Le Cyber Resilience Act (CRA) est le premier texte législatif de l'UE à définir des exigences de cybersécurité contraignantes pour les produits contenant des éléments numériques. Elle est entrée en vigueur le 11 décembre 2024. Les entreprises ont désormais trois ans pour se conformer aux exigences. Ce à quoi elles devraient déjà faire attention.
Ces produits sont couverts par le Cyber Resilience Act
Le règlement confère aux fabricants une plus grande responsabilité dans la garantie de la sécurité des produits matériels et logiciels. La loi se concentre sur de nouvelles obligations pour les fabricants de fournir des mises à jour de logiciels qui corrigent les failles de sécurité et offrent une assistance en matière de sécurité aux consommateurs. En améliorant la transparence en matière de cyber-risques et de sécurité des produits, la loi permet aux consommateurs de prendre des décisions plus éclairées sur les produits disponibles sur le marché de l'UE.
Tous les produits vendus dans l'UE qui contiennent des "éléments numériques" doivent satisfaire aux exigences du CRA. Cela comprend aussi bien les produits de consommation bon marché que les logiciels B2B et les systèmes industriels complexes haut de gamme. Les "produits contenant des éléments numériques" sont définis dans le CRA comme des produits pouvant être connectés à un appareil ou à un réseau et comprennent aussi bien des produits matériels dotés de fonctions en réseau (p. ex. smartphones, ordinateurs portables, produits smarthome, montres intelligentes, jouets connectés, mais aussi microprocesseurs, pare-feu et compteurs intelligents) que des produits purement logiciels (p. ex. logiciels de comptabilité, jeux informatiques, applications mobiles).
Les logiciels open source non commerciaux sont exemptés de l'ARC et ne doivent donc pas répondre aux exigences de l'ARC.
Voici ce qui se passe avec le Cyber Resilience Act
Les produits porteront le marquage CE pour indiquer qu'ils satisfont aux exigences du règlement. Les principales obligations de la loi s'appliqueront à partir du 11 décembre 2027.
- 12.2024 : Entrée en vigueur de la CRA
- 12.2026 : Les organismes d'évaluation de la conformité peuvent évaluer la conformité aux exigences de l'ARC.
- 12.2027 : Les nouveaux produits doivent satisfaire à toutes les exigences du CRA.
L'Office fédéral de la sécurité des technologies de l'information (BSI) recommande aux entreprises de prendre en compte les exigences du CRA dès le développement des produits. Les fabricants doivent procéder à une évaluation des risques pour leurs produits et adresser les éventuels risques de cybersécurité.
Selon le principe de conception "secure by design", les produits en réseau doivent être conçus dans une optique de cybersécurité, par exemple en s'assurant que les données stockées ou transmises avec le produit sont cryptées et que la surface d'attaque est aussi réduite que possible.
Selon le principe de configuration "secure by default", les paramètres par défaut des produits en réseau doivent contribuer à renforcer leur sécurité, par exemple en interdisant les mots de passe faibles par défaut, en installant automatiquement les mises à jour de sécurité, etc.
Le traitement obligatoire des points faibles des produits devrait être pris en compte dès le développement. L'intégration d'outils pour la création de Software Bill of Materials (SBOM) en est la base. Pour les logiciels, une SBOM est l'équivalent d'une liste d'ingrédients pour les aliments. Elle indique quelles bibliothèques et autres composants logiciels sont utilisés dans le produit. L'ARC impose la création d'un SBOM, mais il n'est pas nécessaire de le publier.
Conseil de lecture : Directive NIS 2 - ces entreprises sont concernées
Autres exigences de la CRA
Déclaration de conformité
Les fabricants ont besoin d'une déclaration de conformité pour prouver que le produit en question avec des éléments numériques répond à toutes les exigences du CRA. La procédure d'évaluation de la conformité à appliquer dépend de la catégorie du produit. Pour la plupart des produits, il s'agit d'une auto-évaluation du fabricant, pour quelques-uns d'une évaluation par un organisme notifié.
Déclaration obligatoire
Afin de faciliter l'échange d'informations sur les vulnérabilités activement exploitées et les incidents de sécurité graves, une nouvelle plateforme centrale de notification sera mise en place. Ces déclarations de vulnérabilité doivent être effectuées via la plateforme de notification.
Support obligatoire
Des mises à jour de sécurité doivent être mises à la disposition des utilisateurs finaux tout au long du cycle de vie du produit.
Le Cyber Resilience Act complète le cadre de cybersécurité NIS2, qui est entré en vigueur l'année dernière. Il fait partie d'une série de mesures globales prises par l'UE pour renforcer la cybersécurité dans une Europe de plus en plus numérique et connectée.
Source : FAQ de l'Office fédéral de la sécurité des technologies de l'information sur le Cyber Resiliance Act
French 
German 
English 
Italian