Classification des produits CRA : votre produit est-il par défaut, important ou critique ?

La voie d'évaluation de conformité CRA dépend de la classification de votre produit. Les produits "Importants" et "Critiques" font face à une évaluation obligatoire par un tiers. Les produits "Par défaut" peuvent s'auto-certifier.

Quelles sont les quatre catégories de produits CRA ?

Le CRA classe les produits comportant des éléments numériques en quatre niveaux basés sur le risque de cybersécurité :

Produits par défaut

La grande majorité des produits entre ici. Si votre produit n'est pas spécifiquement listé dans l'Annexe III ou IV, il est "Par défaut".

Évaluation de conformité : L'auto-évaluation (Module A) suffit.

Exemples :

• Capteurs IoT simples
• Électronique grand public de base
• Logiciels métier standard
• Applications à usage général
• Appareils embarqués non connectés

Important classe I (annexe III, partie I)

Produits à risque élevé en raison de leur fonction ou base d'utilisateurs.

Évaluation de conformité : Auto-évaluation autorisée SI vous appliquez pleinement les normes harmonisées pertinentes. Sinon, évaluation par tiers requise.

Liste complète de l'Annexe III, Partie I :

1. Systèmes de gestion des identités et logiciels et dispositifs de gestion des accès privilégiés, dont lecteurs d'authentification et de contrôle d'accès et lecteurs biométriques
2. Navigateurs autonomes et intégrés
3. Gestionnaires de mots de passe
4. Logiciels qui recherchent, suppriment ou mettent en quarantaine des logiciels malveillants
5. Produits comportant des éléments numériques avec la fonction de réseau privé virtuel (VPN)
6. Systèmes de gestion de réseau ^[1]

1. Systèmes de gestion des informations et des événements de sécurité (SIEM)
2. Gestionnaires de démarrage
3. Infrastructure à clé publique et logiciels d'émission de certificats numériques
4. Interfaces réseau physiques et virtuelles
5. Systèmes d'exploitation
6. Routeurs, modems destinés à la connexion à l'internet et commutateurs
7. Microprocesseurs dotés de fonctionnalités liées à la sécurité
8. Microcontrôleurs dotés de fonctionnalités liées à la sécurité
9. Circuits intégrés spécifiques à l'application (ASIC) et réseaux de portes programmables (FPGA) dotés de fonctionnalités liées à la sécurité
10. Assistants virtuels polyvalents pour maison intelligente
11. Produits domestiques intelligents dotés de fonctionnalités de sécurité, notamment serrures, caméras de sécurité, systèmes de surveillance pour bébé et systèmes d'alarme
12. Jouets connectés couverts par la directive 2009/48/CE du Parlement européen et du Conseil qui présentent des caractéristiques sociales interactives (par exemple, parler ou filmer) ou qui possèdent des fonctions de localisation
13. Produits portables personnels destinés à être portés ou mis sur un corps humain à des fins de surveillance de la santé (suivi par exemple) et auxquels le règlement (UE) 2017/745 ou (UE) 2017/746 ne s'appliquent pas, ou produits portables personnels destinés à être utilisés par et pour les enfants

Important classe II (annexe III, partie II)

Produits à risque plus élevé nécessitant une évaluation obligatoire par tiers.

Évaluation de conformité : Évaluation par un organisme notifié requise. Pas d'option d'auto-évaluation.

Liste complète de l'Annexe III, Partie II :

1. Hyperviseurs et systèmes d'exécution de conteneurs prenant en charge l'exécution virtualisée de systèmes d'exploitation et d'environnements similaires
2. Pare-feu, systèmes de détection et de prévention des intrusions
3. Microprocesseurs résistants aux manipulations
4. Microcontrôleurs résistants aux manipulations

Produits critiques (annexe IV)

La catégorie à plus haut risque. Modules de sécurité matériels et similaires.

Évaluation de conformité : Évaluation par tiers PLUS certification EUCC (Union européenne pour la cybersécurité) au niveau "substantiel" ou supérieur.

Liste complète de l'Annexe IV :

1. Dispositifs matériels avec boîtier de sécurité
2. « Passerelles pour compteur intelligent » au sein des systèmes intelligents de mesure tels que définis à l'article 2, point 23), de la directive (UE) 2019/944 du Parlement européen et du Conseil et autres dispositifs à des fins de sécurité avancées, y compris pour un traitement cryptographique sécurisé
3. Cartes à puce ou dispositifs similaires, y compris éléments sécurisés

Arbre de décision : trouver votre catégorie

Utilisez ce processus pour classer votre produit :

DÉBUT : Votre produit a-t-il des éléments numériques ?
│
├─ NON → Hors champ CRA. Arrêtez ici.
│
└─ OUI → Est-il listé dans l'Annexe IV (Produits critiques) ?
     │
     ├─ OUI → CRITIQUE
     │        Tiers + certification EUCC requise
     │
     └─ NON → Est-il listé dans l'Annexe III, Partie II (Important Classe II) ?
          │
          ├─ OUI → IMPORTANT CLASSE II
          │        Évaluation par tiers requise
          │
          └─ NON → Est-il listé dans l'Annexe III, Partie I (Important Classe I) ?
               │
               ├─ OUI → IMPORTANT CLASSE I
               │        Tiers OU auto-évaluation avec normes
               │
               └─ NON → PAR DÉFAUT
                        Auto-évaluation (Module A) autorisée

Voies d'évaluation de conformité par catégorie

Le module A couvre le cycle complet d'auto-évaluation: dossier technique, déclaration UE de conformité, marquage CE. Aucun auditeur externe n'intervient.

Le module B+C divise le travail en deux temps: un organisme notifié examine un exemplaire type et délivre un certificat (module B), puis le fabricant s'assure que l'ensemble de la production est conforme à ce type (module C).

Le module H remplace l'approche produit par produit par un audit du système de gestion de la qualité du fabricant. Il convient particulièrement aux fabricants disposant d'un large portefeuille de produits.

L'EUCC vient compléter le module B+C ou H pour les produits Critiques. Elle est délivrée dans le cadre du règlement européen sur la cybersécurité au niveau d'assurance "substantiel" ou supérieur par un organisme d'évaluation de conformité accrédité.

Comment classer un produit qui relève de plusieurs catégories ?

Produits multifonctions

Règle: Si une seule fonction déclenche une catégorie supérieure, l'ensemble du produit est classé dans cette catégorie.

Exemple: Un hub domotique comprenant:

• Commande d'automatisation de base (Par défaut)
• Fonctionnalité VPN (Important Classe I)
• Intégration d'une caméra de sécurité (Important Classe I)

Classification: Important Classe I (catégorie la plus élevée déclenchée)

Composants intégrés

Règle: Déterminez si les composants à caractère sécuritaire déclenchent une classification.

Exemple: Un appareil grand public contenant:

• Microcontrôleur à usage général → Par défaut
• Microcontrôleur "avec des fonctionnalités liées à la sécurité" → Important Classe I

Question clé: Le microcontrôleur remplit-il des fonctions de sécurité (chiffrement, authentification, démarrage sécurisé)?

Usage prévu

Certains points de l'Annexe III précisent l'usage prévu ou le cadre réglementaire applicable. Les jouets connectés ne relèvent de la Classe I que s'ils sont couverts par la directive 2009/48/CE et dotés de fonctions sociales interactives ou de géolocalisation. Les produits portables de surveillance de la santé ne déclenchent la Classe I que si les règlements (UE) 2017/745 ou 2017/746 ne leur sont pas applicables.

Si votre produit pourrait être utilisé dans ces contextes sans y être spécifiquement destiné, la classification peut ne pas s'appliquer. Documentez clairement l'usage prévu.

Systèmes d'exploitation

Les systèmes d'exploitation figurent uniquement à l'Annexe III Partie I (Important Classe I):

Exemple: Une distribution Linux personnalisée pour appareils embarqués est en général Important Classe I. Ubuntu Server est Important Classe I.

Logiciel et matériel

La classification tient compte du produit tel qu'il est mis sur le marché:

• Logiciel autonome: classé selon sa fonction logicielle
• Matériel avec logiciel intégré: classé selon la fonctionnalité combinée
• Composant logiciel vendu séparément: classé de manière indépendante

Orientations sectorielles

Fabricants d'appareils IoT

La plupart des appareils IoT sont Par défaut, sauf s'ils:

• Intègrent une fonctionnalité VPN → Classe I
• Sont des appareils de sécurité domotique → Classe I
• Relèvent de l'IoT industriel → Classe I ou II
• Intègrent des fonctions de sécurité résistantes à la falsification → Classe II

Éditeurs de logiciels

La plupart des logiciels sont Par défaut, sauf s'ils sont spécifiquement listés:

• Navigateurs, gestionnaires de mots de passe, anti-malware → Classe I
• Outils de sécurité réseau (pare-feux, IDS) → Classe II
• Systèmes d'exploitation → Classe I

Systèmes embarqués

La classification dépend principalement de:

• Les fonctions de sécurité des microcontrôleurs et processeurs
• L'usage industriel ou professionnel du produit
• L'environnement de déploiement cible (infrastructure critique?)

Dispositifs médicaux

Les dispositifs médicaux sont exclus du champ du CRA (couverts par le MDR/IVDR). Les logiciels associés ou les fonctions non médicales peuvent toutefois rester dans son périmètre.

Trouver un organisme notifié

Pour les produits soumis à évaluation par un tiers:

1. Consultez la base NANDO: liste officielle de l'UE des organismes notifiés
2. Vérifiez la désignation CRA: les organismes doivent être désignés pour l'évaluation de conformité CRA
3. Tenez compte des capacités disponibles: la mise en oeuvre récente du CRA limite la disponibilité des organismes notifiés
4. Considérez la proximité géographique: travailler avec un organisme notifié dans votre région facilite les échanges

La liste complète des organismes notifiés désignés pour le CRA est en cours de constitution. Consultez la base NANDO pour l'état actuel.

Erreurs de classification fréquentes

"Produit grand public = par défaut"

Faux. La classification dépend de la fonction, pas du marché visé.

Une serrure connectée vendue aux particuliers est Important Classe I car c'est un "produit domotique avec fonctionnalité de sécurité", quelle que soit sa cible grand public.

"Nous sommes B2B, donc classification plus basse"

Faux. B2B et B2C n'ont aucune incidence sur la classification.

Des produits IoT industriels destinés aux professionnels peuvent être Important Classe I ou II selon leur fonction.

"Notre produit est petit ou simple, donc par défaut"

Pas forcément. La taille et la complexité ne déterminent pas la classification.

Un microcontrôleur de petite taille avec des fonctions de sécurité peut être Important Classe I. Un produit volumineux et complexe sans fonction listée peut être Par défaut.

"Nous avons déjà ISO 27001, donc nous sommes couverts"

Faux. ISO 27001 porte sur la sécurité de l'information organisationnelle, pas sur l'évaluation de conformité produit.

Le CRA exige une évaluation de conformité propre au produit, indépendamment des certifications organisationnelles.

Liste de contrôle de classification

LISTE DE CONTRÔLE DE CLASSIFICATION DES PRODUITS

Produit: _______________________________________
Date: _________________________________________

VÉRIFICATION INITIALE DU PÉRIMÈTRE:
[ ] Le produit comporte des éléments numériques (logiciel et/ou connexion de données)
[ ] Le produit sera mis sur le marché de l'UE
[ ] Le produit n'est pas exclu (médical, automobile, aviation, défense)

VÉRIFICATION ANNEXE IV (CRITIQUE):
[ ] Pas un dispositif matériel avec boîte de sécurité
[ ] Pas une passerelle de compteur intelligent (directive (UE) 2019/944, art. 2, point 23) ni autre dispositif à des fins de sécurité avancées
[ ] Pas une carte à puce ou dispositif similaire, y compris les éléments sécurisés

Si l'un des points ci-dessus est OUI -> CRITIQUE (arrêtez ici)

VÉRIFICATION ANNEXE III PARTIE II (IMPORTANT CLASSE II):
[ ] Pas un hyperviseur ou système d'exécution de conteneurs
[ ] Pas un pare-feu, système de détection ou de prévention des intrusions
[ ] Pas un microprocesseur résistant à la falsification
[ ] Pas un microcontrôleur résistant à la falsification

Si l'un des points ci-dessus est OUI -> IMPORTANT CLASSE II (arrêtez ici)

VÉRIFICATION ANNEXE III PARTIE I (IMPORTANT CLASSE I):
[ ] Examen de la liste complète des 19 catégories
[ ] Prise en compte des implications multifonctions
[ ] Vérification des fonctionnalités sécuritaires dans les composants

Si une catégorie s'applique -> IMPORTANT CLASSE I (arrêtez ici)

PAR DÉFAUT:
[ ] Produit non listé dans aucune annexe
[ ] Classification: PAR DÉFAUT

VOIE D'ÉVALUATION DE CONFORMITÉ:
[ ] Module A (auto-évaluation): Par défaut, Classe I avec normes
[ ] Module B+C (tiers): Classe I sans normes, Classe II
[ ] Module H (assurance qualité): alternative à B+C
[ ] Certification EUCC: Produits Critiques uniquement

DOCUMENTATION:
[ ] Justification de la classification documentée
[ ] Analyse multifonction réalisée
[ ] Usage prévu clairement défini
[ ] Organisme notifié identifié (si requis)

Classé par: _________________________________
Date: _________________________________________

Prochaines étapes

Gérer la conformité CRA sur plusieurs produits ? CRA Evidence centralise la classification, les voies de conformité et la documentation.

Une fois votre classification connue, l'étape suivante est votre voie d'évaluation de conformité. Consultez le calendrier de mise en oeuvre du CRA pour les échéances clés. Toutes les catégories, quel que soit le niveau, nécessitent un SBOM. Consultez le guide des exigences SBOM.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils spécifiques en matière de conformité, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.

1. La version française publiée au Journal officiel (JO L 2024/2847) indique « Systèmes de gestion de la qualité ». Il s'agit d'une erreur manifeste de traduction : les versions EN (« Network management systems »), DE (« Netzmanagementsysteme »), IT (« sistemi di gestione della rete »), ES (« Sistemas de gestión de redes ») et PL (« Systemy zarządzania siecią ») concordent toutes sur « systèmes de gestion de réseau ». Le contexte (VPN au point 5, SIEM au point 7) confirme qu'il s'agit de la gestion réseau, pas de la gestion de la qualité au sens ISO 9001. ↩︎