Conformité CRA pour l'IoT Grand Public : Alignement EN 303 645 et Guide de Sécurité des Maisons Connectées

Les produits IoT grand public, enceintes connectées, caméras connectées, wearables, appareils de maison intelligente, sont au cœur de la conformité CRA. La plupart relèvent de la catégorie Default, permettant l'auto-évaluation, mais doivent quand même satisfaire toutes les exigences essentielles. ETSI EN 303 645 fournit une excellente base de référence pour la conformité.

Ce guide couvre la conformité CRA pour les fabricants d'IoT grand public.

Conseil : La plupart des appareils IoT relèvent de la catégorie Default du CRA. Consultez l'Annexe III avant de supposer qu'une évaluation par un tiers est nécessaire.

Quels Produits IoT Grand Public Sont Concernés ?

Champ d'Application CRA pour l'IoT Grand Public

Le CRA s'applique à tous les "produits comportant des éléments numériques" mis sur le marché de l'UE. Pour l'IoT grand public, cela inclut :

Clairement dans le champ d'application :

• Enceintes connectées et assistants vocaux
• Hubs et contrôleurs de maison intelligente
• Caméras connectées (sécurité, babyphones, sonnettes)
• Systèmes d'éclairage intelligent
• Thermostats connectés et contrôles CVC
• Serrures connectées et systèmes d'accès
• Appareils portables (montres connectées, trackers fitness)
• Jouets et jeux connectés
• Appareils électroménagers intelligents (réfrigérateurs, lave-linge)
• Liseuses et tablettes
• Appareils de santé/bien-être connectés (non médicaux)

Champ d'application partiel (peuvent avoir des réglementations supplémentaires) :

• Smart TV (également couverts par RED)
• Appareils médicaux connectés (également MDR, voir notre guide MDR)
• Véhicules connectés (Règlement Machines, homologation de type)

Classification CRA pour l'IoT Grand Public

La plupart de l'IoT grand public relève de Default ou Important Class I :

CLASSIFICATION CRA IoT GRAND PUBLIC

CATÉGORIE DEFAULT (Auto-évaluation) :
- Enceintes connectées
- Caméras connectées (usage domestique)
- Éclairage intelligent
- Thermostats connectés
- Wearables
- Appareils électroménagers intelligents
- Jouets connectés
- Appareils de maison intelligente généraux

IMPORTANT CLASS I (Auto-évaluation avec normes harmonisées OU tiers) :
- Hubs de maison intelligente gérant d'autres appareils
- Passerelles domotiques
- Solutions VPN grand public
- Logiciels de contrôle parental
- Gestionnaires de mots de passe

IMPORTANT CLASS II (Tiers requis) :
- Pare-feu grand public
- Appareils IDS/IPS grand public
- (Rare pour les produits purement grand public)

EN 303 645 et Alignement CRA

Qu'est-ce que EN 303 645 ?

ETSI EN 303 645 "Cyber Security for Consumer Internet of Things: Baseline Requirements" est la norme de référence pour la sécurité de l'IoT grand public. Publiée en 2020, elle est largement adoptée et devrait devenir une norme harmonisée CRA.

Structure EN 303 645 :

• 13 catégories de dispositions
• 66 dispositions obligatoires (pour la conformité de base)
• Recommandations supplémentaires
• Spécification de test associée (TS 103 701)

Correspondance EN 303 645 ↔ CRA

EN 303 645 comme Base de Conformité

Info : EN 303 645 devrait devenir une norme harmonisée sous le CRA. Si harmonisée, son respect complet permet l'auto-évaluation (Module A) même pour les produits IoT de Classe Important I.

Statut attendu : EN 303 645 sera probablement listée comme norme harmonisée CRA, fournissant une "présomption de conformité" pour les exigences techniques.

Ce que EN 303 645 fournit :

• Base de sécurité complète
• Dispositions testables (TS 103 701)
• Reconnaissance de l'industrie
• Programmes de certification existants

Ce que le CRA ajoute au-delà de EN 303 645 :

• Exigences SBOM
• Signalement des vulnérabilités à ENISA (24h/72h)
• Procédures de marquage CE
• Déclaration de Conformité UE formelle
• Documentation du dossier technique
• Coordination de la surveillance du marché

EN 303 645 → APPROCHE DE CONFORMITÉ CRA

SI vous avez la conformité EN 303 645 :
→ Base technique solide atteinte
→ Utiliser les preuves d'évaluation pour le dossier technique CRA
→ Ajouter la génération SBOM
→ Implémenter le signalement ENISA
→ Préparer la documentation de marquage CE

SI vous partez de zéro :
→ Utiliser EN 303 645 comme cible technique
→ Planifier les ajouts CRA dès le départ
→ Considérer la certification EN 303 645

Exigences Clés en Détail

Pas de Mots de Passe par Défaut (Critique)

Disposition EN 303 645 5.1-1 : "Lorsque des mots de passe sont utilisés et dans tout état autre que l'état 'par défaut d'usine', tous les mots de passe des appareils IoT grand public doivent être uniques par appareil ou définis par l'utilisateur."

Alignement CRA : C'est le "sécurisé par défaut" en action.

Implémentation :

APPROCHES DE MOT DE PASSE POUR IoT GRAND PUBLIC

OPTION 1 : Mot de passe usine unique
- Générer un mot de passe unique par appareil
- Imprimer sur l'appareil/emballage
- Stocker dans un élément sécurisé si disponible

OPTION 2 : Défini par l'utilisateur lors de la configuration
- Forcer la création de mot de passe lors de la configuration
- Appliquer la complexité du mot de passe
- Pas d'option "ignorer"

OPTION 3 : Authentification sans mot de passe
- Codes d'appairage Bluetooth/WiFi
- Authentification basée sur l'application
- Biométrie si approprié

ÉVITER :
✗ Mots de passe par défaut universels ("admin/admin")
✗ Mots de passe prévisibles (numéro de série)
✗ Paramétrage de mot de passe optionnel
✗ Motifs faciles à deviner

Divulgation des Vulnérabilités

Disposition EN 303 645 5.2-1 : "Le fabricant doit fournir un point de contact public dans le cadre d'une politique de divulgation des vulnérabilités..."

Amélioration CRA : Le CRA exige non seulement l'acceptation de la divulgation mais aussi le signalement actif à ENISA.

Implémentation :

GESTION DES VULNÉRABILITÉS IoT GRAND PUBLIC

CONTACT PUBLIC :
- security@company.com
- Fichier Security.txt à /.well-known/security.txt
- Page sécurité dédiée sur le site web

POLITIQUE DE DIVULGATION :
- Accepter les rapports des chercheurs en sécurité
- Accuser réception sous 5 jours ouvrables
- Fournir des mises à jour de statut
- Coordonner le calendrier de divulgation
- Créditer les chercheurs (si souhaité)

SIGNALEMENT ENISA (spécifique CRA) :
- Signaler les vulnérabilités activement exploitées sous 24 heures
- Signaler les vulnérabilités sévères sous 72 heures
- Utiliser la Plateforme Unique de Signalement ENISA

Mises à Jour Logicielles

Dispositions EN 303 645 5.3 : La capacité de mise à jour logicielle est obligatoire.

Exigences Clés :

EXIGENCES DE MISE À JOUR LOGICIELLE

MÉCANISME DE MISE À JOUR (5.3.3) :
[ ] Livraison sécurisée (mises à jour signées)
[ ] Vérification d'intégrité
[ ] Protection contre le retour arrière
[ ] Notification utilisateur

SUPPORT DES MISES À JOUR (5.3.1) :
[ ] Période de support définie
[ ] Date de fin de support publiée
[ ] Au moins la durée de vie attendue du produit
[ ] CRA : Minimum 5 ans

MISES À JOUR AUTOMATIQUES (5.3.6) :
[ ] Mise à jour automatique configurable
[ ] Mécanisme de consentement utilisateur
[ ] Perturbation minimale
[ ] Visibilité du statut de mise à jour

Communication Sécurisée

Disposition EN 303 645 5.4 : Chiffrer les données sensibles en transit.

Implémentation :

SÉCURITÉ DES COMMUNICATIONS

CHIFFREMENT DU TRANSPORT :
- TLS 1.2+ pour toutes les communications cloud
- Suites de chiffrement robustes
- Validation des certificats
- Pas de repli vers le non chiffré

COMMUNICATION LOCALE :
- Chiffrer le trafic réseau local si possible
- Mécanismes d'appairage sécurisés
- Flux de configuration/paramétrage protégés

ÉVITER :
✗ HTTP en clair pour toute donnée sensible
✗ Certificats auto-signés sans épinglage
✗ Négociation de chiffrement faible
✗ Identifiants codés en dur dans les communications

SBOM pour l'IoT Grand Public

Défis des Appareils Embarqués

Les appareils IoT grand public fonctionnent souvent sur du matériel contraint :

Composants Typiques :

• OS temps réel ou Linux embarqué
• Piles réseau (lwIP, etc.)
• Bibliothèques de protocoles (MQTT, CoAP)
• Bibliothèques crypto
• SDKs tiers (connectivité cloud)
• Code applicatif

Stratégie SBOM :

APPROCHE SBOM IoT GRAND PUBLIC

PROFONDEUR MINIMUM :
1. Système d'exploitation/RTOS
2. Framework/SDK majeur
3. Bibliothèques réseau/protocoles
4. Bibliothèques crypto
5. SDK connectivité cloud
6. Composants tiers clés

FORMAT :
- CycloneDX ou SPDX
- Inclure les informations de version
- Inclure PURL si disponible
- Documenter les composants propriétaires

CONSEILS PRATIQUES :
- Extraire du système de build
- Automatiser la génération SBOM dans CI/CD
- Mettre à jour le SBOM à chaque version firmware
- Considérer les outils (Syft, Trivy, etc.)

Considérations de Chaîne d'Approvisionnement

L'IoT grand public utilise souvent des fournisseurs de silicium et SDKs communs :

GESTION SBOM DE LA CHAÎNE D'APPROVISIONNEMENT

SDK FOURNISSEUR DE SILICIUM :
- Demander le SBOM au fournisseur (Espressif, Nordic, etc.)
- Beaucoup fournissent maintenant des listes de composants
- Inclure dans votre SBOM agrégé

SDK PLATEFORME CLOUD :
- SDKs AWS IoT, Azure IoT, Google Cloud IoT
- Composants bien documentés
- Ont généralement des manifestes de dépendances

MODULES TIERS :
- Les modules WiFi/Bluetooth peuvent avoir du firmware
- Demander les informations sur les composants
- Documenter ce que vous savez

DOCUMENTER LES LIMITATIONS :
- Noter tout composant sans visibilité SBOM
- Expliquer les contraintes de chaîne d'approvisionnement
- Mettre à jour au fur et à mesure que l'information devient disponible

5 Ans de Support : Le Grand Défi

Contexte de l'Industrie

De nombreux produits IoT grand public ont historiquement eu des fenêtres de support courtes :

• Appareils budget : 1-2 ans (ou pas de mises à jour)
• Milieu de gamme : 2-3 ans
• Premium : 3-5 ans

Exigence CRA : Minimum 5 ans de mises à jour de sécurité à partir de la mise sur le marché de chaque unité.

Planifier le Support sur 5 Ans

STRATÉGIE DE SUPPORT 5 ANS

PLANIFICATION DES COÛTS :
- Surveillance de sécurité (continue)
- Capacité de réponse aux vulnérabilités
- Développement et test des mises à jour
- Infrastructure de livraison des mises à jour
- Ressources de support client

PLANIFICATION TECHNIQUE :
- Mécanisme de mise à jour stable
- Infrastructure OTA
- Capacité de retour arrière
- Tests sur la durée de vie de l'appareil

PLANIFICATION COMMERCIALE :
- Prix du produit (inclure les coûts de support)
- Communication de la période de support
- Processus de fin de support
- Chemin de migration client

ÉTAPES DU CYCLE DE VIE :
Années 1-2 : Développement actif, mises à jour fréquentes
Années 3-4 : Mode maintenance, mises à jour sécurité uniquement
Année 5 :   Préparation fin de support
Année 5+ :  Fin du support, notification client

Communication de Fin de Support

EXIGENCES DE FIN DE SUPPORT

À L'ACHAT :
- Indication claire de la période de support
- Date de fin de support attendue
- Ce que "support" inclut

EN APPROCHE DE LA FIN :
- Notification anticipée (6-12 mois)
- Explication des implications
- Options de mise à niveau/remplacement

À LA FIN DU SUPPORT :
- Notification finale
- Recommandations de sécurité
- Conseils de mise au rebut sécurisée

APRÈS SUPPORT :
- L'appareil peut encore fonctionner
- Plus de mises à jour de sécurité
- Le client assume le risque

Exigences de Documentation Grand Public

Exigences Linguistiques

Les produits grand public vendus dans les États membres de l'UE nécessitent une documentation dans la langue locale :

LANGUES DOCUMENTATION IoT GRAND PUBLIC

REQUIS PAR MARCHÉ :
- Informations de sécurité : Doivent être dans la langue locale
- Instructions de configuration : Devraient être dans la langue locale
- Manuel utilisateur : Devrait être dans la langue locale

APPROCHE PRATIQUE :
- Anglais comme base
- Localiser pour les principaux marchés (DE, FR, ES, IT, PL, NL)
- Considérer la documentation numérique (app, QR code)
- Guide de démarrage rapide imprimé en plusieurs langues

Quoi Documenter

DOCUMENTATION UTILISATEUR IoT GRAND PUBLIC

INFORMATIONS DE SÉCURITÉ :
[ ] Sécurité de la configuration initiale (mot de passe, appairage)
[ ] Paramètres et recommandations de mise à jour
[ ] Paramètres de confidentialité
[ ] Explication de la collecte de données
[ ] Période de support et contact

INFORMATIONS DE SÉCURITÉ PHYSIQUE :
[ ] Sécurité électrique
[ ] Utilisation prévue
[ ] Avertissements de danger
[ ] Sécurité des enfants (si pertinent)

INFORMATIONS DE CONFORMITÉ :
[ ] Marquage CE visible sur le produit
[ ] Référence à la Déclaration de Conformité
[ ] Coordonnées du fabricant
[ ] Contact support/sécurité

Évaluation de Conformité pour l'IoT Grand Public

Auto-Évaluation (Module A)

La plupart de l'IoT grand public peut utiliser l'auto-évaluation :

MODULE A POUR IoT GRAND PUBLIC

CE QUE VOUS FAITES :
1. Effectuer une évaluation des risques interne
2. Implémenter les exigences essentielles
3. Préparer la documentation technique
4. Tester par rapport aux exigences
5. Compléter la Déclaration de Conformité UE
6. Apposer le marquage CE

PAS D'ORGANISME NOTIFIÉ NÉCESSAIRE :
- Produits catégorie Default
- Important Class I avec normes harmonisées

CONTENU DU DOSSIER TECHNIQUE :
- Description du produit
- Évaluation des risques
- Documentation de conception
- Rapports de tests (laboratoire interne ou externe)
- Évaluation EN 303 645 (si revendiquée)
- SBOM
- Documentation utilisateur

Utiliser la Certification EN 303 645

Si vous poursuivez la certification EN 303 645 :

CERTIFICATION EN 303 645 → CRA

ORGANISMES DE CERTIFICATION :
- CTIA (US)
- TÜV (EU)
- BSI Kitemark (UK)
- Divers laboratoires alignés ETSI

AVANTAGES :
- Vérification par tiers
- Valeur marketing ("certifié sécurisé")
- Présomption de conformité (une fois harmonisé)
- Preuves pour le dossier technique

POUR LE CRA, ÉGALEMENT BESOIN DE :
- SBOM (non couvert par EN 303 645)
- Processus de signalement ENISA
- DoC UE formelle
- Processus de marquage CE

Conseils Spécifiques par Industrie

Enceintes Connectées et Assistants Vocaux

CONFORMITÉ CRA ENCEINTE CONNECTÉE

CLASSIFICATION : Default

EXIGENCES CLÉS :
- Protection des données vocales
- Communication cloud sécurisée
- Mode muet/confidentialité (sécurisé par défaut)
- Mécanisme de mise à jour
- Sécurité du compte

CONSIDÉRATIONS DE CONFIDENTIALITÉ :
- Minimiser l'écoute permanente
- Indicateur clair lors de l'écoute
- Accès et suppression des données utilisateur
- Alignement RGPD

Caméras Connectées

CONFORMITÉ CRA CAMÉRA CONNECTÉE

CLASSIFICATION : Default (domicile) ou Important I (système de sécurité)

EXIGENCES CLÉS :
- Authentification forte
- Flux vidéo chiffrés
- Sécurité du stockage local
- Sécurité du stockage cloud
- Fonctionnalités de masquage de confidentialité

CONSIDÉRATIONS SPÉCIALES :
- Les données vidéo sont très sensibles
- Protection contre l'accès physique
- Gestion de l'accès invité/famille
- Exigences de notification d'enregistrement

Hubs de Maison Intelligente

CONFORMITÉ CRA HUB MAISON INTELLIGENTE

CLASSIFICATION : Important Class I

EXIGENCES CLÉS :
- Sécurité des protocoles (Zigbee, Z-Wave, Thread, Matter)
- Intégration sécurisée des appareils
- Contrôle d'accès pour les appareils connectés
- Traitement local vs cloud
- Mécanisme de mise à jour pour hub et protocoles

CONSIDÉRATIONS SPÉCIALES :
- Le hub est la surface d'attaque pour tous les appareils connectés
- Alignement sécurité Matter/Thread
- Capacité de sauvegarde/récupération

Wearables

CONFORMITÉ CRA APPAREIL PORTABLE

CLASSIFICATION : Default (fitness) ou peut avoir un chevauchement médical

EXIGENCES CLÉS :
- Sécurité de l'appairage Bluetooth
- Protection des données de santé
- Sécurité de l'application téléphone
- Surface d'attaque limitée
- Sécurité économe en batterie

CONSIDÉRATIONS SPÉCIALES :
- Les contraintes de taille affectent les fonctionnalités de sécurité
- L'application compagnon fait partie du produit
- Les données de santé peuvent avoir des réglementations supplémentaires

Jouets Connectés

CONFORMITÉ CRA JOUET CONNECTÉ

CLASSIFICATION : Default

EXIGENCES CLÉS :
- Protection de la vie privée des enfants (type COPPA)
- Contrôles parentaux
- Paramètres par défaut sûrs
- Modèle de sécurité simple
- Filtrage de contenu approprié

CONSIDÉRATIONS SPÉCIALES :
- Les enfants comme utilisateurs principaux
- Les fonctionnalités voix/vidéo nécessitent une attention particulière
- Sécurité physique + cybersécurité
- Conseils parentaux clairs

Feuille de Route Pratique de Conformité

Phase 1 : Évaluation (Maintenant - Mi-2026)

ÉVALUATION IoT GRAND PUBLIC

INVENTAIRE PRODUITS :
[ ] Lister tous les produits avec éléments numériques
[ ] Classer selon les catégories CRA
[ ] Identifier les produits avec support actuel court

ANALYSE DES ÉCARTS :
[ ] Actuel vs dispositions EN 303 645
[ ] Capacité SBOM
[ ] Infrastructure de mise à jour
[ ] Engagement de période de support

PLANIFICATION :
[ ] Chemin de conformité EN 303 645
[ ] Outillage de génération SBOM
[ ] Coûts d'extension de période de support

Phase 2 : Préparation (Mi-2026 - Sept 2026)

PHASE DE PRÉPARATION

TECHNIQUE :
[ ] Implémenter les dispositions EN 303 645
[ ] Ajouter la génération SBOM au build
[ ] Établir la gestion des vulnérabilités
[ ] Préparer la capacité de signalement ENISA

DOCUMENTATION :
[ ] Templates de dossier technique
[ ] Mises à jour de documentation utilisateur
[ ] Préparation multilingue

COMMERCIAL :
[ ] Définitions des périodes de support
[ ] Révision des prix
[ ] Plan de communication client

Phase 3 : Conformité (Sept 2026 - Déc 2027)

PHASE DE CONFORMITÉ

SEPTEMBRE 2026 :
[ ] Signalement des vulnérabilités opérationnel
[ ] Inscription SRP ENISA

PENDANT 2027 :
[ ] Compléter les évaluations de conformité
[ ] Mettre à jour toutes les lignes de produits
[ ] Finaliser la documentation
[ ] Certification EN 303 645 (optionnelle)

DÉCEMBRE 2027 :
[ ] Tous les produits conformes CRA
[ ] Marquage CE apposé
[ ] Communication client complète

Checklist pour l'IoT Grand Public

CHECKLIST CRA IoT GRAND PUBLIC

SÉCURITÉ PRODUIT :
[ ] Pas de mots de passe par défaut (unique ou défini par utilisateur)
[ ] Communications chiffrées (TLS 1.2+)
[ ] Mécanisme de mise à jour sécurisé
[ ] Surface d'attaque minimale
[ ] Paramètres sécurisés par défaut

ALIGNEMENT EN 303 645 :
[ ] Revue des 66 dispositions
[ ] Implémentation des dispositions obligatoires
[ ] Documentation des preuves de conformité
[ ] Certification considérée

SBOM :
[ ] Génération SBOM dans le processus de build
[ ] Tous les composants majeurs identifiés
[ ] Composants de chaîne d'approvisionnement inclus
[ ] Mises à jour SBOM régulières

GESTION DES VULNÉRABILITÉS :
[ ] Contact sécurité public
[ ] Politique de divulgation des vulnérabilités
[ ] Capacité de signalement ENISA
[ ] Processus de développement de correctifs

DOCUMENTATION :
[ ] Dossier technique préparé
[ ] Documentation utilisateur mise à jour
[ ] Support multilingue
[ ] Période de support indiquée

PÉRIODE DE SUPPORT :
[ ] Engagement minimum 5 ans
[ ] Infrastructure de mise à jour planifiée
[ ] Processus de fin de support défini
[ ] Modèle de coût durable

Comment CRA Evidence Aide

CRA Evidence soutient les fabricants d'IoT grand public :

• Correspondance EN 303 645 : Suivez la conformité par rapport aux dispositions de la norme
• Gestion SBOM : Générez et gérez les SBOMs pour appareils embarqués
• Support multi-produits : Gérez efficacement les familles de produits
• Suivi des vulnérabilités : Gestion des vulnérabilités adaptée au grand public
• Documentation : Génération et gestion du dossier technique

Démarrez votre conformité CRA sur app.craevidence.com.

Articles Connexes

• Classification des Produits CRA : Default vs Important vs Critique -- Comprenez comment votre produit IoT est classé sous le CRA.
• SBOM pour la Conformité CRA : Guide Complet du Software Bill of Materials -- Apprenez à créer et gérer des SBOMs pour les appareils IoT embarqués.
• CRA et Caméras Connectées : Sécurité et Conformité des Caméras Intelligentes -- Approfondissement des exigences CRA pour les caméras connectées et les appareils vidéo.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.