Cyber Resilience Act : ce que vous devez savoir avant décembre 2027
SBOM obligatoire, signalement des vulnérabilités sous 24h, amendes jusqu'à 15 millions d'euros
Le règlement européen CRA impose de nouvelles exigences de cybersécurité pour tous les produits numériques commercialisés dans l'UE.
Chronologie du Cyber Resilience Act
12 mars 2024
Adoption par le Parlement
Vote et adoption par le Parlement européen
20 novembre 2024
Publication officielle
Publication au Journal Officiel de l'UE (2024/2847)
10 décembre 2024
Entrée en vigueur
Le règlement entre officiellement en vigueur
11 septembre 2026
Obligations de signalement
Signalement des vulnérabilités exploitées sous 24h
11 décembre 2027
Application obligatoire
Conformité obligatoire pour tous les produits mis sur le marché dans l'UE
Vos obligations concrètes selon le CRA
Ce que vous devez impérativement mettre en place
Fournir un SBOM
Inventaire des composants logiciels du produit
- Format lisible par machine (SPDX, CycloneDX)
- Au minimum les dépendances de premier niveau
- Non obligatoirement public, mais disponible sur demande (notamment pour les autorités de surveillance du marché)
Gérer les vulnérabilités
Processus de détection et correction des failles
- Signalement aux autorités sous 24h en cas d'incident significatif ou de vulnérabilité activement exploitée
- Mises à jour de sécurité gratuites pendant la durée de vie prévue du produit
- Documentation des mesures correctives et des incidents traités
Documentation technique
Maintenir une documentation complète
- Description du produit et de sa conception
- Évaluation des risques de cybersécurité et résultats des tests
- Conservation pendant au moins 10 ans après la mise sur le marché
Déclaration de conformité
Marquage CE et traçabilité
- Déclaration UE de conformité obligatoire
- Marquage CE sur le produit ou sa documentation
- Traçabilité dans la chaîne d'approvisionnement (fournisseurs, composants, versions)
Qui est concerné par le CRA ?
Le règlement s'applique très largement
Produits concernés
- Tous les logiciels commercialisés en Europe, intégrés dans un produit ou fournis comme service
- Applications web et mobiles
- Logiciels embarqués et IoT
- Systèmes d'exploitation et middleware
- Composants logiciels vendus séparément
- Mises à jour et extensions payantes
Exemptions
- Logiciels open source non commerciaux, développés et distribués sans activité économique
- Prototypes et versions bêta utilisés uniquement en interne et non mis sur le marché
- Logiciels développés pour usage interne uniquement, sans distribution à des clients externes
Les risques en cas de non-conformité
Des sanctions qui peuvent mettre en péril votre entreprise
Sanctions financières
Jusqu'à 15M€ ou 2,5% du CA
pour manquements graves aux exigences essentielles
Interdiction de commercialisation
- Retrait immédiat du marché européen en cas de non-conformité grave
- Perte du marquage CE jusqu'à remise en conformité
- Interdiction de vente dans l'UE pour les produits concernés
Risques réputationnels
- Publication des sanctions par les autorités nationales ou la Commission
- Perte de confiance des clients et partenaires
- Impact négatif sur la valorisation et la capacité à lever des fonds
Risques opérationnels
- Rappel massif de produits non conformes déjà sur le marché
- Interruption d'activité liée aux blocages de vente ou aux remédiations urgentes
- Coûts de mise en conformité urgente (audit, correctifs, certification accélérée)