Guide pratique du scope, de la classification et du planning de la mise en conformité.
Cet article vous apporte une réponse concrète et pratique. Nous vous expliquons comment déterminer si vos produits relèvent du CRA, comment identifier votre rôle et vos obligations en tant que fabricant, importateur ou distributeur, comment classer chaque produit (par défaut, important ou critique) et comment transformer ces conclusions en un plan de mise en conformité réaliste, avec des responsables, des délais, des exigences en matière de preuves et des étapes clairement définis.
Que vous commenciez à peine à évaluer votre exposition ou que vous soyez prêt à passer à l’exécution, ce guide vous aidera à surmonter la complexité et à prendre les bonnes mesures. Il ne remplace pas un conseil juridique et ne prétend pas couvrir en profondeur toutes les obligations du CRA. Considérez-le comme le point de départ qui débloque l’exécution.
Le EU Cyber Resilience Act: pourquoi et pourquoi maintenant ?
Le EU Cyber Resilience Act (CRA) est un règlement de l’UE qui établit des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques, tels que les logiciels, le matériel et les dispositifs connectés mis sur le marché de l’UE. Son principal objectif est de répondre aux besoins à long terme en matière de cybersécurité en s’attaquant à la question des produits numériques non sécurisés en appliquant la sécurité dès la conception, la sécurité par défaut et une gestion efficace des vulnérabilités tout au long du cycle de vie des produits.
Le CRA place la responsabilité principale sur les fabricants, tout en introduisant également des obligations pour les importateurs et les distributeurs, et exige des évaluations de conformité, de la documentation technique, des rapports sur les incidents et les vulnérabilités, ainsi que le marquage CE. Entré en vigueur en décembre 2024, le CRA s’appliquera pleinement à partir de décembre 2027 et complète les cadres existants tels que la NIS2 en se concentrant spécifiquement sur la cybersécurité au niveau du produit plutôt que sur la sécurité organisationnelle.
Dates-clés à ne pas rater : septembre 2026 et décembre 2027
Au plus tard le 11 septembre 2026, le CRA introduit ses premières obligations opérationnelles contraignantes, limitées à la notification des incidents et des vulnérabilités. À partir de cette date, les fabricants de produits comportant des éléments numériques doivent notifier les vulnérabilités activement exploitées et les incidents de sécurité graves dès qu’ils en ont connaissance. Les notifications doivent respecter des délais stricts : alerte rapide dans les 24 heures, rapport détaillé dans les 72 heures et rapport final une fois que les mesures correctives sont disponibles dans les 14 jours ou 1 mois, en utilisant la plateforme de rapport unique CRA coordonnée par l’ENISA et les CSIRT nationaux. Ces obligations de notification s’appliquent non seulement aux nouveaux produits, mais aussi aux anciens produits déjà mis sur le marché de l’UE, même si les exigences plus larges en matière de conformité des produits ne sont pas encore en vigueur.
À partir du 11 décembre 2027, à partir du 1er janvier 2010, le CRA s’applique dans son intégralité. À compter de cette date, tous les produits comportant des éléments numériques mis sur le marché de l’UE doivent être conformes aux exigences essentielles de cybersécurité énoncées dans le règlement, notamment en ce qui concerne la sécurité dès la conception et la sécurité par défaut, l’évaluation documentée des risques, les processus de traitement des vulnérabilités tout au long du cycle de vie et la mise à disposition de mises à jour de sécurité. Les fabricants doivent établir la documentation technique, effectuer les procédures d’évaluation de la conformité pertinentes, délivrer une déclaration de conformité de l’UE et apposer le marquage CE. Les importateurs et les distributeurs doivent vérifier que ces obligations ont été remplies avant de mettre les produits à disposition sur le marché de l’UE.
Le CRA s’applique-t-elle à votre organisation?
En pratique, comment savoir si vous relevez du CRA et, dans l’affirmative, comment procéder pour vous conformer aux attentes du règlement ?
La réponse commence par la compréhension de votre rôle. Le CRA établit une distinction entre les fabricants, les importateurs et les distributeurs, et attribue des obligations différentes à chacun d’entre eux. Déterminer quel rôle s’applique à votre organisation, et pour quels produits, est la base de tout ce qui suit.
La mise en conformité avec les règles du CRA est un parcours du combattant. Chez Approach Cyber, nous le structurons en trois étapes concrètes : évaluation du champ d’application, analyse des lacunes et rétroplanning, chacun s’appuyant sur le précédent un. Et comme notre approche est modulaire, vous pouvez vous engager à n’importe quel stade, que vous ayez besoin d’une évaluation complète, d’une analyse ciblée des lacunes ou d’un soutien pratique pour mettre votre plan en œuvre.
Étape 1 | évaluation du champ d’application : Construire votre inventaire produit
L’évaluation du champ d’application est la première mesure que vous devez prendre. En effet, si vous voulez savoir si vos produits tombent sous le coup du CRA, il est obligatoire d’évaluer chaque produit contenant des éléments numériques que vous vendez, importez ou distribuez sur le marché de l’UE.
Chez Approach Cyber, nous pouvons vous aider dans cette tâche. Nous évaluerons vos produits en examinant votre documentation et en menant des entretiens avec les parties prenantes afin de déterminer quels produits relèvent de la classe I, de la classe II ou de la catégorie standard. Pour ce faire, nous utiliserons nos dossiers d’évaluation, qui sont systématiquement alignés sur le texte de la loi, ses annexes et les normes qui ont été publiées pour soutenir sa mise en œuvre.
Cette étape est cruciale : le chemin vers la conformité diffère considérablement selon la classe de produits et ne s’applique pas uniformément à toutes les catégories. Notre la méthodologie est agnostique en matière de technologie et de classification, elle s’applique que vous construisiez du matériel embarqué, des produits SaaS ou des appareils connectés.
Étape 2 | Analyse des écarts : Où en êtes-vous ?
À l’issue de l’évaluation du champ d’application, nous évaluerons votre niveau actuel de conformité en distinguant les mesures conformes existantes, les initiatives en cours et les lacunes restantes. Au cours de cette analyse des lacunes, nous discuterons ensemble des points suivants des actions en fonction de la portée et du contexte de votre entreprise pour se conformer au CRA.
Il convient de noter que la conformité au CRA n’est pas un exercice purement juridique. Elle nécessite des capacités techniques concrètes : développement sécurisé par conception, nomenclature des logiciels, etc. (SBOM), la gestion des vulnérabilités et l’évaluation documentée des risques. Il s’agit de domaines dans lesquels Approach Cyber opère déjà quotidiennement, indépendamment du CRA, par l’intermédiaire de notre service de conseil en développement sécurisé.
Étape 3 | Rétro-planification: Structurer votre trajet de la conformité
Enfin, une fois que les actions recommandées nécessaires à la mise en conformité ont été identifiées, il sera nécessaire d’estimer le temps nécessaire à la mise en œuvre de chacune d’entre elles. Sur la base des délais applicables et des contraintes de l’entreprise, nous établissons un rétro-planning pour structurer et organiser la mise en œuvre de chaque recommandation.
Une première action concrète du rétro-planning pourrait être la mise en œuvre d’un système coordonné de divulgation des vulnérabilités pour signaler les vulnérabilités activement exploitées. Le délai estimé pourrait être de 1 à 4 semaines, selon que vous avez déjà mis en place quelque chose ou que vous êtes soumis à la directive NIS2.
Pourquoi travailler avec un partenaire soumis au CRA lui-même ?
Au-delà de conseiller les autres, nous sommes nous-mêmes soumis à la réglementation par le biais des produits que nous développons actuellement. Par conséquent, nous avons construit notre expertise par nous-même. Nous évaluons rigoureusement notre propre conformité et disposons d’une compréhension de chaque étape nécessaire pour atteindre et démontrer la conformité réglementaire.
Chez Approach Cyber, nous combinons l’expertise technique en matière de développement de logiciels sécurisés, de conformité réglementaire et de sécurité des produits, et nous soutenons la mise en œuvre pratique tout au long du processus.
Voulez-vous savoir où vous en êtes ?
Notre objectif est simple : donner à votre équipe la clarté, la structure et la confiance nécessaires pour affronter le CRA sans paniquer et sans se faire d’illusions. C’est ce que nous appelons la cyber-sérénité.
Téléchargez gratuitement notre guide pratique