Cyber resilience act : comment éviter la douche froide en 2027 (surtout les PME)
Adopté en 2024 par l'Union européenne, le cyber resilience act (CRA) ne s'applique pleinement qu'en décembre 2027, afin de laisser le temps aux fabricants de s'y conformer. Ce règlement européen prévoit de garantir une security by design et by default de tout produit matériel ou logiciel comportant des éléments numériques (PEN) sur le territoire européen. Il peut donc s'agir aussi bien d'objets connectés comme des montres que du matériel informatique, des applications mobiles, des bibliothèques logicielles intégrées dans des produits matériels, des produits qui interagissent via le cloud, etc. Ce ne sont donc plus les consommateurs finaux qui sont responsables de la cybersécurité du PEN mais tous les acteurs de la chaîne d'approvisionnement.
Le fabricant doit concevoir et maintenir un produit sécurisé grâce à une évaluation des risques, des mises à jour régulières et une surveillance continue des vulnérabilités. De leur côté, les importateurs et distributeurs doivent vérifier que le produit respecte bien les exigences du CRA avant sa mise sur le marché européen. "Le CRA est un big bang comme l'a été le Règlement général de la protection des données. Il a même une portée plus large car il protège tous les usages du quotidien étant donné notre utilisation permanente des produits digitaux", soutient François Ehly, responsable de la sécurité des systèmes d'information (RSSI) et senior manager chez Almond, société de conseil en cybersécurité et transformation numérique.
Une application progressive peu anticipée
Le CRA entre progressivement en application jusqu'en 2027. D'abord, le 11 juin 2026, les Etats membres doivent notifier à la Commission européenne les organismes qu'ils ont choisis pour vérifier la conformité des produits aux exigences du CRA. Ceux-ci sont appelés conformity assessment bodies (CAB). Ce n'est qu'à partir de cette date que les fabricants peuvent engager les démarches nécessaires pour faire évaluer la robustesse de leurs produits par un CAB. Toutefois, seuls les produits dits critiques et importants doivent être évalués par ces organismes.
Les produits critiques sont ceux dont la compromission peut perturber gravement les chaînes d'approvisionnement critiques du marché intérieur, ou encore ceux dont dépendent fortement les entités essentielles identifiées par la directive NIS 2. Il peut s'agir d'équipements de réseau ou encore de solutions de cybersécurité. Quant aux produits importants, ce sont ceux dont l'exploitation d'une de leurs vulnérabilités a de graves répercussions sur de nombreux autres produits ou endommage la santé ou la sécurité de ses utilisateurs. Il peut s'agir de logiciels qui gèrent des données de santé, de VPN, pare-feux, etc.
Ensuite, à partir du 11 septembre 2026, les fabricants doivent notifier les incidents graves affectant leurs produits et les vulnérabilités activement exploitées dans les 24 heures. Elles sont à adresser à l'Agence de l'union européenne pour la cybersécurité (Enisa) et à l'Agence nationale de la sécurité des systèmes d'information (Anssi). Cette obligation s'applique même si le produit n'est pas encore entièrement conforme au CRA.
Enfin, les nouveaux produits numériques mis sur le marché à partir du 11 décembre 2027 doivent respecter toutes les obligations du CRA. Leur non-conformité au règlement peut entraîner une amende allant jusqu'à quinze millions d'euros ou 2,5% du chiffre d'affaires annuel mondial de l'entreprise. Malgré ce calendrier serré et cette sévère peine qu'encourent les fabricants, la grande majorité d'entre eux n'aurait toujours pas entamé de processus de mise en conformité de leurs produits avec le CRA selon Marc-Antoine Ledieu, avocat spécialisé en droit de la cybersécurité. François Ehly confirme : "Ce qui me fait dire que les acteurs sont très en retard dans leur conformité au règlement est qu'on nous pose encore très peu de questions sur ce sujet".
Comment se conformer dès maintenant au CRA ?
Selon François Ehly, c'est dès maintenant que les fabricants doivent opérer leur conformité au CRA pour pouvoir respecter toutes ses exigences en 2027. Pour cela, "ils doivent d'abord savoir si leurs produits numériques sont concernés ou non par le règlement", précise Eric Barby, avocat spécialisé en droit de la cybersécurité. Et pour cause, certains d'entre eux échappent exceptionnellement au CRA ,comme des dispositifs médicaux déjà réglementés (pacemakers connectés, systèmes d'imagerie médicale avec logiciels embarqués, etc.), les véhicules autonomes ou encore les produits utilisés pour la défense et la sécurité nationale (drones, logiciels de brouillage, etc.).
En outre, "si le fabricant découvre que ses produits sont concernés, il faut qu'il identifie le niveau d'importance ou de criticité de celui-ci", poursuit l'avocat. Selon qu'il est critique, important ou standard, les obligations ne sont en effet pas les mêmes. Pour un produit dit standard, le choix de la méthodologie de l'évaluation est laissé au fabriquant et aboutit à un simple contrôle interne. Pour un produit important, l'évaluation effectuée par le CAB comprend un examen de la documentation technique, de sa conception et de ses processus de gestion des vulnérabilités. Quant au produit critique, le CAB doit l'auditer avec une évaluation qualitative comprenant notamment une visite des installations où il a été conçu. Aussi, le CAB renouvelle cet audit tout au long de la durée de vie du produit critique. Tandis que le fabricant d'un produit standard dispose donc encore d'un délai pour se conformer au CRA jusqu'en 2027, celui d'un produit critique n'a plus le luxe de pouvoir attendre.
Ensuite, "il est nécessaire d'effectuer une analyse des risques sur ces produits au moyen de tests préalables effectués par des pentesters sur les produits logiciels ou par des laboratoires", indique François Ehly. S'il s'agit d'un produit critique, "mieux vaut aller loin dans la démarche en le soumettant aux tests de l'Agence nationale de la sécurité des systèmes d'information ou d'un Centre d'évaluation de la sécurité des technologies de l'information pour le certifier European union common criteria", insiste-t-il. En revanche, si le produit a un faible degré d'importance, "une petite recherche de vulnérabilités et des évaluations complémentaires suffiront : ses coûts de transformation pour le rendre conforme au CRA ne seront donc pas très conséquents", ajoute-t-il.
En plus de ces tests préparant la conformité au CRA, les fabricants doivent aussi "intégrer la culture de la conformité et mettre en place une capacité à appréhender les risques", observe François Ehly. Or "si les grandes entreprises, habituées aux exigences normatives, sont préparées, l'enjeu concerne surtout les petites et moyennes entreprises. Celles-ci fourmillent d'idées, lancent des produits innovants mais passent souvent à côté des enjeux de conformité", affirme-t-il.