CRA : cartographie d'une réglementation inédite

Un marché défaillant, une réponse législative

Pendant deux décennies, le marché de l'électronique connectée a fonctionné sans règle commune de cybersécurité à la conception. Les fabricants concurrençaient sur le prix et les fonctionnalités ; la sécurité était un surcoût optionnel, rarement arbitré en faveur de l'acheteur final. Le résultat est documenté : des botnets construits sur des millions d'appareils insuffisamment sécurisés, des vulnérabilités sans correctif sur des produits encore en service cinq ans après leur commercialisation, des incidents à répercussions systémiques dont le coût économique annuel pour l'Union européenne était estimé entre 180 et 290 milliards d'euros en 2020 (Commission européenne, COM(2022) 454 final).

Le Règlement (UE) 2024/2847, Cyber Resilience Act (CRA), est la réponse législative à cette défaillance structurelle de marché. Les considérants 1 à 7 en établissent explicitement la justification : fragmentation des approches nationales, incapacité des mécanismes de marché à internaliser les externalités négatives de la non-sécurité, et insuffisance des obligations existantes au titre des directives produits en vigueur. Le texte est entré en vigueur le 10 décembre 2024, sur le fondement des articles 114 et 97 du Traité sur le fonctionnement de l'Union européenne.

L'architecture du CRA reprend le cadre législatif commun (NLF, New Legislative Framework) qui structure l'ensemble de la réglementation produit européenne depuis 2008 : exigences essentielles, dossier technique, déclaration UE de conformité, marquage CE, surveillance du marché. Ce qui change, c'est la nature des exigences. Contrairement aux directives RED, LVD ou EMC, dont les obligations s'éteignent à la mise sur le marché, le CRA impose des obligations continues sur toute la durée de vie du produit.

Cet article en cartographie la logique interne : périmètre, classification des produits, voies d'évaluation de la conformité, et ce que la double vitesse des échéances signifie opérationnellement pour un fabricant qui commence sa démarche en 2026.

Périmètre : ce que couvre le CRA

L'article 3(1) du CRA définit les produits comportant des éléments numériques (PEN) comme des logiciels ou matériels dont la fonctionnalité prévue ou raisonnablement prévisible comprend une connexion de données, directe ou indirecte, à un appareil ou réseau.

La notion de connexion de données est la clé du périmètre. Le document d'orientation de la Commission (consultation publique mars 2026, sur la base de l'article 26 CRA) précise qu'une connexion de données implique la transmission d'informations sous forme binaire, où les états binaires sont délibérément encodés en tant qu'information par une source et capables d'être décodés à destination. Un signal électrique qui déclenche ou alimente une fonction sans transmettre d'information encodée n'est pas une connexion de données au sens du règlement. Cette distinction exclut du périmètre les appareils électriques simples sans capacité de communication numérique.

Trois types de produits entrent dans le champ :

• les logiciels autonomes : applications, firmware distribué séparément du matériel ;
• le matériel avec logiciel embarqué : microcontrôleurs, systèmes embarqués, objets connectés ;
• les matériels et logiciels conçus séparément mais prévus pour fonctionner ensemble et fournis comme un produit cohérent.

Un point que les fabricants de matériel industriel sous-estiment souvent : le logiciel fourni séparément (par téléchargement, mise à jour OTA, ou application mobile de configuration) est partie intégrante du produit s'il est nécessaire à son fonctionnement. Le vecteur de livraison ne change pas le statut réglementaire.

Les exclusions sont limitées et précises. L'article 2 exclut les produits couverts par des réglementations sectorielles ayant atteint un niveau équivalent de cybersécurité : dispositifs médicaux (MDR/IVDR), véhicules à moteur (règlement d'homologation), avionique (cadre EASA). Il exclut également les produits utilisés exclusivement à des fins militaires ou de sécurité nationale, et les logiciels libres et open source publiés en dehors du cadre d'une activité commerciale.

Sur ce dernier point, la définition de l'article 3(48) est restrictive : un logiciel n'est qualifié de FOSS au sens du CRA que si (i) il est publié sous une licence accordant l'accès, l'utilisation, la modification et la redistribution, et (ii) son code source est partagé de manière ouverte, c'est-à-dire accessible publiquement, sans restriction ni condition. Un logiciel commercialisé, même publié sous une licence dite open source dont le code n'est accessible qu'aux clients payants, entre dans le champ d'application dès lors qu'il est mis sur le marché dans le cadre d'une activité commerciale.

Classification : trois niveaux, trois voies d'évaluation

Le CRA établit une hiérarchie à trois niveaux qui détermine la voie d'évaluation de la conformité, et in fine la nécessité ou non de recourir à un organisme notifié (ON).

Produits standard

Les produits standard sont tous ceux qui ne figurent pas à l'Annexe III. Ils représentent, selon les estimations de la Commission, environ 90 % des produits comportant des éléments numériques. Pour ces produits, l'évaluation de la conformité est possible par auto-déclaration (Module A) : le fabricant constitue lui-même le dossier technique, signe la déclaration UE de conformité et appose le marquage CE CRA sans intervention d'un tiers.

Le Module A ne signifie pas absence de rigueur. Il signifie que le fabricant n'est pas tenu de faire appel à un ON. La déclaration engage sa responsabilité juridique pleine et entière et doit reposer sur une analyse de risque documentée, sur des preuves de conformité aux exigences essentielles de l'Annexe I, et sur un dossier technique conforme à l'Annexe VII.

Produits importants : Classe I

L'Annexe III du CRA, telle que précisée par le règlement d'exécution (UE) 2025/2392 (publié en mars 2025, il définit les descriptions techniques des catégories de produits), liste les catégories de produits considérés comme importants. La liste comprend 35 catégories. Parmi les plus significatives pour les industriels de l'électronique connectée et de la sécurité :

• catégorie 3 : logiciels de sécurité fondés sur l'hôte (antivirus, détection et prévention d'intrusion) ;
• catégorie 7 : switchs et routeurs à destination des petites et moyennes entreprises ;
• catégorie 9 : systèmes de gestion des identités et des accès privilégiés ;
• catégorie 17 : smart home products with security functionalities, produits de sécurité domestique connectés, dont les systèmes d'alarme anti-intrusion, les contrôles d'accès et les caméras de surveillance.

Pour les produits Classe I, le fabricant peut encore opter pour le Module A, à une condition stricte : les normes harmonisées ou spécifications techniques communes applicables doivent couvrir l'ensemble des exigences essentielles pertinentes. À défaut de cette couverture normative, l'intervention d'un ON est obligatoire (Module B+C ou Module H).

C'est ici que se joue, en 2026, un enjeu normatif déterminant. Les normes harmonisées CRA sont encore en cours de finalisation : elles ne sont pas encore citées au Journal officiel de l'UE. Les deux normes horizontales développées par le CEN/CLC/JTC 13, la prEN 40000-1-2 (principes de cyberrésilience et cadre d'analyse de risque) et la prEN 40000-1-3 (traitement des vulnérabilités), ont atteint le stade de mature drafts début 2026. La norme sectorielle EN 304 632 (ETSI TC CYBER, applicable à la catégorie 17) a été soumise à enquête publique combinée au même stade. Tant qu'elles ne sont pas harmonisées par citation au Journal officiel, les fabricants de produits Classe I ne peuvent pas s'appuyer dessus pour justifier la voie Module A, et doivent soit travailler avec des spécifications techniques communes, soit intégrer un ON. La base NANDO (New Approach Notified and Designated Organisations) est la référence pour suivre la désignation des ON CRA, attendue à partir de juin 2026.

Produits importants - Classe II

La Classe II regroupe les produits dont la criticité justifie une évaluation par un ON dans tous les cas, indépendamment des normes harmonisées disponibles. Elle inclut notamment certains systèmes d'exploitation, des passerelles et routeurs à usage industriel, et des composants de réseaux critiques. Pour tous les produits Classe II, le Module B+C ou le Module H est obligatoire.

Les produits critiques de l'Annexe IV, dont les implants médicaux actifs connectés et les équipements pour infrastructure essentielle, font l'objet d'un régime encore plus contraignant, dont le traitement est hors du périmètre de cet article.

Les modules d'évaluation de la conformité

Le tableau suivant récapitule les options disponibles selon la classification :

Le Module B est l'examen de type UE : l'ON examine le dossier technique et, s'il est convaincu de la conformité, délivre un certificat d'examen de type. Le Module C est la conformité au type basée sur un contrôle interne de la production. Le Module H est la démarche d'assurance qualité totale, appropriée aux fabricants disposant d'un système de management de la qualité couvrant la conception et la production.

Le coût de l'intervention d'un ON n'est pas anecdotique. Sur la base des pratiques actuelles pour la Directive RED, un examen de type représente entre 3 et 6 mois de délai et plusieurs dizaines de milliers d'euros par famille de produits. Pour les fabricants de produits Classe I qui ne peuvent pas compter sur des normes harmonisées avant mi-2027 et qui n'ont pas encore lancé leur démarche, le risque de saturation des agendas des ON dès 2027 est réel. Établir un contact précoce avec les ON candidats à la désignation CRA, parmi lesquels, vraisemblablement, les ON actuellement désignés au titre de la Directive RED, fait partie d'une démarche prudente.

La double vitesse : deux échéances, deux logiques

11 septembre 2026 : les obligations de notification de l'Article 14

L'Article 14 du CRA entre en application le 11 septembre 2026. Il impose à tout fabricant qui a connaissance d'une vulnérabilité activement exploitée dans l'un de ses produits, ou d'un incident grave affectant sa sécurité, les obligations suivantes :

• alerte précoce à l'ENISA (et à l'ANSSI pour les fabricants établis en France) : dans les 24 heures suivant la prise de connaissance ;
• notification complète : dans les 72 heures ;
• rapport final : dans les 14 jours suivant la disponibilité du correctif pour les vulnérabilités exploitées, ou dans le mois suivant la notification complète pour les incidents graves (Article 14§3).

Ce qui distingue ce jalon est son applicabilité à l'ensemble des produits sur le marché, quelle que soit leur date de mise en circulation. Un fabricant dont les produits ont été commercialisés en 2018 mais dont des exemplaires sont encore actifs chez des clients est soumis à l'Article 14 dès le 11 septembre 2026. Il n'existe pas de clause de grand-père. Cette rétroactivité, souvent sous-estimée, est l'un des aspects les plus exigeants du règlement pour les fabricants disposant d'un parc installé ancien étendu.

Tenir le délai de 24 heures suppose une infrastructure que l'on ne crée pas du jour au lendemain : un SBOM à jour pour identifier en quelques heures si une vulnérabilité publiée affecte un produit en service, une fonction PSIRT désignée et opérationnelle, un canal de signalement accessible depuis l'extérieur, et une inscription active sur la plateforme de notification unique de l'ENISA dont la mise en service est attendue avant cette date. La mise en place de cette chaîne demande, dans une organisation qui part de zéro, entre deux et quatre mois minimum.

11 décembre 2027 : la conformité complète

L'échéance de décembre 2027 couvre l'entrée en application intégrale du règlement : Annexe I Parties I et II (exigences essentielles : conception sécurisée et gestion des vulnérabilités post-marché), Annexe II (documentation utilisateur), Annexe VII (dossier technique incluant la SBOM), évaluation de la conformité complète et marquage CE CRA. Tout produit mis sur le marché après cette date doit être conforme. Les produits mis sur le marché avant cette date n'ont pas à l'être formellement, mais les obligations de l'Annexe I Partie II s'appliquent déjà à eux depuis septembre 2026 si des exemplaires sont en usage.

La distinction entre les deux dates est souvent inversée dans les lectures superficielles du règlement : certains n'ont retenu que 2027 et n'ont pas pris la mesure du jalon intermédiaire de septembre 2026. Pour un fabricant de produits connectés avec un parc installé significatif, septembre 2026 est le premier jalon opérationnel contraignant, et le moins aisément reportable.

Les obligations continues : la rupture avec les directives précédentes

L'innovation fondamentale du CRA par rapport aux directives produit antérieures est l'obligation de cybersécurité sur toute la durée de vie du produit. Sous la Directive RED, la LVD ou la Directive Machine, la conformité est acquise à la mise sur le marché : le fabricant évalue le produit, constitue le dossier technique, appose le marquage CE, et ses obligations se limitent ensuite à maintenir le dossier à jour et à signaler les accidents. Le cadre CRA est structurellement différent.

L'Annexe I Partie II décrit les obligations continues dont les principales sont :

• identifier et corriger les vulnérabilités dans un délai proportionné à leur sévérité, sans attendre la prochaine révision produit ;
• déployer des correctifs de sécurité par un mécanisme de mise à jour sécurisée, séparément des mises à jour fonctionnelles, avec notification à l'utilisateur ;
• permettre à l'utilisateur de différer ou désactiver les mises à jour automatiques, à condition de l'informer des risques ;
• maintenir et mettre à disposition, sur demande des autorités de surveillance du marché, un SBOM conforme à l'Annexe VII ;
• publier et respecter une politique CVD (Coordinated Vulnerability Disclosure) permettant à des tiers de signaler des vulnérabilités.

La période d'assistance n'est pas laissée à la discrétion absolue du fabricant. L'Article 13(8) impose qu'elle ne soit pas inférieure à la durée de vie utile attendue du produit, et fixe un minimum de cinq ans sauf justification documentée d'une durée de vie utile plus courte. Cette durée doit figurer explicitement dans la documentation utilisateur (Annexe II, point 2k).

Ces obligations créent une responsabilité permanente que les fabricants n'avaient pas connue sous les directives précédentes. Elles transforment structurellement le rapport entre le fabricant et son produit après livraison. Pour certains produits,  notamment ceux dont le cycle de développement est long et la durée de vie en service est de dix à vingt ans (systèmes industriels, équipements de sécurité bâtiment), cette obligation de soutien sur toute la durée de vie est la contrainte la plus structurante du règlement, bien avant la question du marquage CE.

La lecture de l'inspecteur : ce que révèlent les premières démarches

Comprendre la structure réglementaire du CRA est nécessaire. Comprendre comment une autorité de surveillance du marché lira le dossier d'un fabricant est tout aussi important, et la réponse diffère sensiblement de ce que la seule lecture des textes laisse supposer.

La méthode de l'inspecteur repose sur un entonnoir : voir beaucoup de produits rapidement, puis approfondir dès qu'un signal de non-conformité apparaît. Ce premier filtre porte sur ce qui est visible à la distribution : la présence et la correction du marquage CE, la présence de l'adresse du fabricant sur le produit, d'un numéro de lot, et d'une notice en français avec les mentions obligatoires. Ces vérifications prennent quelques minutes en magasin ou à la réception d'un produit. Un marquage insuffisant ou une adresse manquante n'est pas seulement un défaut formel : c'est un indicateur. Si l'étiquetage est défaillant, il est raisonnable de supposer que le dossier technique derrière l'est aussi. L'inspection s'approfondit en conséquence.

Une fois chez le fabricant, la première évaluation porte sur la maturité de l'entreprise vis-à-vis de la réglementation, avant tout examen de document. L'entreprise connaît-elle les grandes obligations du règlement ? Peut-elle répondre à des questions de bon sens sur son périmètre ? A-t-elle les documents essentiels disponibles ? Ces vérifications ne figurent dans aucun texte réglementaire, mais elles orientent l'ensemble du contrôle. Une entreprise complètement dépassée par la réglementation envoie un double signal : d'une part, un signal d'alerte sur les risques qu'elle peut faire courir au consommateur ; d'autre part, pour une réglementation récente comme le CRA, un réflexe pédagogique chez l'inspecteur : accompagner plutôt que sanctionner dans un premier temps, avec des injonctions séquencées pour guider la mise en conformité. Ce n'est pas pour autant une garantie d'indulgence : la sécurité du consommateur prime, et les deux réponses coexistent.

Sur ce que révèlent déjà les premières démarches CRA observées dans le secteur, deux patterns sont prévisibles à partir de ce que produisent systématiquement les premières années d'une nouvelle réglementation. Le premier est le dossier absent : une entreprise qui n'a pas commencé, sans analyse de périmètre, sans document. Le second est le dossier générique : une évaluation de risque produite à partir d'un template standard d'entreprise, non déclinée par produit, versée au dossier comme preuve de conformité à l'Annexe I. L'Annexe I Partie I du CRA exige une analyse de risque spécifique au produit : ses fonctionnalités, son environnement opérationnel, sa surface d'attaque, ses composants. Un template générique sans cette déclinaison sera identifié comme tel lors du premier contrôle.

Ce que cela implique pour un fabricant qui commence aujourd'hui

Un fabricant dont les produits entrent dans le périmètre CRA et qui engage sa démarche en 2026 dispose de dix-neuf mois jusqu'à l'échéance de conformité complète, et de quelques mois à peine jusqu'au premier jalon opérationnel. Cette temporalité commande une hiérarchie nette :

1. Classifier les produits en priorité: identifier les produits Classe I (Annexe III via le règlement 2025/2392). Cette décision détermine si un ON sera nécessaire, ce qui conditionne le budget et le planning de l'ensemble de la démarche ;
2. Cartographier le périmètre Article 14: tous les produits sur le marché, y compris les générations antérieures en service chez des clients, et évaluer leur couverture SBOM actuelle ;
3. Mettre en place la fonction PSIRT et la politique CVD: avant tout autre chantier documentaire. La CVD est une obligation de résultat à date fixe ;
4. Lancer les analyses de risque produit sur la base de la méthodologie de la prEN 40000-1-2, pour identifier les écarts techniques à corriger ;
5. Constituer les dossiers techniques Annexe VII pour les produits maintenus en conformité après décembre 2027.

La tentation est de traiter le CRA comme un projet documentaire. Il l'est en partie. Mais les exigences essentielles de l'Annexe I Partie I imposent des choix d'architecture (configuration sécurisée par défaut §1b, mécanisme de mise à jour sécurisée §1c, minimisation de la surface d'attaque §1d, gestion sécurisée des identifiants §1e, suppression sécurisée des données §1m) qui exigent du temps de développement et ne peuvent pas être substituées par de la documentation a posteriori. Les fabricants qui documentent avant d'avoir identifié leurs écarts techniques prennent un risque de re-travail significatif à mi-parcours. L'ordre logique reste : analyse de risque, puis décisions de conception, puis documentation de conformité.