{"id":15905,"date":"2025-03-13T11:13:15","date_gmt":"2025-03-13T10:13:15","guid":{"rendered":"https:\/\/continew.fr\/?p=15905"},"modified":"2025-09-18T16:28:33","modified_gmt":"2025-09-18T14:28:33","slug":"cyber-resilience-act-une-nouvelle-ere-pour-la-cybersecurite-des-produits-numeriques-en-europe","status":"publish","type":"post","link":"https:\/\/continew.fr\/en\/blog\/cyber-resilience-act-une-nouvelle-ere-pour-la-cybersecurite-des-produits-numeriques-en-europe\/","title":{"rendered":"Cyber Resilience Act : une nouvelle \u00e8re pour la cybers\u00e9curit\u00e9 des produits num\u00e9riques en Europe"},"content":{"rendered":"<p>Dans un monde toujours plus connect\u00e9, la s\u00e9curit\u00e9 num\u00e9rique devient un enjeu majeur. Pour r\u00e9pondre \u00e0 cette n\u00e9cessit\u00e9, l\u2019Union europ\u00e9enne a adopt\u00e9 un texte l\u00e9gislatif in\u00e9dit : le <strong>Cyber Resilience Act (CRA)<\/strong>. Entr\u00e9 en vigueur le 10 d\u00e9cembre 2024, ce r\u00e8glement vise \u00e0 imposer des exigences de cybers\u00e9curit\u00e9 contraignantes pour tous les <strong>produits comportant des \u00e9l\u00e9ments num\u00e9riques<\/strong> commercialis\u00e9s sur le march\u00e9 <strong>europ\u00e9en<\/strong>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Un pilier de la strat\u00e9gie num\u00e9rique europ\u00e9enne<\/strong><\/h4>\n\n\n\n<p>Le Cyber Resilience Act s\u2019inscrit dans la strat\u00e9gie europ\u00e9enne de la <strong>\u00ab\u00a0D\u00e9cennie num\u00e9rique\u00a0\u00bb<\/strong>, aux c\u00f4t\u00e9s de textes phares comme le <strong>Digital Services Act<\/strong>, le <strong>r\u00e8glement sur l\u2019intelligence artificielle (AI Act)<\/strong> et la directive <strong>NIS2<\/strong>. Il r\u00e9pond \u00e0 un besoin croissant : garantir que les produits num\u00e9riques, qu\u2019ils soient mat\u00e9riels ou logiciels, soient <strong>s\u00e9curis\u00e9s d\u00e8s leur conception et pendant toute leur dur\u00e9e de vie<\/strong>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Quels produits sont concern\u00e9s ?<\/strong><\/h4>\n\n\n\n<p>Le champ d\u2019application du CRA est large. Il couvre :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>les <strong>produits mat\u00e9riels<\/strong> connect\u00e9s (ordinateurs, smartphones, objets connect\u00e9s comme les montres ou les jouets intelligents),<\/li>\n\n\n\n<li>les <strong>logiciels<\/strong> (applications mobiles, jeux vid\u00e9o, outils bureautiques),<\/li>\n\n\n\n<li>les <strong>composants num\u00e9riques<\/strong> (microprocesseurs, pare-feu, cartes \u00e0 puce&#8230;).<\/li>\n<\/ul>\n\n\n\n<p>Deux cat\u00e9gories b\u00e9n\u00e9ficient d\u2019une attention particuli\u00e8re&nbsp;: les <strong>produits importants<\/strong> pour la s\u00e9curit\u00e9 (VPN, syst\u00e8mes d\u2019exploitation, pares feu) ou les dispositifs de s\u00e9curit\u00e9 domestique (cam\u00e9ras\u2026), et les <strong>produits critiques<\/strong>, actuellement limit\u00e9s \u00e0 3 (boitiers de s\u00e9curit\u00e9, cartes \u00e0 puce et passerelles pour compteur intelligent). En revanche, les <strong>logiciels open source non commerciaux<\/strong> et certains produits d\u00e9j\u00e0 couverts par d&rsquo;autres r\u00e9glementations sectorielles (aviation, dispositifs m\u00e9dicaux, automobile&#8230;) sont exclus.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Des obligations renforc\u00e9es pour tous les acteurs<\/strong><\/h4>\n\n\n\n<p>Le CRA ne se limite pas aux seuls fabricants. Il s\u2019applique aussi aux <strong>importateurs<\/strong> et <strong>distributeurs<\/strong>, avec une logique simple : <strong>toute entreprise mettant un produit num\u00e9rique sur le march\u00e9 europ\u00e9en est concern\u00e9e<\/strong>.<\/p>\n\n\n\n<p>Chacun de ces acteurs se voit attribuer des responsabilit\u00e9s sp\u00e9cifiques. Et attention : un importateur ou un distributeur peut \u00eatre requalifi\u00e9 comme <strong>fabricant<\/strong> s\u2019il vend le produit sous sa propre marque ou y apporte des modifications substantielles. Un d\u00e9tail qui peut faire toute la diff\u00e9rence sur le plan juridique.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Cybers\u00e9curit\u00e9 by design et by default<\/strong><\/h4>\n\n\n\n<p>Parmi les piliers du CRA, on retrouve les principes de <strong>\u00ab\u00a0secure by design\u00a0\u00bb<\/strong> et <strong>\u00ab\u00a0secure by default\u00a0\u00bb<\/strong>. Les produits doivent \u00eatre con\u00e7us <strong>d\u00e8s le d\u00e9part<\/strong> pour minimiser les risques : chiffrement des donn\u00e9es, r\u00e9duction des surfaces d\u2019attaque, etc. Les param\u00e8tres <strong>par d\u00e9faut<\/strong> doivent quant \u00e0 eux garantir un <strong>niveau de s\u00e9curit\u00e9 \u00e9lev\u00e9<\/strong> : plus question de laisser des mots de passe faibles ou de ne pas activer les mises \u00e0 jour automatiques. Cette philosophie vise \u00e0 <strong>int\u00e9grer la cybers\u00e9curit\u00e9<\/strong> dans le processus de d\u00e9veloppement, et non plus \u00e0 la traiter comme une \u00e9tape secondaire.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Une vigilance constante sur les vuln\u00e9rabilit\u00e9s<\/strong><\/h4>\n\n\n\n<p>Le CRA impose aux fabricants une <strong>\u00e9valuation r\u00e9guli\u00e8re <\/strong>des risques et la mise en place d\u2019un<strong> suivi continu<\/strong> des failles de s\u00e9curit\u00e9. Ils devront notamment fournir des <strong>mises \u00e0 jour de s\u00e9curit\u00e9<\/strong> pendant toute la dur\u00e9e de vie du produit, \u00e9tablir une <strong>SBOM <\/strong>(Software Bill of Materials), sorte de \u00ab\u00a0liste d\u2019ingr\u00e9dients\u00a0\u00bb des composants logiciels utilis\u00e9s, et enfin <strong>d\u00e9clarer les vuln\u00e9rabilit\u00e9s <\/strong>activement exploit\u00e9es via une plateforme centralis\u00e9e, \u00e0 partir de <strong>septembre 2026<\/strong>. Ces obligations visant \u00e0 renforcerla<strong> transparence<\/strong> et \u00e0 permettre une <strong>r\u00e9ponse plus rapide<\/strong> face aux cybermenaces.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Conformit\u00e9, marquage CE et calendrier<\/strong><\/h4>\n\n\n\n<p>Chaque produit devra faire l\u2019objet d\u2019une <strong>d\u00e9claration de conformit\u00e9<\/strong>, attestant du respect des exigences du CRA. La plupart des produits rel\u00e8veront d\u2019une <strong>auto-\u00e9valuation<\/strong> par le fabricant, mais certains (produits critiques notamment) n\u00e9cessiteront une <strong>\u00e9valuation par un organisme notifi\u00e9<\/strong>.<br>Le CRA pr\u00e9voit \u00e9galement l\u2019apposition du <strong>marquage CE<\/strong>, gage de conformit\u00e9 pour les consommateurs.<\/p>\n\n\n\n<p>Un calendrier est d\u2019ores et d\u00e9j\u00e0 \u00e9tabli :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>10 d\u00e9cembre 2024<\/strong> : entr\u00e9e en vigueur du CRA.<\/li>\n\n\n\n<li><strong>11 septembre 2026<\/strong> : obligation de signaler les vuln\u00e9rabilit\u00e9s critiques.<\/li>\n\n\n\n<li><strong>11 d\u00e9cembre 2027<\/strong> : toutes les obligations du CRA deviennent pleinement applicables aux nouveaux produits mis sur le march\u00e9.<\/li>\n<\/ul>\n\n\n\n<p>Il est \u00e0 noter que m\u00eame un produit mis sur le march\u00e9 avant cette date pourra \u00eatre soumis au CRA s\u2019il subit une <strong>modification fonctionnelle majeure<\/strong> apr\u00e8s d\u00e9cembre 2027.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Quels impacts pour les entreprises ?<\/strong><\/h4>\n\n\n\n<p>Le Cyber Resilience Act repr\u00e9sente un <strong>changement profond<\/strong> dans la mani\u00e8re dont les entreprises con\u00e7oivent et commercialisent leurs produits num\u00e9riques. Une <strong>adaptation<\/strong> des processus de d\u00e9veloppement sera n\u00e9cessaire pour int\u00e9grer la cybers\u00e9curit\u00e9 d\u00e8s l\u2019amont, de m\u00eame que des <strong>investissements <\/strong>en infrastructures et en personnel qualifi\u00e9. C\u2019est l\u2019ensemble des \u00e9quipes qui devront \u00eatre <strong>form\u00e9es<\/strong> aux nouvelles exigences r\u00e9glementaires et aux <strong>meilleures<\/strong> <strong>pratiques<\/strong> de cybers\u00e9curit\u00e9. Un effort de collaboration avec les autres acteurs du march\u00e9 sera indispensable pour partager les informations sur les menaces et coordonner les r\u00e9ponses aux incidents. Si ces efforts repr\u00e9sentent un co\u00fbt, ils s\u2019accompagnent aussi d\u2019opportunit\u00e9s : une meilleure <strong>r\u00e9putation<\/strong>, un acc\u00e8s facilit\u00e9 \u00e0 de <strong>nouveaux march\u00e9s<\/strong>, la <strong>confiance<\/strong> accrue des utilisateurs.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Une opportunit\u00e9 \u00e0 saisir pour l\u2019avenir num\u00e9rique<\/strong><\/h4>\n\n\n\n<p>Le Cyber Resilience Act n\u2019est pas seulement une contrainte r\u00e9glementaire. Il incarne une <strong>vision proactive de la cybers\u00e9curit\u00e9<\/strong>, centr\u00e9e sur la pr\u00e9vention, la responsabilit\u00e9 et la transparence. Dans un contexte de multiplication des cyberattaques, il offre aux entreprises une <strong>boussole pour renforcer leur r\u00e9silience num\u00e9rique<\/strong>. En s\u2019y pr\u00e9parant d\u00e8s maintenant, les organisations peuvent non seulement \u00e9viter les sanctions futures, mais aussi se positionner comme <strong>leaders d\u2019un num\u00e9rique responsable et s\u00e9curis\u00e9<\/strong> en Europe.<br><\/p>\n\n\n\n<h4 class=\"wp-block-heading\">Find out more<\/h4>\n\n\n\n<p><a href=\"https:\/\/digital-strategy.ec.europa.eu\/fr\/policies\/cyber-resilience-act\" data-type=\"link\" data-id=\"https:\/\/digital-strategy.ec.europa.eu\/fr\/policies\/cyber-resilience-act\">La l\u00e9gislation sur la cyberr\u00e9silience<\/a><\/p>\n\n\n\n<p><\/p>","protected":false},"excerpt":{"rendered":"<p>Le Cyber Resilience Act entr\u00e9 en vigueur fin 2024 impose des exigences de cybers\u00e9curit\u00e9 pour tous les produits num\u00e9riques mis sur le march\u00e9 europ\u00e9en.<\/p>","protected":false},"author":1,"featured_media":16182,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[63],"tags":[123,124,119,75],"class_list":["post-15905","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite","tag-cra","tag-cyber-resilience-act","tag-cybermenace","tag-cybersecurite"],"featured_image_src":{"landsacpe":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/03\/Cyber-resilience-Act-.png",850,350,false],"list":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/03\/Cyber-resilience-Act--463x348.png",463,348,true],"medium":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/03\/Cyber-resilience-Act--300x124.png",300,124,true],"full":["https:\/\/continew.fr\/wp-content\/uploads\/2025\/03\/Cyber-resilience-Act-.png",850,350,false]},"_links":{"self":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15905","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/comments?post=15905"}],"version-history":[{"count":6,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15905\/revisions"}],"predecessor-version":[{"id":15918,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/posts\/15905\/revisions\/15918"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/media\/16182"}],"wp:attachment":[{"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/media?parent=15905"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/categories?post=15905"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/continew.fr\/en\/wp-json\/wp\/v2\/tags?post=15905"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}