Coût de conformité CRA : comment budgétiser l'évaluation de conformité et la documentation

Les coûts de conformité CRA varient selon la catégorie du produit, la voie d'évaluation de conformité et la maturité de sécurité existante. Il n'existe pas de chiffre unique. Un simple capteur IoT utilisant l'auto-évaluation peut y parvenir pour EUR 20 000-60 000. Un pare-feu industriel nécessitant un organisme notifié dépensera EUR 200 000-500 000 avant même de compter les obligations continues. Cet article décompose ce qui détermine ces chiffres et ce que les fabricants doivent budgétiser de manière réaliste.

Conseil : Les produits de catégorie Default peuvent utiliser l'auto-évaluation (Module A). C'est ce qui maintient les coûts initiaux au plus bas. Confirmez la classification de votre produit avant de budgétiser. La majorité des produits sont Default.

Deux échéances, deux budgets différents

Le CRA (Règlement (UE) 2024/2847) comporte deux jalons de conformité, chacun avec des implications budgétaires différentes :

11 septembre 2026 : les obligations de signalement s'appliquent (Article 14)

Les fabricants doivent avoir mis en place des processus actifs de divulgation des vulnérabilités et de réponse aux incidents. Cela signifie :

• Un processus pour détecter et trier les vulnérabilités activement exploitées
• La capacité de signaler à votre CSIRT national dans les 24 heures suivant la prise de connaissance, avec une notification complète dans les 72 heures et un rapport final dans les 14 jours suivant la disponibilité d'un correctif
• Pour les incidents de sécurité graves : le même calendrier d'alerte précoce 24h/72h, avec un rapport final dans le mois qui suit

Cette échéance est dans 5 mois à compter d'avril 2026. Elle ne requiert pas une conformité produit complète, mais exige des processus opérationnels. Budgétisez séparément pour cela.

Note : La plateforme de signalement unique CRA (le système que les fabricants utiliseront pour signaler simultanément aux CSIRT nationaux et à l'ENISA) est en cours de construction par l'ENISA. Elle n'est pas encore opérationnelle.

11 décembre 2027 : les obligations complètes du fabricant s'appliquent

Le dossier technique, l'évaluation de conformité, la déclaration UE de conformité, le marquage CE, le SBOM et les exigences de livraison des mises à jour s'appliquent tous à compter de cette date.

Le cadre des organismes notifiés au titre du CRA entre en vigueur le 11 juin 2026. Les États membres sont tenus d'avoir un nombre suffisant d'organismes notifiés en place d'ici le 11 décembre 2026. Aucun organisme notifié désigné au titre du CRA n'existe encore. Il s'agit d'une contrainte d'offre : lorsque les organismes seront désignés, la demande sera élevée et des files d'attente se formeront. Les fabricants qui ont besoin d'une évaluation Module B+C doivent en tenir compte dans leur calendrier.

Aperçu des catégories de coûts

Les coûts de conformité CRA se répartissent en cinq catégories :

STRUCTURE DES COUTS DE CONFORMITE CRA
==============================================================

COUTS PONCTUELS
--------------------------------------------------------------

  1. EVALUATION DE CONFORMITE
     - Evaluation des risques
     - Tests de securite
     - Documentation
     - Frais d'organisme notifie (si applicable)

  2. MISE EN PLACE D'INFRASTRUCTURE
     - Outillage SBOM
     - Mecanisme de livraison des mises a jour
     - Systeme de gestion des vulnerabilites
     - Depot de documentation

  3. REMEDIATION PRODUIT
     - Corrections des lacunes de securite
     - Changements d'architecture
     - Implementation du demarrage securise
     - Mises a niveau cryptographiques

COUTS CONTINUS
--------------------------------------------------------------

  4. GESTION DES VULNERABILITES
     - Surveillance et tri
     - Developpement de correctifs
     - Notification des clients
     - Signalement CSIRT national (Article 14)

  5. MAINTENANCE PERIODE DE SUPPORT
     - Distribution des mises a jour
     - Tests de securite (continus)
     - Mises a jour de documentation
     - Support client

Estimations de coûts par catégorie de produit

A propos de ces chiffres : Les ventilations détaillées ci-dessous sont des estimations indicatives, pas des devis vérifiés. Elles sont calibrées sur des repères publiés : l'étude d'impact de la CE (SWD(2022) 282) a modélisé l'auto-évaluation à environ EUR 18 400 par produit en moyenne, l'évaluation par tiers à environ EUR 25 000, et les produits complexes comme les routeurs à EUR 126 000. Les tarifs pré-CRA du marché (France CSPN : EUR 25 000-35 000 ; Pays-Bas BSPA : moy. EUR 40 000) constituent des points de référence supplémentaires. Aucun barème de frais d'organisme notifié spécifique au CRA n'a été publié ; les fourchettes reflètent les tarifs du marché européen d'évaluation de cybersécurité pré-CRA. Les coûts réels dépendent de votre produit, de la maturité sécurité existante, du prestataire de services et du calendrier. Utilisez ces éléments comme cadre de planification, pas comme devis.

Produits default (module A auto-évaluation)

La plupart des produits entrent ici. L'auto-évaluation maintient les coûts au minimum.

PRODUIT DEFAULT - ESTIMATION DES COUTS

SCENARIO : Capteur IoT, produit existant, maturite securite moderee
----------------------------------------------------------------

COUTS PONCTUELS :

Evaluation des Risques
+-- Effort interne (40-80 heures)           EUR 4,000 - EUR 8,000
\-- Consultant externe (optionnel)          EUR 5,000 - EUR 15,000

Tests de Securite
+-- Scan de vulnerabilites                  EUR 1,000 - EUR 3,000
+-- Tests d'intrusion                       EUR 5,000 - EUR 15,000
\-- Revue de code (si applicable)           EUR 3,000 - EUR 10,000

Documentation
+-- Preparation du dossier technique        EUR 5,000 - EUR 15,000
+-- Configuration generation SBOM           EUR 1,000 - EUR 5,000
\-- DoC et instructions utilisateur         EUR 1,000 - EUR 3,000

Infrastructure
+-- Outillage SBOM                          EUR 0 - EUR 5,000/an
+-- Mecanisme livraison mises a jour        EUR 5,000 - EUR 20,000
\-- Suivi des vulnerabilites                EUR 0 - EUR 10,000/an

----------------------------------------------------------------
TOTAL PONCTUEL :                            EUR 20,000 - EUR 80,000
----------------------------------------------------------------

COUTS CONTINUS (par an) :

Gestion des vulnerabilites                  EUR 10,000 - EUR 30,000
Developpement et test des mises a jour      EUR 15,000 - EUR 40,000
Maintenance documentation                   EUR 2,000 - EUR 5,000
Support client (securite)                   EUR 5,000 - EUR 15,000

----------------------------------------------------------------
CONTINU ANNUEL :                            EUR 32,000 - EUR 90,000
----------------------------------------------------------------

COUT TOTAL DE POSSESSION 5 ANS :            EUR 180,000 - EUR 530,000

Important classe I (module B+c requis en pratique)

Examen plus approfondi, plus de documentation, implication d'un organisme notifié pour la plupart des fabricants.

Note sur les normes harmonisées : L'auto-évaluation Module A est disponible pour les produits Important Classe I uniquement lorsque des normes harmonisées pertinentes au titre du CRA ont été publiées et que le fabricant les applique intégralement. Début 2026, aucune norme harmonisée spécifique au CRA n'a été adoptée. Les normes EN 18031-1/2/3 (publiées en janvier 2025, réf. JO UE 2025/138) sont harmonisées au titre de la Directive sur les équipements radioélectriques (RED), pas du CRA. Tant que des normes harmonisées CRA ne seront pas formellement adoptées, la plupart des fabricants Important Classe I auront besoin du Module B+C. Budgétisez en conséquence.

IMPORTANT CLASSE I - ESTIMATION DES COUTS

SCENARIO : Hub domotique, Important Classe I
----------------------------------------------------------------

SITUATION ACTUELLE (Module B+C, pas encore de normes harmonisees CRA) :

Evaluation des Risques
+-- Evaluation complete                     EUR 8,000 - EUR 20,000
\-- Analyse des ecarts standards            EUR 5,000 - EUR 15,000

Tests de Securite
+-- Suite complete tests securite           EUR 15,000 - EUR 40,000
+-- Tests conformite standards              EUR 10,000 - EUR 25,000
\-- Validation par tiers                    EUR 10,000 - EUR 30,000

Documentation
+-- Dossier technique (detaille)            EUR 15,000 - EUR 35,000
+-- Preuves conformite standards            EUR 5,000 - EUR 15,000
\-- SBOM et docs associes                   EUR 3,000 - EUR 8,000

Organisme Notifie (Module B+C)
+-- Demande et examen                       EUR 5,000 - EUR 15,000
+-- Examen UE de Type                       EUR 20,000 - EUR 60,000
+-- Frais de tests                          EUR 10,000 - EUR 40,000
\-- Delivrance certificat                   EUR 2,000 - EUR 5,000

----------------------------------------------------------------
TOTAL PONCTUEL :                            EUR 110,000 - EUR 310,000
----------------------------------------------------------------

OPTION FUTURE : SI DES NORMES HARMONISEES CRA SONT ADOPTEES (Module A) :

Supprimer les frais d'organisme notifie ci-dessus.
L'estimation ponctuelle serait reduite a environ : EUR 70,000 - EUR 190,000

----------------------------------------------------------------

COUTS CONTINUS (par an) :

Gestion des vulnerabilites                  EUR 15,000 - EUR 40,000
Developpement et test des mises a jour      EUR 15,000 - EUR 40,000
Veille standards                            EUR 2,000 - EUR 5,000
Tests renforces                             EUR 5,000 - EUR 15,000
Surveillance ON (Module B+C)                EUR 5,000 - EUR 15,000

----------------------------------------------------------------
CONTINU ANNUEL :                            EUR 45,000 - EUR 125,000
----------------------------------------------------------------

Important classe II (module B+c obligatoire)

Évaluation par tiers requise. Coûts plus élevés inévitables.

IMPORTANT CLASSE II - ESTIMATION DES COUTS

SCENARIO : Pare-feu industriel, Important Classe II (Annexe III, Partie II)
----------------------------------------------------------------

COUTS PONCTUELS :

Evaluation des Risques
+-- Modelisation complete des menaces       EUR 15,000 - EUR 40,000
\-- Evaluation securite industrielle        EUR 10,000 - EUR 30,000

Tests de Securite
+-- Audit securite complet                  EUR 25,000 - EUR 75,000
+-- Tests protocoles industriels            EUR 15,000 - EUR 40,000
\-- Tests de conformite                     EUR 10,000 - EUR 30,000

Documentation
+-- Dossier technique (extensif)            EUR 25,000 - EUR 60,000
+-- Docs architecture securite             EUR 10,000 - EUR 25,000
\-- Rapports de tests et preuves            EUR 5,000 - EUR 15,000

Organisme Notifie (Module B+C)
+-- Demande et planification                EUR 10,000 - EUR 25,000
+-- Examen UE de Type                       EUR 40,000 - EUR 100,000
+-- Tests en laboratoire                    EUR 20,000 - EUR 60,000
\-- Certification                           EUR 5,000 - EUR 15,000

----------------------------------------------------------------
TOTAL PONCTUEL :                            EUR 190,000 - EUR 515,000
----------------------------------------------------------------

COUTS CONTINUS (par an) :

Gestion vulnerabilites renforcee            EUR 30,000 - EUR 80,000
Tests securite continus                     EUR 20,000 - EUR 50,000
Audits surveillance ON                      EUR 10,000 - EUR 25,000
Maintenance documentation                   EUR 5,000 - EUR 15,000
Support client (entreprise)                 EUR 15,000 - EUR 40,000

----------------------------------------------------------------
CONTINU ANNUEL :                            EUR 80,000 - EUR 210,000
----------------------------------------------------------------

Produits critiques (annexe IV : module B+c)

Les produits critiques (Annexe IV) requièrent actuellement une évaluation de conformité par un organisme notifié via le Module B+C ou le Module H.

L'EUCC (Règlement d'exécution (UE) 2024/482 de la Commission) est un schéma de certification basé sur les Critères Communs souvent évoqué aux côtés des produits de l'Annexe IV, mais il n'est pas encore obligatoire pour eux. L'Article 35 du CRA donne à la Commission le pouvoir d'adopter un acte délégué exigeant que les produits de l'Annexe IV obtiennent un certificat EUCC au niveau d'assurance "substantiel" ou "élevé". Aucun tel acte délégué n'a été adopté début 2026. Il est attendu au T4 2026. Jusqu'à son adoption, les fabricants de produits critiques utilisent uniquement le Module B+C.

Lorsque l'acte délégué EUCC sera adopté, les fabricants de produits de l'Annexe IV auront besoin à la fois de l'évaluation Module B+C et d'un certificat EUCC. Les estimations de coûts ci-dessous reflètent le coût total attendu une fois cette exigence en vigueur.

L'Annexe IV ne liste actuellement que trois types de produits : les dispositifs matériels avec boîtiers de sécurité, les passerelles de compteurs intelligents avec fonctions de sécurité avancées, et les cartes à puce ou dispositifs similaires incluant les éléments sécurisés.

PRODUIT CRITIQUE - ESTIMATION DES COUTS

SCENARIO : Module de Securite Materiel (Annexe IV, element 1)
----------------------------------------------------------------

COUTS PONCTUELS :

Evaluation de Securite
+-- Evaluation niveau Criteres Communs      EUR 100,000 - EUR 300,000
+-- Modelisation et analyse des menaces     EUR 30,000 - EUR 80,000
\-- Evaluation cryptographique              EUR 20,000 - EUR 60,000

Evaluation de Conformite
+-- Module B+C (Organisme Notifie)          EUR 75,000 - EUR 175,000
+-- Certification EUCC (CAB)                EUR 100,000 - EUR 400,000
\-- Tests en laboratoire                    EUR 50,000 - EUR 150,000

Documentation
+-- Dossier technique (complet)             EUR 40,000 - EUR 100,000
+-- Documentation cible securite            EUR 30,000 - EUR 80,000
\-- Preuves certification                   EUR 20,000 - EUR 50,000

----------------------------------------------------------------
TOTAL PONCTUEL :                            EUR 465,000 - EUR 1,395,000
----------------------------------------------------------------

COUTS CONTINUS (par an) :

Maintenance certification                   EUR 50,000 - EUR 150,000
Surveillance et reponse securite            EUR 50,000 - EUR 120,000
Evaluations annuelles                       EUR 30,000 - EUR 80,000

----------------------------------------------------------------
CONTINU ANNUEL :                            EUR 130,000 - EUR 350,000
----------------------------------------------------------------

Résumé comparatif des coûts

Tous les chiffres sont indicatifs. Aucun barème de frais d'organisme notifié spécifique au CRA n'a été publié ; les fourchettes sont basées sur les tarifs du marché européen d'évaluation de cybersécurité pré-CRA et les commentaires du secteur.

Avertissement : Les coûts cachés incluent la surveillance continue des vulnérabilités, la livraison des mises à jour de sécurité et l'engagement complet sur la période d’assistance. Intégrez-les dans votre coût total de conformité. Les files d'attente des organismes notifiés seront probablement significatives après la désignation de juin 2026. Intégrez les délais dans votre plan.

Facteurs de coût

Ce qui augmente les coûts

Ce qui réduit les coûts

DIY vs externalisé

Faites-le vous-même (interne)

Idéal pour :

• Organisations avec expertise sécurité
• Produits multiples (amortir l'apprentissage)
• Produits simples et Default

Profil de coût :

• Coûts directs plus bas
• Investissement en temps plus élevé
• Risque de refaire si mal fait

Besoins typiques équipe interne :

EQUIPE CONFORMITE INTERNE (DIY)

Roles a temps plein :
- Ingenieur Securite (0,5-1 ETP)
- Conformite/Reglementaire (0,25-0,5 ETP)
- Documentation (0,25 ETP)

Cout annuel estime : EUR 80,000 - EUR 180,000
(Couvre plusieurs produits)

Externalisé aux consultants

Idéal pour :

• Besoins de conformité ponctuels
• Pas d'expertise sécurité interne
• Produits Complexes, Important et Critique

Profil de coût :

• Coûts directs plus élevés
• Délai plus rapide
• Expertise incluse

Tarifs typiques consultant (UE) :

TARIFS CONSULTANT (marche UE)

Evaluation securite :      EUR 150 - EUR 300/heure
Redaction technique :      EUR 100 - EUR 200/heure
Conseil conformite :       EUR 200 - EUR 400/heure
Tests d'intrusion :        EUR 1,000 - EUR 2,500/jour

Projet conformite complet :
- Produit Default :        EUR 30,000 - EUR 80,000
- Important Classe I :     EUR 80,000 - EUR 200,000
- Important Classe II :    EUR 150,000 - EUR 400,000

Approche hybride (recommandée)

Idéal pour : La plupart des organisations

APPROCHE HYBRIDE

Interne :
- Connaissance produit
- Maintenance continue
- Mises a jour documentation
- Gestion vulnerabilites au quotidien

Externalise :
- Evaluation initiale des risques
- Tests d'intrusion
- Coordination organisme notifie
- Remediation lacunes (specialisee)

Cadre de planification budgétaire

Phase 1 : évaluation (commencer maintenant pour décembre 2027)

BUDGET PHASE D'EVALUATION

Classification produit              EUR 2,000 - EUR 10,000
Analyse des ecarts                  EUR 10,000 - EUR 40,000
Feuille de route conformite         EUR 5,000 - EUR 15,000
----------------------------------------------------
TOTAL :                             EUR 17,000 - EUR 65,000

Phase 2 : préparation aux notifications (avant septembre 2026)

BUDGET PREPARATION AUX NOTIFICATIONS

Processus de gestion des vulnerabilites   EUR 5,000 - EUR 20,000
Mise en place reponse aux incidents       EUR 5,000 - EUR 15,000
Liaison CSIRT et test processus           EUR 3,000 - EUR 10,000
----------------------------------------------------
TOTAL :                                   EUR 13,000 - EUR 45,000

Phase 3 : remédiation (en cours jusqu'en 2027)

BUDGET PHASE DE REMEDIATION

Améliorations sécurité              EUR 20,000 - EUR 200,000
Changements d'architecture          EUR 10,000 - EUR 100,000
Mise en place outillage             EUR 5,000 - EUR 30,000
----------------------------------------------------
TOTAL :                             EUR 35,000 - EUR 330,000

Phase 4 : évaluation de conformité (S2 2026 à S1 2027)

BUDGET EVALUATION DE CONFORMITE

Preparation documentation           EUR 10,000 - EUR 50,000
Tests                               EUR 15,000 - EUR 100,000
Organisme notifie (si requis)       EUR 40,000 - EUR 200,000
----------------------------------------------------
TOTAL :                             EUR 65,000 - EUR 350,000

Phase 5 : continu (post-conformité)

BUDGET ANNUEL CONTINU

Gestion des vulnerabilites          EUR 15,000 - EUR 50,000
Developpement mises a jour          EUR 20,000 - EUR 60,000
Maintenance documentation           EUR 5,000 - EUR 15,000
Outils et abonnements               EUR 5,000 - EUR 20,000
----------------------------------------------------
TOTAL ANNUEL :                      EUR 45,000 - EUR 145,000

Considérations PME

Coûts proportionnellement plus élevés

Les PME font face à des coûts par produit plus élevés car :

• Coûts fixes (outils, formation) répartis sur moins de produits
• Moins d'infrastructure sécurité existante
• Davantage de support externe généralement nécessaire

L'étude d'impact de la Commission européenne (SWD(2022) 282) a noté que plus de 99 % des fabricants de produits comportant des éléments numériques sont des PME. La CE n'a pas pu quantifier les différentiels de coûts exacts par PME, mais a cité des données ENISA montrant que 12,3 % des PME déclarent des performances en cybersécurité inférieures aux normes du secteur, contre 2,1 % pour les grandes entreprises. Les représentants du secteur des PME ont évalué les exigences de conformité obligatoires horizontales à 3,7 sur 5 pour la charge de coût. Le problème structurel est simple : un grand fabricant qui répartit les coûts d'outillage ponctuels sur 50 produits a une économie unitaire fondamentalement différente de celle d'une PME avec deux produits.

Stratégies de réduction des coûts pour PME

OPTIMISATION COUTS PME

1. Commencer par l'analyse d'ecarts
   - Savoir exactement ce dont vous avez besoin avant de depenser
   - Eviter la sur-ingenierie pour votre categorie de produit reelle

2. Utiliser des outils open source
   - SBOM : Syft, Trivy (gratuit)
   - Scan vulnerabilites : Trivy, Grype (gratuit)
   - Economise EUR 5,000-20,000/an sur l'outillage

3. Normes harmonisees (pas encore disponibles)
   - Pas de normes harmonisees CRA publiees debut 2026
   - Quand publiees : les suivre permet le Module A pour Important Classe I
   - Evite des couts significatifs d'organisme notifie pour ces produits

4. Services partages
   - Consortiums industriels
   - Services conformite geres
   - Equipe securite fractionnee

5. Approche par phases
   - Prioriser la preparation aux notifications (echeance septembre 2026)
   - Puis aborder la conformite produit pour decembre 2027

6. Soutien gouvernemental
   - Programme Digital Europe de l'UE
   - Subventions nationales numerisation PME
   - Programmes regionaux cybersecurite

Modèle budgétaire PME

BUDGET CRA PME (Produit Default unique)

ANNEE 1 (Conformite) :
Preparation aux notifications (sep. 2026)    EUR 15,000
Remediation ecarts                           EUR 20,000
Documentation                                EUR 10,000
Tests                                        EUR 10,000
Mise en place outillage                      EUR 5,000
Contingence (20%)                            EUR 12,000
--------------------------------------------
TOTAL ANNEE 1 :                              EUR 72,000

ANNEES 2-5 (Continu) :
Maintenance annuelle                         EUR 30,000/an
--------------------------------------------
TOTAL 5 ANS :                                EUR 192,000

Par unite (5 000 unites sur 5 ans) :         EUR 38,40

Considérations ROI

Coût de la non-conformité

Bénéfices de la conformité

Liste de contrôle budgétaire

LISTE DE CONTROLE BUDGETAIRE CRA

EVALUATION INITIALE :
[ ] Produits classifies (Default/Important Classe I ou II/Critique)
[ ] Maturite securite actuelle evaluee
[ ] Analyse des ecarts completee
[ ] Voie de conformite determinee (A, B+C, ou H)
[ ] Plan de preparation aux notifications pour septembre 2026

BUDGET PONCTUEL :
[ ] Couts d'evaluation des risques
[ ] Couts de remediation (si ecarts existent)
[ ] Preparation documentation
[ ] Tests (interne et externe)
[ ] Frais d'organisme notifie (si applicable)
[ ] Mise en place outillage
[ ] Formation
[ ] Contingence (15-25%)

BUDGET CONTINU :
[ ] Gestion des vulnerabilites (processus Article 14)
[ ] Developpement et test des mises a jour
[ ] Maintenance documentation
[ ] Abonnements outils
[ ] Surveillance ON (si applicable)
[ ] Support client (securite)

PLANIFICATION RESSOURCES :
[ ] Allocation ETP interne
[ ] Besoins consultants externes
[ ] Calendrier engagement organisme notifie (files attendues apres juin 2026)
[ ] Budget approuve par la direction
[ ] Plan de depenses par phases

Comment CRA Evidence aide

CRA Evidence réduit les coûts de conformité en combinant la génération de SBOM, le suivi des vulnérabilités et la documentation dans une seule plateforme. Les modèles réduisent le temps de préparation du dossier technique. La surveillance automatisée réduit l'effort manuel continu pour la gestion des vulnérabilités.

Lectures connexes :

Classification : Vos coûts dépendent de votre classification. Consultez notre guide de classification des produits.

Évaluation : Décomposition des coûts par module de conformité dans notre guide d'évaluation de conformité.

Startups : Approches économiques dans notre guide de conformité startups.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Les estimations de coûts sont indicatives et varieront selon les circonstances spécifiques.