Couvrez ce CRA que je ne saurais voir…

Le Cyber Resilience Act arrive. Contraignant, certes, il pourrait bien devenir un outil de compétitivité pour l'industrie européenne.

Le paysage réglementaire du digital européen ressemble de plus en plus à la table des éléments de Mendeleïev. Entre le RGPD, le Digital Markets Act, le Digital Services Act, le Data Governance Act, le Data Act, DORA, NIS 2 et le Cybersecurity Act, le Cyber Solidarity Act, l’IA Act, le Règlement E-Privacy, les responsables de la conformité au sein des entreprises ne risquent pas de voir leur métier disparaître de sitôt.

Et voici pourtant que s’annonce un nouvel élément : le Cyber Resilience Act (CRA), applicable dès 2026. La philosophie de ce texte a été résumée par Ursula von der Leyen lors de son Adresse sur l’état de l’Union, en 2021 : « Si tout est connecté, tout peut être piraté. » Le CRA, adopté par le Conseil européen en octobre 2024, fait donc obligation à tout fabricant, importateur, distributeur de produits contenants des éléments digitaux, des objets connectés et des logiciels, de rehausser leur niveau de cybersécurité tout au long de leur cycle de vie. Cela concerne aussi bien les téléphones et ordinateurs portables que les objets connectés du quotidien – capteurs, caméras, robots, réfrigérateurs, babyphones, sans parler des compteurs électriques, des composants digitaux de la « smart city ».

Le CRA, un changement d’échelle dans la régulation

Certes, le texte crée trois niveaux d’exigence en fonction du caractère « critique » des produits ou composants, mais sa portée est extrêmement large puisqu’il vise ni plus ni moins à créer une Europe résiliente aux cyberattaques avec des modalités de cyber protection normalisées au niveau de l’Union. Alors que jusqu’à maintenant, les autorités européennes avaient plutôt mis l’accent sur la sécurité des réseaux et des infrastructures informatiques et digitales, elle ouvre un champ nouveau, celui des produits eux-mêmes, des objets connectés et des systèmes et logiciels embarqués.

Comme pour d’autres normes européennes environnementales ou digitales, certaines entreprises expriment des réserves, voire une certaine forme de résistance. Mais nous sommes dans un domaine critique, la cybersécurité et il suffit de lire la presse pour constater la longue et persistante litanie des attaques de toute nature qui frappent chaque jour les entreprises et les organisations. Le problème doit donc être abordé avec la tête froide. Les consommateurs ne pourraient qu’apprécier que les produits qu’ils utilisent tous les jours ne soient pas susceptibles d’être hackés, les entreprises ne peuvent que considérer de façon positive tout ce qui peut renforcer la résilience de leurs systèmes de production ou logistique.

Une contrainte qui peut devenir un avantage stratégique

La cybersécurité est aujourd’hui une composante stratégique du bon fonctionnement du marché unique. Et la possibilité pour une entreprise de rassurer ses clients grâce à une sorte de « nutriscore » appliqué à la cybersécurité de ses produits peut constituer un avantage concurrentiel non négligeable. Cette montée en exigence peut sembler contraignante à court terme, mais elle favorise à long terme la montée en gamme de l’industrie européenne, en alignant les exigences de sécurité sur des standards communs. Elle incite les fabricants à intégrer la sécurité dès la conception, à revoir leurs chaînes d’approvisionnement, à anticiper les risques et à valoriser leurs efforts sur le plan commercial. C’est une dynamique de compétitivité autant que de conformité.

Ce processus de mise en œuvre du CRA, qui s’étend jusqu’à 2027 est donc une bonne façon de diffuser dans les entreprises mais aussi chez les citoyens une véritable culture de la cybersécurité. Il est temps pour les entreprises de lever le voile sur ce texte encore méconnu, et d’en faire pour en faire un instrument de progrès plutôt qu’un fardeau.