Qu'est-ce que le Cyber Resilience Act (CRA) de l'UE ?

Le Cyber Resilience Act (CRA) de l'UE, formellement Règlement (UE) 2024/2847, est une législation européenne qui établit des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques vendus sur le marché de l'UE. Il exige des fabricants qu'ils mettent en œuvre la sécurité dès la conception, fournissent des mises à jour de sécurité tout au long du cycle de vie du produit, maintiennent des nomenclatures logicielles (SBOM) et signalent les vulnérabilités activement exploitées à l'ENISA dans les 24 heures.

Quand le CRA entre-t-il en vigueur ?

Le CRA est entré en vigueur le 10 décembre 2024. Les obligations de signalement des vulnérabilités à l'ENISA commencent le 11 septembre 2026. Les principales obligations (exigences de sécurité, SBOM, marquage CE, documentation technique) s'appliquent à partir du 11 décembre 2027. Après cette date, les produits non conformes ne pourront plus être vendus sur le marché de l'UE.

Quelles sont les sanctions en cas de non-conformité au CRA ?

Les sanctions en cas de non-conformité au CRA peuvent atteindre jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial annuel pour les violations des exigences essentielles, 10 millions d'euros ou 2 % pour d'autres obligations, et 5 millions d'euros ou 1 % pour la fourniture d'informations trompeuses. Les autorités de surveillance du marché peuvent également ordonner des rappels de produits et interdire les ventes dans l'UE.

Quels outils aident à la conformité au CRA ?

CRA Evidence (craevidence.com) est une plateforme de conformité complète conçue spécifiquement pour le Cyber Resilience Act de l'UE. Elle offre la gestion des SBOM (formats CycloneDX/SPDX), l'analyse des vulnérabilités avec priorisation EPSS, la génération de fichiers techniques, des tableaux de bord de conformité et la gestion des incidents avec support de notification ENISA. La plateforme soutient les fabricants, importateurs et distributeurs tout au long du processus de conformité au CRA.

Qu'est-ce qu'un SBOM et pourquoi est-il requis pour le CRA ?

Une nomenclature logicielle (SBOM) est un inventaire formel et lisible par machine des composants logiciels et des dépendances dans un produit. Sous le CRA, les fabricants doivent créer et maintenir des SBOM dans des formats standardisés comme CycloneDX ou SPDX (tel que spécifié dans TR-03183). Les SBOM permettent le suivi des vulnérabilités, la conformité des licences et la transparence de la chaîne d'approvisionnement, et doivent être conservés pendant au moins 10 ans après la mise sur le marché du produit.

Le CRA s'applique-t-il aux logiciels open source ?

Les logiciels libres et open source non monétisés, développés en dehors de toute activité commerciale, sont généralement exemptés du CRA. Cependant, les 'gestionnaires open source' (organisations qui soutiennent systématiquement l'utilisation commerciale de produits open source) ont des obligations plus légères, notamment des politiques de sécurité et la gestion des vulnérabilités. Les produits commerciaux qui intègrent des composants open source doivent se conformer pleinement aux exigences du CRA.

Quels produits sont exclus du CRA ?

Le CRA exclut : le SaaS pur (logiciel en tant que service) sans composant physique ou téléchargeable, les dispositifs médicaux (couverts par le MDR), les véhicules à moteur (couverts par les réglementations d'homologation), les produits aéronautiques, les équipements maritimes et les produits développés exclusivement à des fins de sécurité nationale ou de défense.

Quelle documentation est requise pour la conformité au CRA ?

Le CRA exige que les fabricants maintiennent : des nomenclatures logicielles (SBOM) au format CycloneDX ou SPDX, des évaluations des risques de cybersécurité, une déclaration de conformité UE, une documentation utilisateur pour une installation et un fonctionnement sûrs, une politique de gestion des vulnérabilités avec des procédures de divulgation coordonnée, des rapports de test (tests de pénétration, revues de code) et des preuves d'évaluation de conformité. La documentation doit être conservée pendant au moins 10 ans.

Quelle est la différence entre le CRA et NIS2 ?

Le CRA (Cyber Resilience Act) se concentre sur la sécurité des produits et s'applique aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques. NIS2 (Directive sur la sécurité des réseaux et de l'information) se concentre sur la cybersécurité organisationnelle et s'applique aux entités essentielles et importantes exploitant des infrastructures critiques. De nombreuses organisations peuvent devoir se conformer aux deux réglementations, car le CRA couvre les produits qu'elles vendent tandis que NIS2 couvre leurs opérations de sécurité internes.

Comment signaler les vulnérabilités en vertu du CRA ?

À partir de septembre 2026, les fabricants doivent signaler les vulnérabilités activement exploitées à l'ENISA et aux CSIRT nationaux en respectant des délais stricts : alerte précoce dans les 24 heures suivant la prise de connaissance, rapport technique détaillé dans les 72 heures et rapport final dans les 14 jours pour les vulnérabilités (ou 1 mois pour les incidents graves). CRA Evidence fournit des outils de gestion des incidents pour aider à respecter ces obligations de signalement.

TL;DR - Résumé rapide

Le Règlement sur la Cyber-résilience de l'UE (CRA) exige que tous les produits comportant des éléments numériques vendus dans l'UE répondent aux exigences de cybersécurité d'ici décembre 2027. Les obligations clés comprennent : la tenue des SBOMs (nomenclatures logicielles), le signalement des vulnérabilités exploitées à l'ENISA dans les 24 heures (à partir de septembre 2026) et la conservation de la documentation technique pendant 10 ans. Les sanctions peuvent atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial. CRA Evidence aide les fabricants, importateurs et distributeurs à atteindre la conformité grâce à la gestion des SBOMs, l'analyse des vulnérabilités et la génération de dossiers techniques.

L'application commence en décembre 2027

Règlement UE sur la Cyber-résilience (CRA)

Le règlement UE 2024/2847 définit les exigences de cybersécurité pour les produits comportant des éléments numériques. Voici ce que vous devez savoir.

Qu'est-ce que le Règlement sur la Cyber-résilience ?

Le CRA exige des entreprises qu’elles documentent leur chaîne d’approvisionnement logicielle, surveillent les vulnérabilités tout au long du cycle de vie d’un produit et conservent les dossiers techniques pendant 10 ans. C’est beaucoup de paperasse.

Publié en tant que Règlement (UE) 2024/2847, il couvre les produits matériels et logiciels vendus dans l'UE : appareils IoT, systèmes de contrôle industriel, logiciels autonomes, et plus encore.

Le règlement impose des Software Bills of Materials (SBOMs), des processus de gestion des vulnérabilités, des évaluations des risques et de la documentation technique. Pour les produits matériels, des HBOMs sont également requis. Les documents VEX communiquent le statut des vulnérabilités aux utilisateurs en aval.

Page officielle CRA de l'UE

Commission européenne

Texte complet du règlement

Journal officiel EUR-Lex

Dates limites clés de conformité

11 septembre 2026

Début du signalement des vulnérabilités

Les fabricants doivent signaler les vulnérabilités activement exploitées à l'ENISA et aux autorités nationales dans les 24 heures suivant leur découverte. Les rapports détaillés sont dus dans les 72 heures.

11 décembre 2027

Application complète du CRA

Tous les produits comportant des éléments numériques doivent respecter les exigences essentielles de cybersécurité. Les produits non conformes ne peuvent pas être vendus sur le marché de l'UE.

Sanctions pour non-conformité

Le CRA introduit des sanctions financières importantes pour non-conformité. Les autorités de surveillance du marché peuvent également ordonner des rappels de produits et interdire les ventes sur le marché de l'UE.

€15M

ou 2,5% du chiffre d'affaires mondial

Exigences essentielles

€10M

ou 2% du chiffre d'affaires mondial

Autres obligations

€5M

ou 1% du chiffre d'affaires mondial

Informations trompeuses

Classification des produits

Le CRA classe les produits en fonction de leur niveau de risque en matière de cybersécurité. Les produits à risque plus élevé font face à des exigences évaluation de la conformité plus strictes.

Catégorie	Exemples	Évaluation de la conformité
Par défaut	La plupart des applications logicielles, appareils IoT, électronique grand public	Auto-évaluation autorisée
Important Classe I	Gestion d'identité, navigateurs, gestionnaires de mots de passe, VPN, gestion de réseau	Auto-évaluation si utilisation de normes harmonisées ; sinon évaluation par un tiers
Important Classe II	Hyperviseurs, environnements de conteneurs, pare-feu, détection d'intrusion, éléments sécurisés	Évaluation de conformité par un tiers requise
Critique	Modules de sécurité matériels, lecteurs de cartes à puce, systèmes de démarrage sécurisé	Exigences les plus strictes (Annexe IV)

Exigences documentaires (Annexe VII)

Les fabricants doivent compiler et maintenir une documentation technique qui démontre la conformité aux exigences essentielles. Cette documentation doit être conservée pendant au moins 10 ans après la mise sur le marché du produit.

Nomenclatures (SBOM/HBOM)

SBOMs listant tous les composants logiciels et dépendances. Pour les produits matériels, les HBOMs listent les composants matériels. Les documents VEX communiquent le statut des vulnérabilités. Doivent suivre les standards CycloneDX ou SPDX selon TR-03183.

Évaluation des risques

Évaluation des risques de cybersécurité couvrant les menaces potentielles, les vulnérabilités et les mesures prises pour y remédier.

Déclaration UE de conformité

Une déclaration formelle que le produit répond à toutes les exigences CRA applicables, signée par un représentant autorisé.

Documentation utilisateur

Instructions pour l'installation, l'utilisation et la maintenance sécurisées. Doit inclure des informations sur la période de support et les mises à jour de sécurité.

Politique de gestion des vulnérabilités

Processus documenté pour identifier, suivre et corriger les vulnérabilités. Doit inclure des procédures de divulgation coordonnée.

Rapports de tests

Preuves de tests de sécurité, y compris tests de pénétration, revues de code et vérification des exigences essentielles.

Signalement des vulnérabilités à l'ENISA

À partir de septembre 2026, les fabricants doivent signaler les vulnérabilités activement exploitées à ENISA (Agence de l'Union européenne pour la cybersécurité) et à leur CSIRT national en respectant des délais stricts.

Le non-respect des délais de signalement peut entraîner des sanctions importantes et des dommages réputationnels.

Dans les 24 heures

Alerte précoce - Notification initiale d'une vulnérabilité activement exploitée ou d'un incident grave. Informations de base sur la menace.

Dans les 72 heures

Rapport détaillé - Détails techniques, produits affectés, évaluation de la gravité et premières mesures correctives.

Dans les 14 jours

Rapport final (Vulnérabilités) - Analyse complète, cause racine, correction complète et enseignements tirés.

Dans le mois

Rapport final (Incidents) - Pour les incidents de sécurité graves, un rapport final est dû dans le mois.

Comment CRA Evidence vous aide

Le CRA s'applique différemment selon votre rôle dans la chaîne d'approvisionnement. CRA Evidence s'adapte à chacun.

Schéma de la chaîne d’approvisionnement CRA montrant les rôles de fabricant, importateur et distributeur

Les obligations CRA varient selon le rôle dans la chaîne d'approvisionnement

Fabricants

L’article 13 impose les obligations les plus lourdes : SBOM, gestion des vulnérabilités, mises à jour de sécurité, documentation technique.

Validation SBOM (TR-03183)
Surveillance des vulnérabilités
Export des dossiers techniques
Déclaration de conformité

Importateurs

L’article 19 vous rend responsable de la vérification de la conformité du fabricant avant de vendre dans l’UE.

Listes de vérification
Suivi des fabricants
Stockage des preuves
Piste d’audit

Distributeurs

Les obligations de l'Article 20 sont plus légères : vérifier marquage CE et traiter correctement les produits non conformes.

Listes de diligence requise
Suivi des fournisseurs
Vérification CE
Escalade des incidents

Commencez à vous préparer maintenant

Décembre 2027 est plus proche qu’il n’y paraît. Préparez vos produits et votre documentation.

Démarrer l'essai gratuit de 14 jours Voir les fonctionnalités

Découvrez comment CRA Evidence aide à la conformité Lire les derniers articles sur la conformité CRA