Chapitres 09 En vigueur: 11 décembre 2027 (complet)

Loi sur la résilience cybernétique

Loi sur la résilience cybernétique

Vue d'ensemble

La Loi sur la résilience cybernétique (CRA) introduit des exigences obligatoires en matière de cybersécurité pour les produits matériels et logiciels comportant des éléments numériques. Elle couvre l'ensemble du cycle de vie du produit, de la conception à la fin du support, et vise à lutter contre la prolifération des produits IoT et logiciels non sécurisés.[1]

La CRA s'applique aux produits mis sur le marché de l'UE, quel que soit leur lieu de fabrication.

Calendrier d'application

DateÉtape clé
10 décembre 2024Entrée en vigueur de la CRA
11 septembre 2026Début des obligations de déclaration
11 décembre 2027Application complète de toutes les exigences

Produits concernés

Produits couverts

Produits avec éléments numériques qui :

  • Ont une connexion de données logique ou physique directe ou indirecte à un appareil ou un réseau
  • Incluent des composants matériels et logiciels

Catégories

CatégorieExigencesExemples
Par défautAuto-évaluationLa plupart des logiciels, IoT basique
Important Classe IÉvaluation basée sur des normesNavigateurs, gestionnaires de mots de passe, VPN, gestion de réseau
Important Classe IIÉvaluation par un tiersSystèmes d'exploitation, pare-feux, routeurs, hyperviseurs
CritiqueÉvaluation par un tiers + certificationModules de sécurité matériels, compteurs intelligents, cartes à puce

Exemptions

  • Logiciels open source (développement non commercial)
  • SaaS (couvert par d'autres réglementations)
  • Produits déjà réglementés (dispositifs médicaux, véhicules, aviation)
  • Produits de défense et de sécurité nationale

Exigences essentielles en matière de cybersécurité[2]

Sécurité dès la conception

Les produits doivent être conçus et développés pour garantir :

  1. Niveau de sécurité approprié : Basé sur les risques prévisibles
  2. Absence de vulnérabilités exploitables connues : Au moment de la mise sur le marché
  3. Configuration sécurisée par défaut : Y compris la capacité de réinitialisation d'usine
  4. Protection de la confidentialité : Pour les données stockées, transmises et traitées
  5. Protection de l'intégrité : Contre toute modification non autorisée
  6. Disponibilité : Résilience contre les dénis de service
  7. Surface d'attaque minimale : Réduire les vecteurs d'attaque potentiels
  8. Limitation de l'impact des incidents : Minimiser les conséquences des violations

Authentification et contrôle d'accès

  • Identifiants par défaut forts et uniques ou définis par l'utilisateur lors du premier usage
  • Protection contre les attaques par force brute
  • Mécanismes d'authentification sécurisés

Protection des données

  • Stockage chiffré des données sensibles
  • Transmission sécurisée des données
  • Suppression ou anonymisation des données lorsqu'elles ne sont plus nécessaires

Exigences de gestion des vulnérabilités[3]

Les fabricants doivent :

  1. Identifier les vulnérabilités : Par des tests et une surveillance
  2. Documenter les composants : Maintenir une liste des composants logiciels (SBOM)
  3. Traiter les vulnérabilités : Fournir des mises à jour de sécurité sans retard indu
  4. Divulguer les vulnérabilités : Coordonner avec les parties concernées
  5. Mises à jour de sécurité : Mises à jour gratuites pendant la période de support définie (minimum 5 ans)

Déclaration des vulnérabilités

À partir de septembre 2026, les fabricants doivent déclarer :

Type de rapportDélai
Vulnérabilité activement exploitée24 heures à l'ENISA
Incident avec impact sur la sécurité24 heures à l'ENISA/CSIRT
Notification de vulnérabilité72 heures à l'ENISA

Évaluation de la conformité

CatégorieProcédure
Par défautAuto-déclaration ou examen de type UE
Important Classe INormes harmonisées OU évaluation par un tiers
Important Classe IIÉvaluation de conformité par un tiers
CritiqueExamen de type UE + assurance qualité de la production

Les produits doivent afficher le marquage CE confirmant la conformité.

Sanctions

  • Non-conformité : Jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial
  • Violation des exigences essentielles : Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires
  • Autres infractions : Jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires[4]

Actions recommandées pour les développeurs

Pour les fabricants de logiciels et matériels :

  1. Inventorier les produits : Déterminer ceux qui sont concernés et leur catégorie
  2. Sécurité dès la conception : Intégrer la sécurité dans les processus de développement
  3. Gestion des vulnérabilités : Établir des procédures de détection et de traitement
  4. Création de SBOM : Documenter les composants logiciels et leurs dépendances
  5. Planification du support : Définir et communiquer les périodes de support
  6. Mécanismes de mise à jour : Mettre en place des systèmes sécurisés de distribution des mises à jour
  7. Préparation à la conformité : Préparer la documentation technique

Sources & Références

[1]
Règlement (UE) 2024/2847 sur les exigences de cybersécurité pour les produits. EUR-Lex : Texte officiel de la CRA
[2]
Annexe I de la CRA : Exigences essentielles en matière de cybersécurité. Portail CRA : Annexe I
[3]
Annexe I Partie II de la CRA : Exigences de gestion des vulnérabilités. Portail CRA : Gestion des vulnérabilités
[4]
Article 64 de la CRA : Sanctions. Portail CRA : Sanctions