CRA et directive RED (EN 18031) : cartographie des synergies pour les fabricants d'équipements radio

Deux réglementations, une seule démarche : sous condition

Depuis le 1er août 2025, tout équipement radio dont l'utilisation prévue comprend une connexion à Internet ou à un réseau doit satisfaire aux exigences cybersécurité de l'article 3§3 de la directive RED (2014/53/UE), telles que définies par le règlement délégué (UE) 2022/30 et les normes harmonisées EN 18031-1, EN 18031-2 et EN 18031-3. Cette obligation n'est pas nouvelle (elle était annoncée depuis 2022), mais son entrée en application marque un basculement réel : pour la première fois, une réglementation produit européenne impose des exigences de cybersécurité à la conception des équipements radio grand public et professionnels.

Dans le même mouvement, le Règlement (UE) 2024/2847, Cyber Resilience Act (CRA), est entré en vigueur le 10 décembre 2024, avec une première échéance opérationnelle le 11 septembre 2026 (Article 14 : notification des vulnérabilités) et une conformité complète exigée au 11 décembre 2027.

La question que se posent aujourd'hui les bureaux techniques et les responsables conformité des fabricants d'équipements radio est directe : dans quelle mesure le travail déjà engagé pour EN 18031 est-il capitalisable pour le CRA ? La réponse honnête est la suivante : significativement, mais pas complètement. Et les lacunes sont précisément là où le temps manque le plus : la gestion des vulnérabilités post-commercialisation.

Ce que couvre EN 18031

Les trois normes EN 18031 couvrent des périmètres produits distincts :

• EN 18031-1 : équipements radio connectés à Internet, protection contre les trafics réseaux nuisibles, protection des ressources du réseau et du terminal ;
• EN 18031-2 : équipements radio pouvant transmettre des données à caractère personnel, confidentialité et protection des données ;
• EN 18031-3 : équipements radio destinés aux enfants ou jouets connectés, authentification et protection adaptées à une population vulnérable.

Sur le plan technique, les exigences des EN 18031 s'articulent autour de trois axes :

• Authentification et contrôle d'accès : interdiction des credentials par défaut réutilisables, gestion des comptes et des rôles, protection contre les attaques par force brute ;
• Confidentialité des communications et des données stockées : chiffrement des échanges, protection des données sensibles au repos ;
• Protection contre les trafics réseaux nuisibles : filtrage des trames malformées, résistance aux attaques par déni de service, limitation des interfaces réseau exposées.

Ces exigences sont évaluées à partir d'une approche par profil de risque (produit de faible, moyen ou fort impact), similaire dans sa logique à la démarche d'analyse de risque de la prEN 40000-1-2. Un fabricant qui a réalisé une évaluation EN 18031 rigoureuse dispose donc d'une base solide : un contexte produit documenté, une identification des actifs et des interfaces, une évaluation des menaces pertinentes, et des contrôles implémentés et testés.

Important sur le périmètre : les EN 18031 s'appliquent aux équipements radio connectés à Internet. Des produits communicants sur une fréquence radio propriétaire (868 MHz, bande ISM) sans connexion directe à Internet peuvent être hors périmètre RED/EN 18031, même s'ils relèvent du CRA si leur utilisation prévue inclut une connexion directe ou indirecte à un autre appareil. Le CRA a un périmètre plus large.

Ce que le CRA ajoute au-delà d'EN 18031

La différence fondamentale entre les deux cadres réglementaires ne porte pas sur les exigences techniques à la conception. C'est là que les recoupements sont les plus importants. Elle porte sur les obligations continues après la mise sur le marché. RED et ses normes harmonisées sont des obligations de conception et d'essai. Le CRA est une obligation de cycle de vie.

Gestion des vulnérabilités post-commercialisation (Annexe I Partie II)

L'Annexe I Partie II du CRA impose au fabricant de mettre en place et de maintenir un processus de traitement des vulnérabilités couvrant toute la durée de la période d'assistance du produit. Cela inclut : surveillance des vulnérabilités connues dans les composants tiers (corrélation SBOM / EUVD), développement de correctifs, diffusion des mises à jour de sécurité, et notification des vulnérabilités activement exploitées à l'ENISA dans les délais prévus à l'Article 14 (24 heures pour l'alerte précoce, 72 heures pour la notification complète, 14 jours pour le rapport final). EN 18031 ne contient aucune exigence de ce type. Une fois le produit commercialisé, les obligations RED s'éteignent.

Software Bill of Materials (Annexe VII §3f)

La liste des composants logiciels du produit (incluant les dépendances tierces, leur version et leur fournisseur) doit figurer dans le dossier technique CRA (Annexe VII). Cette nomenclature est la base de la corrélation avec les bases de données de vulnérabilités (EUVD, NVD) qui permet de savoir, en quelques heures, si une CVE publiée affecte un composant présent dans le produit. EN 18031 n'impose pas de SBOM.

Politique CVD publiée (Annexe I Partie II, point 1)

Le fabricant doit établir et appliquer une politique de divulgation coordonnée des vulnérabilités, rendue publique. Cette politique définit les canaux de signalement, les délais d'accusé de réception et de réponse, et la stratégie de divulgation. Elle doit être accessible avant la mise sur le marché. EN 18031 ne contient pas d'équivalent.

Période d'assistance définie et communiquée (Article 13§8)

Le CRA exige que la période d'assistance (durée pendant laquelle le fabricant s'engage à fournir des mises à jour de sécurité) soit définie, justifiée, et communiquée à l'utilisateur avant l'achat. Cette information doit figurer dans la documentation utilisateur (Annexe II). RED ne comporte pas d'obligation équivalente.

Produits legacy (Article 14 : rétroactivité)

L'obligation de notification des vulnérabilités de l'Article 14 s'applique à partir du 11 septembre 2026 à tous les produits encore présents sur le marché, y compris ceux commercialisés avant l'entrée en vigueur du règlement. Les obligations EN 18031, par définition, ne portaient que sur les produits mis sur le marché à partir d'août 2025. La rétroactivité de l'Article 14 touche donc des produits pour lesquels aucun travail EN 18031 n'a été réalisé.

Ce qu'EN 18031 apporte pour le CRA : l'inventaire réel

Une évaluation EN 18031 correctement documentée apporte, pour les exigences CRA, les éléments suivants :

• Contexte produit et cartographie des interfaces : la description du produit, de ses modes de communication et de son environnement opérationnel, réalisée pour EN 18031, est directement réutilisable comme base du contexte produit exigé par la prEN 40000-1-2 (Clause 6.2).
• Identification des actifs et des menaces pertinentes : le profil de risque EN 18031 (faible / moyen / fort impact) et l'identification des données sensibles et des fonctions critiques constituent un point de départ valable pour l'analyse de risque CRA, même si la méthodologie doit être formellement alignée sur la prEN 40000-1-2.
• Contrôles de l'Annexe I Partie I : les exigences techniques EN 18031 couvrent probablement 40 à 50 % des exigences essentielles de l'Annexe I Partie I du CRA, notamment : configuration sécurisée par défaut (§1b), authentification (§1e), confidentialité des données (§1f-g), protection des interfaces réseau. Les contrôles implémentés et testés pour EN 18031 peuvent être invoqués dans le dossier technique CRA, sous réserve que la correspondance soit documentée.
• Documentation technique existante : rapports d'évaluation, description des tests, documentation architecture : tout réutilisable dans le dossier technique CRA (Annexe VII).

Ce qui n'est pas couvert et doit être construit spécifiquement pour le CRA : le processus de gestion des vulnérabilités post-commercialisation, le SBOM, la politique CVD, la définition et communication de la période d'assistance, l'enregistrement sur la plateforme ENISA, et la capacité à émettre une notification dans les délais de l'Article 14. Ce sont des chantiers organisationnels et opérationnels, pas des chantiers d'ingénierie produit, mais ils prennent du temps, et le délai de septembre 2026 est critique.

La question du module d'évaluation de la conformité

C'est ici que les deux cadres réglementaires divergent le plus nettement, avec des implications financières et calendaires directes.

Sous la directive RED, un fabricant qui applique les normes harmonisées EN 18031-1, EN 18031-2 et/ou EN 18031-3 bénéficie d'une présomption de conformité à l'article 3§3 RED, et peut procéder à une auto-déclaration (Module A, déclaration interne de contrôle de la production). Le recours à un organisme notifié n'est pas obligatoire pour ces produits.

Sous le CRA, la voie d'évaluation dépend de la classification du produit :

• Produits standard : Module 1 (équivalent au Module A) : auto-déclaration possible sans condition.
• Produits importants Classe I (Annexe III) : Module 1 possible uniquement si une norme harmonisée ou une spécification commune CRA applicable est disponible et appliquée (Article 32§2 point a). En l'absence de norme harmonisée : Module B+C ou Module H, organisme notifié obligatoire.
• Produits importants Classe II (Annexe III) : Module B+C ou Module H, organisme notifié toujours obligatoire.

Pour les fabricants de produits de sécurité domestique connectés (centrales d'alarme, serrures connectées, caméras de surveillance, systèmes de contrôle d'accès), la catégorie pertinente de l'Annexe III est la catégorie 17 : Produits domestiques intelligents dotés de fonctionnalités de sécurité, Classe I.

La norme sectorielle prévue pour cette catégorie est l'ETSI EN 304 632 (DEN/CYBER-EUS-0014, V0.2.1, février 2026), actuellement en stade de mature draft, soumise à enquête publique combinée et vote (ETSI TC CYBER). Cette norme n'est pas encore harmonisée. Elle n'est pas citée au Journal officiel de l'UE. Or, c'est l'harmonisation (citation au JOUE en réponse à la demande de normalisation M/606) qui ouvre la présomption de conformité et rend le Module 1 disponible pour les produits Classe I.

Tant qu'EN 304 632 n'est pas harmonisée, les fabricants de produits Classe I relevant de la catégorie 17 ne peuvent pas s'appuyer sur une norme harmonisée CRA pour leur évaluation de conformité. Ils doivent donc, en l'état actuel, prévoir le Module B+C : c'est-à-dire un audit par organisme notifié. Les coûts indicatifs : 15 000 à 50 000 € selon la complexité du produit. Les délais : 6 à 12 mois selon la disponibilité de l'organisme. L'application en cascade des normes horizontales (prEN 40000-1-2, EN 40000-1-3) comme alternatives possibles fait encore l'objet de débats interprétatifs.

La conséquence pratique est double. D'une part, le travail EN 18031 (qui couvre les exigences RED via des normes harmonisées RED) ne donne pas automatiquement présomption de conformité CRA pour les exigences correspondantes. Les deux systèmes de présomption sont distincts. D'autre part, la fenêtre de risque est réelle : si EN 304 632 n'est pas harmonisée avant mi-2027, les fabricants de produits Classe I catégorie 17 devront engager un organisme notifié pour décembre 2027, sans avoir pu anticiper ce coût si le budget avait été planifié sur la base d'un Module 1.

Séquençage pratique pour un fabricant déjà engagé sur EN 18031

Si votre entreprise a déjà réalisé (ou est en cours de réalisation de) l'évaluation EN 18031 pour la conformité RED, voici la séquence recommandée pour étendre cette démarche au CRA :

1. Finaliser EN 18031 pour la conformité RED (si ce n'est pas encore fait, obligation depuis août 2025 pour les produits connectés à internet). Cette démarche reste indépendante du CRA et ne peut pas être repoussée.
2. Étendre l'analyse de risque au périmètre CRA : réutiliser le contexte produit EN 18031 comme input de la démarche prEN 40000-1-2 : documenter formellement la correspondance afin que le dossier technique CRA puisse invoquer les résultats EN 18031.
3. Cartographier les exigences CRA Annexe I non couvertes par EN 18031 : générer une matrice de correspondance EN 18031 vs. Annexe I CRA, identifier les lacunes techniques à combler.
4. Construire les chantiers CRA spécifiques en priorité selon l'échéance : SBOM (Q3 2026 pour les produits couverts par l'Article 14), politique CVD publiée (avant septembre 2026), procédure interne de traitement des vulnérabilités opérationnelle (avant septembre 2026), inscription ENISA (avant septembre 2026).
5. Surveiller le statut d'harmonisation d'EN 304 632 : consulter régulièrement NANDO et le JOUE. Si la norme n'est pas harmonisée à fin 2026, prendre contact précocement avec l'organisme notifié qui a réalisé vos audits RED : il sera probablement désigné organisme notifié CRA, et une relation préalable facilite le calendrier.
6. Planifier le module d'évaluation de conformité en scénario double : budget et planning avec Module 1 si EN 304 632 est harmonisée à temps, budget et planning alternatif avec Module B+C si ce n'est pas le cas. Ne pas attendre 2027 pour trancher : la décision doit être prise au plus tard fin 2026 pour laisser le temps de sélectionner et engager l'organisme notifié.

Les trois changements organisationnels que la plupart des fabricants n'ont pas encore engagés

Parmi les obligations post-commercialisation du CRA, trois changements organisationnels sont systématiquement sous-estimés par les fabricants qui entament leur démarche, notamment ceux qui pensent que l'essentiel est derrière eux dès lors que la conformité EN 18031 est acquise.

1. Des tests de surveillance récurrents, pas seulement liés aux projets. Les fabricants sont habitués à qualifier leurs produits à la mise sur le marché et lors des modifications : ils ont des procédures pour ça, des équipes, des laboratoires externes. Ce que le CRA introduit de structurellement nouveau, c'est l'exigence de tests de surveillance récurrents tout au long de la vie du produit, pas seulement en mode projet. Cela suppose une réorganisation des équipes qualification, et l'acquisition ou l'externalisation de compétences en cybersécurité (pentests, revues de sécurité) sur une base récurrente, pas ponctuelle. Pour un fabricant dont l'organisation est entièrement orientée vers les projets de mise sur le marché, c'est un changement de modèle opérationnel.

2. Une fonction PSIRT formellement désignée. La capacité à notifier une vulnérabilité activement exploitée sous 24 heures suppose l'existence d'une fonction PSIRT (Product Security Incident Response Team). Dans une PME, cette fonction ne requiert pas une équipe dédiée : une seule personne peut suffire selon la taille de l'organisation. Mais elle doit exister formellement : désignée par note de service, avec des responsabilités définies : réception des signalements, évaluation de la sévérité, coordination avec les équipes R&D, et pilotage de la procédure de notification à l'ENISA et à l'ANSSI si nécessaire. Compte tenu du délai de 24 heures de l'Article 14, une astreinte doit être définie pour les signalements critiques entrant en dehors des heures ouvrées. C'est le changement organisationnel le plus immédiatement contraignant pour les PME qui partent de zéro.

3. Sécurisation du processus de production. Le traitement d'une vulnérabilité est une information sensible : la notion de besoin d'en connaître s'applique. Par ailleurs, le processus de transmission des nouvelles versions de firmware des équipes R&D vers la chaîne de production doit être sécurisé et documenté. La plupart des fabricants ont des processus de production couverts par ISO 9001, mais sans la couche cybersécurité nécessaire. L'enjeu est d'y ajouter cette dimension (sans nécessairement aller jusqu'à ISO 27001), en documentant, auditant et sécurisant spécifiquement ce processus sous l'angle cyber. C'est une exigence qu'un nombre limité de fabricants a anticipée, et que les premières inspections CRA révèleront probablement comme un maillon faible fréquent.

Conclusion

Le travail EN 18031 n'est pas à refaire pour le CRA : il est à compléter. La conception sécurisée, les contrôles d'authentification, la protection des communications : autant de travaux capitalisables. Mais l'architecture de conformité EN 18031 s'arrête à la mise sur le marché. Le CRA commence là où elle s'arrête.

Le chantier prioritaire (et probablement le plus décalé par rapport aux habitudes des bureaux techniques) est la gestion des vulnérabilités post-commercialisation. Pas une exigence de conception. Une exigence opérationnelle, permanente, avec des délais légaux contraignants à partir du 11 septembre 2026. Pour un fabricant qui vend des produits encore sur le marché, ce délai est en dessous de six mois.