Une caméra connectée vulnérable, un routeur jamais mis à jour, un logiciel embarqué truffé de dépendances oubliées, etc. Jusqu’ici, beaucoup de failles de sécurité restaient traitées comme des défauts techniques, parfois corrigées, parfois ignorées. Avec le Cyber Resilience Act, l’Union européenne change de logique. La cybersécurité ne sera plus un supplément de sérieux, mais une condition de mise sur le marché pour les produits numériques. Le règlement européen 2024/2847 impose des exigences de sécurité aux produits matériels et logiciels comportant des éléments numériques, depuis leur conception jusqu’à leur fin de vie opérationnelle.
Le Cyber Resilience Act vise large. Il concerne les produits matériels ou logiciels connectés, les composants mis séparément sur le marché, les logiciels installables, les équipements télécoms, les objets connectés, certains systèmes industriels ou encore des produits intégrant de l’IA. Ainsi, tout produit susceptible d’être connecté directement ou indirectement à un appareil ou à un réseau peut devenir une porte d’entrée pour un attaquant.
Ce n’est donc pas seulement un texte pour les fabricants d’objets IoT grand public. Les éditeurs de logiciels, les fournisseurs de composants, les importateurs et les distributeurs sont aussi concernés. La cybersécurité devient une exigence intrinsèque du produit, intégrée dès la conception, documentée, testée, maintenue et vérifiable. Le marquage CE attestera de cette conformité, avec des procédures différentes selon le niveau de criticité du produit. Les produits les plus sensibles pourront nécessiter l’intervention d’un organisme notifié, tandis que d’autres relèveront d’une auto-évaluation sous responsabilité du fabricant.
Un fabricant devra donc identifier les risques, réduire la surface d’attaque, prévoir des mises à jour de sécurité, ne pas mettre sur le marché un produit comportant des vulnérabilités exploitables connues et organiser la gestion des failles après commercialisation. Le support de sécurité devient dès lors un sujet stratégique. La Commission rappelle, en effet, que la période de support doit, sauf durée de vie plus courte du produit, être d’au moins 5 ans.
La chaîne d’approvisionnement devient aussi un point de tension majeur. Un industriel ne pourra plus se cacher derrière un composant tiers, une bibliothèque open source ou un firmware fourni par un partenaire. Il devra exercer une diligence raisonnable, à savoir vérifier les mises à jour, analyser les vulnérabilités connues, tester les composants critiques, documenter ses choix. L’open source n’est pas interdit ni diabolisé, mais son intégration devient une responsabilité assumée par celui qui commercialise le produit final.
Le cas du SaaS, lui, reste plus subtil. Un service cloud autonome n’est pas, en tant que tel, un produit avec éléments numériques. Mais lorsqu’un traitement distant est indispensable au fonctionnement d’un produit, il peut entrer dans le périmètre du CRA. C’est précisément ce type de frontière qui compliquera la lecture du texte pour les éditeurs hybrides, les fabricants d’équipements connectés et les plateformes mêlant matériel, logiciel embarqué et services distants.
Septembre 2026, la première vraie échéance
Bon nombre d’entreprises regardent décembre 2027 comme la date clé, car l’application complète du règlement interviendra à ce moment-là. Mais le premier jalon opérationnel arrive le 11 septembre 2026. A cette date, les fabricants devront signaler les vulnérabilités activement exploitées et les incidents graves affectant la sécurité de leurs produits via la Single Reporting Platform opérée par l’ENISA.
Une alerte initiale devra être transmise sans délai injustifié et, au plus tard, dans les 24 heures après la prise de connaissance. Une notification plus complète devra suivre dans les 72 heures, puis un rapport final selon la nature de l’événement. En France, ces signalements seront transmis au CERT-FR, le CSIRT coordinateur de l’ANSSI, tandis que l’ANFR assurera la surveillance du marché avec l’appui technique de l’ANSSI.
Ce dispositif crée une tension évidente. D’un côté, il améliore la visibilité des autorités sur les failles réellement exploitées. De l’autre, il impose aux fabricants une capacité de détection, de qualification et de coordination qu’ils n’ont pas toujours. Beaucoup savent publier des correctifs. Moins nombreux sont ceux capables de prouver rapidement qu’une vulnérabilité est activement exploitée, d’identifier les produits touchés, d’évaluer l’impact client, d’informer les utilisateurs et de coordonner avec les autorités sans déclencher de panique ni exposer davantage la faille.
Le risque principal n’est donc pas seulement juridique. Il est aussi opérationnel. Car les entreprises devront revoir leurs processus de développement, leurs contrats fournisseurs, leurs politiques de support, leur gestion de fin de vie produit, leurs référentiels de composants et leurs procédures de crise. Pour les PME industrielles, les éditeurs spécialisés ou les fabricants qui dépendent de briques logicielles tierces, l’effort peut être lourd. Le CRA promet un marché plus sûr, mais il ajoute aussi un coût de conformité, de documentation et de preuve.
La limite du texte tient à son ambition même. Il ne supprimera pas les vulnérabilités. Il ne garantira pas qu’un produit marqué CE soit inviolable. Et il ne résoudra pas automatiquement la dépendance aux composants tiers, aux bibliothèques abandonnées ou aux chaînes logicielles opaques. En revanche, il rendra beaucoup plus difficile la commercialisation de produits numériques conçus sans discipline de sécurité, vendus sans durée de support claire ou maintenus sans processus de correction sérieux.
Le Cyber Resilience Act marque ainsi un basculement culturel. Après le RGPD pour les données personnelles, NIS 2 pour les organisations essentielles et importantes, DORA pour le secteur financier, l’Europe s’attaque à la sécurité des produits eux-mêmes. Et les sanctions prévues donnent la mesure du changement. En France, l’ANFR pourra aller jusqu’au retrait du marché et à des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial.
