Conformité CRA pour les Fournisseurs Automobiles : Alignement UN R155/R156 et Guide Aftermarket

L'industrie automobile possède ses propres réglementations en matière de cybersécurité , UN R155 (CSMS) et R156 (SUMS) pour l'homologation des véhicules. Cependant, de nombreux produits liés à l'automobile relèvent toujours du CRA. Comprendre quelle réglementation s'applique est essentiel pour les constructeurs, les fournisseurs de rang et les fabricants de produits aftermarket.

Ce guide clarifie l'applicabilité du CRA aux produits automobiles.

L'Exemption Automobile dans le CRA

Ce que dit le CRA

L'article 2(2) du CRA exempte certains produits automobiles :

"Le présent règlement ne s'applique pas aux produits comportant des éléments numériques qui sont [...] des véhicules à moteur et leurs remorques, ainsi que les systèmes, composants et entités techniques distinctes conçus et construits pour ces véhicules, qui sont réglementés par [les réglementations d'homologation]..."

Exemption clé : Les produits couverts par le Règlement UN n° 155 (cybersécurité) et n° 156 (mises à jour logicielles) dans le cadre du système d'homologation de l'UE sont exemptés du CRA.

Pourquoi l'Exemption Existe

UN R155 et R156 exigent déjà :

• Un système de gestion de la cybersécurité (CSMS)
• Un système de gestion des mises à jour logicielles (SUMS)
• Une évaluation de la cybersécurité lors de l'homologation
• Une surveillance continue de la cybersécurité

L'UE a évité la double réglementation en exemptant les produits automobiles homologués du CRA.

Comprendre ce qui est Exempté

Véhicules et Composants Homologués

EXEMPTÉS du CRA :

PRODUITS EXEMPTÉS PAR HOMOLOGATION

VÉHICULES COMPLETS :
- Voitures particulières (M1)
- Bus et autocars (M2, M3)
- Camions (N1, N2, N3)
- Remorques (catégories O)
- Deux/trois-roues (catégorie L, à partir de 2024)

COMPOSANTS OEM (tels qu'installés sur les véhicules neufs) :
- Unités de contrôle moteur (ECU)
- Systèmes d'infodivertissement (installés par l'OEM)
- Composants ADAS
- Unités télématiques de véhicule connecté
- Systèmes de navigation OEM
- Modules de contrôle carrosserie
- ECU passerelle

PIÈCES DE RECHANGE (remplaçant l'original) :
- ECU de remplacement (même spécification)
- Pièces de remplacement d'origine

Produits NON Exemptés (CRA s'applique)

PRODUITS NÉCESSITANT LA CONFORMITÉ CRA

PRODUITS AFTERMARKET :
- Dashcams aftermarket
- Dongles de diagnostic OBD-II
- Traceurs GPS aftermarket
- Systèmes d'infodivertissement tiers
- Dispositifs d'intégration smartphone
- Systèmes d'alarme aftermarket
- Dispositifs de réglage des performances

INFRASTRUCTURE DE RECHARGE :
- Bornes de recharge VE
- Équipements de recharge domestique
- Logiciels de gestion de recharge
- Contrôleurs de recharge intelligents

GESTION DE FLOTTE :
- Dispositifs télématiques (rétrofit)
- Systèmes de suivi de flotte
- Surveillance du comportement conducteur
- Équipements de suivi d'actifs

ACCESSOIRES :
- Capteurs de pression des pneus connectés (aftermarket)
- Outils de diagnostic
- Hotspots WiFi automobiles
- Fonctionnalités connectées aftermarket

La Question des Fournisseurs de Rang

Les Fournisseurs Tier 1/2/3 sont-ils Exemptés ?

Cela dépend de la façon dont le composant est vendu :

ANALYSE DES FOURNISSEURS DE RANG

SCÉNARIO 1 : Vente à l'OEM pour Production de Véhicules Neufs
┌─────────────────────────────────────────────────┐
│ Composant → OEM → Véhicule Homologué            │
│                                                 │
│ Résultat : Composant couvert par l'homologation │
│ du véhicule. UN R155/R156 s'appliquent via OEM. │
│ Le CRA NE s'applique PAS directement au         │
│ fournisseur.                                    │
│                                                 │
│ MAIS : L'OEM exigera des preuves CSMS de vous   │
└─────────────────────────────────────────────────┘

SCÉNARIO 2 : Vente Directe aux Utilisateurs Finaux/Marché de Réparation
┌─────────────────────────────────────────────────┐
│ Composant → Distribution → Utilisateur/Atelier  │
│                                                 │
│ Résultat : Pas partie du processus              │
│ d'homologation.                                 │
│ Le CRA s'applique à vous en tant que fabricant. │
└─────────────────────────────────────────────────┘

SCÉNARIO 3 : Composants à Double Usage
┌─────────────────────────────────────────────────┐
│ Même composant vendu à l'OEM et en aftermarket  │
│                                                 │
│ Résultat : Situation complexe.                  │
│ - À l'OEM : couvert par l'homologation          │
│ - En aftermarket : le CRA s'applique            │
│ - Envisager des variantes de produits séparées  │
└─────────────────────────────────────────────────┘

Les Exigences OEM se Répercutent

Même si le CRA ne s'applique pas directement, les OEM exigeront des preuves de cybersécurité :

EXIGENCES OEM POUR LES FOURNISSEURS DE RANG

UN R155 EXIGE DES OEM DE :
- Identifier et gérer les risques fournisseurs
- Assurer les capacités de cybersécurité des fournisseurs
- Vérifier les processus des fournisseurs

CELA SIGNIFIE GÉNÉRALEMENT :
- Exigences de preuves CSMS
- Demandes de conformité ISO/SAE 21434
- Évaluations et audits de sécurité
- Accords de gestion des vulnérabilités
- Exigences SBOM (de plus en plus)

RÉSULTAT PRATIQUE :
Même sans obligation CRA directe, vous aurez besoin
de capacités similaires pour fournir les OEM automobiles

Alignement ISO/SAE 21434 et CRA

Qu'est-ce que ISO/SAE 21434 ?

ISO/SAE 21434 "Véhicules routiers: Ingénierie de la cybersécurité" est la norme de cybersécurité automobile couvrant :

• Gestion de la cybersécurité
• Méthodologie d'évaluation des risques
• Développement produit
• Production et opérations
• Réponse aux incidents

Correspondance ISO/SAE 21434 ↔ CRA

Pour les produits aftermarket où le CRA s'applique :

Utiliser ISO/SAE 21434 pour le CRA

ISO/SAE 21434 → CONFORMITÉ CRA

SI vous avez une implémentation ISO/SAE 21434 :
→ Base solide de sécurité technique
→ Réutiliser l'analyse des menaces et l'évaluation des risques
→ Exploiter les preuves du processus de développement
→ Utiliser les capacités de réponse aux incidents

SUPPLÉMENTAIRE POUR LE CRA :
[ ] Génération SBOM (pas dans ISO 21434)
[ ] Capacité de signalement ENISA
[ ] Processus de marquage CE
[ ] Engagement de support 5 ans
[ ] Documentation consommateur (si applicable)

Produits Aftermarket en Détail

Dashcams et DVR

CONFORMITÉ CRA DASHCAM

CLASSIFICATION : Généralement catégorie Default

S'APPLIQUE PARCE QUE :
- Pas partie du véhicule homologué
- Vendu directement aux consommateurs/opérateurs de flotte
- Installation aftermarket

EXIGENCES CLÉS :
- Sécurisé par défaut (WiFi, Bluetooth)
- Protection de la vie privée (données vidéo)
- Mécanisme de mise à jour
- Pas de mots de passe par défaut
- SBOM pour le firmware
- Support 5 ans

CONSIDÉRATIONS SUPPLÉMENTAIRES :
- Vie privée vidéo (alignement RGPD)
- Sécurité du stockage cloud (si applicable)
- Sécurité des applications (applications compagnon)

Dispositifs OBD-II

CONFORMITÉ CRA DONGLE OBD-II

CLASSIFICATION : Potentiellement Important Classe I
(interface avec les systèmes du véhicule)

S'APPLIQUE PARCE QUE :
- Produit aftermarket
- Se connecte au véhicule mais pas homologué
- Marché consommateur/flotte

EXIGENCES CLÉS :
- Sécurité du réseau véhicule (critique !)
- Protection des données (données véhicule sensibles)
- Communication sécurisée
- Pas de commandes véhicule non autorisées
- Sécurité du firmware
- SBOM

CONSIDÉRATIONS SPÉCIALES :
- Accès aux réseaux critiques pour la sécurité
- Risques potentiels d'immobilisation du véhicule
- Implications assurance et responsabilité
- Considérer les directives industrielles (SAE J3061)

Équipements de Recharge VE

CONFORMITÉ CRA BORNE DE RECHARGE VE

CLASSIFICATION : Potentiellement Important Classe I ou II
(infrastructure énergétique)

S'APPLIQUE PARCE QUE :
- Pas partie de l'homologation du véhicule
- Produit d'infrastructure séparé
- Connectivité numérique

EXIGENCES CLÉS :
- Sécurité du réseau (infrastructure énergétique)
- Sécurité des paiements (si applicable)
- Sécurité du protocole de communication (OCPP)
- Sécurité physique
- Mécanisme de mise à jour
- SBOM

ALIGNEMENT DES NORMES :
- IEC 61851 (recharge VE)
- Directives de sécurité OCPP
- Normes smart grid
- Exigences essentielles CRA

Télématique de Flotte

CONFORMITÉ CRA TÉLÉMATIQUE DE FLOTTE

CLASSIFICATION : Default ou Important Classe I

S'APPLIQUE PARCE QUE :
- Installation rétrofit/aftermarket
- Pas homologué avec le véhicule
- Produit séparé

EXIGENCES CLÉS :
- Protection des données véhicule
- Vie privée de localisation
- Sécurité des communications
- Sécurité de la plateforme de gestion
- Sécurité du firmware de l'appareil
- SBOM

CONSIDÉRATIONS COMMERCIALES :
- Produit B2B (peut affecter la documentation)
- Exigences des clients de flotte
- Intégration avec les plateformes de gestion de flotte

Considérations sur les Pièces de Rechange

Quand les Pièces de Rechange sont-elles Exemptées ?

ANALYSE DES PIÈCES DE RECHANGE

EXEMPTÉES (Probablement) :
- Remplacement direct de pièce OEM
- Même spécification que l'original
- Vendue comme remplacement pour véhicule homologué
- Maintient le statut d'homologation du véhicule

NON EXEMPTÉES :
- Versions améliorées/upgradées
- Spécifications différentes
- Ne correspondant pas à l'homologation d'origine
- Modifications de performance

ZONE GRISE :
- Pièces reconditionnées
- Pièces équivalentes tierces
- Pièces avec modifications logicielles

RECOMMANDATION :
Documenter clairement la base de l'exemption.
En cas de doute, envisager la conformité CRA.

Parcours Pratiques de Conformité

Pour les Fabricants de Produits Aftermarket

PARCOURS CRA PRODUIT AFTERMARKET

ÉVALUATION :
[ ] Confirmer non couvert par l'homologation
[ ] Classer selon les catégories CRA
[ ] Identifier les normes applicables

APPROCHE DE CONFORMITÉ :
[ ] Exploiter ISO/SAE 21434 si déjà implémenté
[ ] Mettre en œuvre les exigences essentielles CRA
[ ] Générer le SBOM
[ ] Établir la gestion des vulnérabilités
[ ] Préparer le signalement ENISA

DOCUMENTATION :
[ ] Dossier technique
[ ] Évaluation des risques
[ ] Documentation utilisateur
[ ] Déclaration de conformité
[ ] Marquage CE

Pour les Fournisseurs de Rang avec Double Canal

FOURNISSEUR DE RANG AVEC OEM + AFTERMARKET

STRATÉGIE 1 : Produits Séparés
- Variante OEM : fourniture sous flux d'homologation
- Variante aftermarket : conforme CRA
- Différenciation claire des produits

STRATÉGIE 2 : Conformité CRA pour Tous
- Appliquer le CRA à toutes les variantes
- Dépasse de toute façon les exigences OEM
- Gestion de conformité simplifiée
- Documentation produit unique

STRATÉGIE 3 : Approche Échelonnée
- Sécurité de base pour tous (ISO 21434)
- Éléments CRA supplémentaires pour aftermarket
- Documentation de base partagée

Pour les OEM Gérant les Exigences Fournisseurs

GESTION DES FOURNISSEURS OEM

EXIGENCES UN R155 :
- Vérifier les capacités de cybersécurité des fournisseurs
- Évaluer les processus des fournisseurs
- Surveiller les risques fournisseurs

APPROCHE PRATIQUE :
- Exiger la conformité ISO/SAE 21434
- Demander des preuves d'évaluation de sécurité
- Inclure les exigences SBOM dans les contrats
- Établir des accords de partage des vulnérabilités
- Définir les exigences de notification d'incident

ALIGNEMENT AVEC LE CRA :
Même si le CRA ne s'applique pas aux composants
homologués, exiger des preuves similaires au CRA
des fournisseurs renforce votre conformité UN R155

Normes et Ressources Industrielles

Normes Pertinentes

NORMES DE CYBERSÉCURITÉ AUTOMOBILE

ISO/SAE 21434 : Véhicules routiers - Ingénierie de la cybersécurité
Règlement UN 155 : Cybersécurité (CSMS)
Règlement UN 156 : Mise à jour logicielle (SUMS)

NORMES DE SUPPORT :
ISO/SAE 8000 : Audit CSMS
ISO 24089 : Ingénierie des mises à jour logicielles
Spécifications cybersécurité AUTOSAR
SAE J3061 : Guide de cybersécurité

SPÉCIFIQUES À LA RECHARGE :
IEC 61851 : Recharge VE
OCPP (Open Charge Point Protocol)
ISO 15118 : Communication V2G

Organisations Industrielles

Checklist pour les Produits Automobiles

CHECKLIST CRA PRODUIT AUTOMOBILE

CLASSIFICATION :
[ ] Le produit est-il couvert par l'homologation ? (Exempté si oui)
[ ] Est-ce un produit aftermarket ? (CRA s'applique)
[ ] Est-ce une pièce de rechange ? (Évaluer la base d'exemption)
[ ] Est-ce une infrastructure de recharge ? (Généralement CRA)

SI LE CRA S'APPLIQUE :
[ ] Classification CRA déterminée
[ ] Parcours d'évaluation de conformité sélectionné
[ ] Documentation technique préparée

CONFORMITÉ TECHNIQUE :
[ ] Alignement ISO/SAE 21434 exploité
[ ] Implémentation sécurité par défaut
[ ] Sécurité du réseau véhicule (si applicable)
[ ] Mécanisme de mise à jour
[ ] Génération SBOM
[ ] Gestion des vulnérabilités

DOCUMENTATION :
[ ] Évaluation des risques (méthodologie TARA fonctionne)
[ ] Architecture de sécurité
[ ] Documentation utilisateur
[ ] Déclaration de conformité
[ ] Marquage CE

CONSIDÉRATIONS SPÉCIALES :
[ ] Vie privée des données véhicule (RGPD)
[ ] Implications de sécurité évaluées
[ ] Exigences OEM (si fournisseur)

Ressources Clés

RESSOURCES CYBERSÉCURITÉ AUTOMOBILE

RÉGLEMENTATIONS :
Règlement UN 155 (CSMS)
Règlement UN 156 (SUMS)
https://unece.org/transport/vehicle-regulations

Homologation UE :
Règlement (UE) 2018/858
https://eur-lex.europa.eu

NORMES :
ISO/SAE 21434:2021
Disponible auprès de l'ISO ou SAE

ORIENTATIONS :
ENISA Good Practices for Security of Smart Cars
Auto-ISAC Best Practices

INDUSTRIE :
Documents de position CLEPA
VDA Automotive Cybersecurity

Important : Les véhicules sont exemptés du CRA (couverts par UN R155/R156). Cependant, les accessoires aftermarket, outils de diagnostic et services connectés SONT dans le champ d'application.

Conseil : Si vous fournissez des composants à des OEM automobiles ET vendez des produits aftermarket, vous pourriez n'avoir besoin de la conformité CRA que pour la gamme aftermarket.

Guides connexes :

• Classification des Produits CRA : Votre Produit est-il Default, Important ou Critical ?
• CRA Supplier Due Diligence : Questionnaire et Checklist pour les Composants Open Source

Comment CRA Evidence Aide

Pour les produits automobiles aftermarket nécessitant la conformité CRA :

• Correspondance ISO/SAE 21434 : Exploiter le travail de sécurité automobile existant
• SBOM pour l'embarqué : Support pour les composants firmware automobiles
• Suivi des vulnérabilités : Coordination de la chaîne d'approvisionnement automobile
• Gestion multi-produits : Gérer les familles de produits à travers les canaux
• Génération de dossier technique : Modèles adaptés à l'automobile

Commencez votre conformité CRA sur app.craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Pour des conseils de conformité spécifiques, en particulier concernant les limites de l'homologation, consultez un conseiller réglementaire qualifié.