Fondée en 2013, Upyne émerge en tant qu'agence de référence dans la création de sites internet et d'applications mobiles. Notre histoire est façonnée par une passion partagée pour l'innovation numérique et un engagement indéfectible envers l'excellence. Choisissez Upyne, votre partenaire idéal pour concrétiser vos projets digitaux.
Upyne > Cybersécurité > Qu’est-ce que le CRA (European Cyber Resilience Act) ?

Qu’est-ce que le CRA (European Cyber Resilience Act) ?

Cyber Resilience Act

Avec les réglementations NIS2 et DORA, le Cyber Resilience Act (CRA) constitue le troisième volet cybersécurité mis en place par l’Union européenne. L’objectif ? Renforcer son cadre règlementaire en matière de cybersécurité. Ce dernier règlement adopté en 2024, vise à combler un vide. Celui de la sécurité des produits numériques dès leur conception. Il entrera en application en décembre 2027.

Pourquoi une nouvelle règlementation ?

Les appareils connectés, logiciels et autres objets intelligents sont omniprésents dans notre quotidien et dans les entreprises. Pourtant, le nombre de ces produits sont mis sur le marché avec des failles de sécurité non corrigées ou sans réelle prise en charge en cas d’incident. Par conséquent, le CRA part d’un constat simple : la cybersécurité ne peut plus être une option, ni une responsabilité laissée au seul utilisateur.

A qui s’adresse le CRA ?

Le CRA s’appliquera à tout fabricant, importateur ou distributeurs de produits numériques destinés au marché européen. Cela inclut :

  • Les logiciels (systèmes d’exploitation, outil de collaboration…)
  • Les objets connectés (iOT industriels, domotiques, wearables…)
  • Les composants matériels embarquant du logiciel
  • Les produits critiques pour les infrastructures (ex : pare-feux, antivirus)

Quels sont les principales obligations ?

Le Cyber Resilience Act impose plusieurs exigences aux acteurs concernés :

  • La conception sécurisée par défaut : intégration de mesures de cybersécurité dès la phase de développement.
  • La documentation technique obligatoire. Chaque produit devra inclure des éléments démontrant sa conformité (Analyse de risques, tests…)
  • La notification des vulnérabilités. Il sera en effet obligatoire de signaler toute faille exploitée activement dans un délai de 24h à l’ENISA (L’agence européenne de cybersécurité).
  • Support et mises à jour. Les fabricants devront fournir des correctifs de sécurité pendant une durée proportionnée à la durée de vie du produit.
  • Etiquetage de conformité. Comme pour les marquages CE, un nouveau label permettra d’identifier les produits conformes au CRA.

Un calendrier à anticiper

L’entrée en application du Cyber Resilience Act est prévue pour la fin de l’année 2027. En effet, il est nécessaire de mettre en place un délai de 36 mois après l’adoption finale du texte qui a été effectuée en 2024. Ce délai vise en effet aux entreprises concernées par le CRA de s’adapter. Cependant, il apparaît risqué d’attendre. Certaines obligations seront applicables plus rapidement, notamment la notification des vulnérabilités.

Quels impacts pour les entreprises ?

  • Pour les éditeurs de logiciels : il faudra documenter chaque version, tester la sécurité avant mise sur le marché, assurer un suivi post-livraison.
  • Pour les fabricants d’objets connectés : L’ingénierie devra intégrer des protocoles sûrs et l’ensemble de la chaîne d’approvisionnement devra être contrôlée.
  • Pour les distributeurs : obligation de vérifier que les produits qu’ils mettent en vente soient conformes au CRA.
  • Pour les acheteurs publics ou privée : ce règlement servira également de critère de sélection dans les appels d’offres.

Une opportunité autant qu’un défi

Si la mise en conformité représente un effort, elle peut en revanche devenir un avantage concurrentiel. Un produit sécurisé, régulièrement mis à jour, transparent sur ses vulnérabilités et conformes au CRA, répondra mieux aux attentes des clients B2B comme B2C.

En conclusion, le CRA introduit une approche proactive de la cybersécurité produit. Il responsabilise les acteurs tout au long du cycle de vie numérique. Pour les entreprises concernées, l’enjeu est clair : anticiper dès aujourd’hui pour éviter les sanctions demain.

Upyne est une agence digitale basée à Lyon.

Explorer

Contact

117 Rue des Charmettes, 69006 Lyon

contact@upyne.com

Copyright © 2024 Upyne    |    Politique de confidentialité    |  Mentions légales