détails techniques, des risques de sécurité et des mesures prises.
Une procédure stricte d’évaluation de la conformité est requise pour les produits importants qui remplissent des fonctions critiques pour la sécurité et peuvent affecter d’autres appareils ou mettre en danger des personnes.
- Les produits de classe I — tels que les systèmes d’exploitation, gestionnaires de mots de passe, routeurs, jouets connectés, objets portables ou dispositifs domotiques comme les caméras et systèmes d’alarme — peuvent être testés par le fabricant ou un organisme d’évaluation.
- Les produits de classe II — notamment les hyperviseurs, systèmes d’exécution de conteneurs, pare-feu, autres systèmes de sécurité, microcontrôleurs et microprocesseurs inviolables — doivent être testés par un organisme externe.
En outre, les produits à haut risque comme les cartes à puce et les passerelles de compteurs intelligents doivent être certifiés selon le système européen de certification approprié.
Quels sont les défis liés à la mise en œuvre du CRA?
Le calendrier serré et les changements techniques et organisationnels requis par le CRA représentent un défi pour les fabricants. Il faut du temps, des compétences, des ressources humaines et financières pour identifier les risques, élaborer des plans de sécurité, modifier les processus et trouver de nouvelles solutions.
De plus, le CRA n’est pas le seul règlement en matière de cybersécurité que les fabricants doivent appliquer. Selon le secteur et le produit, la directive NIS2 et le règlement machines de l’UE peuvent également s’appliquer. La meilleure stratégie consiste à aborder la cybersécurité de manière structurée et à harmoniser les exigences réglementaires dans le cadre de projets coordonnés. Cela permet d’éviter les doublons, les retards et les coûts inutiles.
Cependant, la mise en œuvre du CRA représente aussi une opportunité précieuse pour les fabricants : développer une culture interne de la cybersécurité et renforcer leur résilience face aux cybermenaces. Ces deux actions renforcent la confiance des clients et permettent aux fabricants de consolider leur avantage concurrentiel à long terme.
Par où commencer?
Les fabricants doivent répondre aux questions clés suivantes pour déterminer s’ils doivent agir et, le cas échéant, évaluer l’ampleur des mesures à prendre:
- Quelles mesures avons-nous déjà mises en œuvre pour garantir la conformité au CRA?
- Comment nous assurons-nous que tous nos produits respectent les exigences minimales en matière de cybersécurité?
- Avons-nous une vue d’ensemble complète de toutes les vulnérabilités et incidents de sécurité dans nos produits, et comment les gérons-nous?
- Comment garantissons-nous la sécurité de nos produits tout au long de leur cycle de vie?
- Nous sommes-nous familiarisés avec les exigences spécifiques du CRA et avons-nous évalué leur impact sur nos stratégies de sécurité existantes?
- Comment gérons-nous actuellement la déclaration des vulnérabilités et des incidents de sécurité?
Comment NTT DATA peut vous aider
NTT DATA accompagne les fabricants de produits connectés à chaque étape de la mise en œuvre du CRA. Nous commençons par une analyse des écarts pour identifier les manquements à la conformité. Ensuite, nous développons et mettons en œuvre des mesures spécifiques pour limiter les risques et répondre à toutes les exigences du CRA.
Nous pouvons intégrer des solutions de sécurité dans les systèmes existants, mettre à jour les processus et proposer des formations de sensibilisation à la sécurité aux employés de tous les départements. Nous pouvons également gérer ces solutions de sécurité et offrir des services de centre d’opérations de sécurité (SOC) pour détecter et neutraliser les menaces avant qu’elles ne posent problème.
Grâce à notre connaissance approfondie du secteur et à notre vaste expérience dans les projets de cybersécurité et de conformité, nous fournissons des conseils personnalisés et des solutions sur mesure. Les fabricants bénéficient d’un service complet, sans avoir à faire appel à d’autres prestataires.