Conformité au règlement européen sur la cyber-résilience (CRA) pour les éditeurs de produits
Si vous vendez du logiciel, du matériel ou des appareils connectés dans l'UE, le règlement sur la cyber-résilience s'applique à vous. Amendes jusqu'à 15 M€. ComplyOne cartographie vos obligations CRA et suit votre conformité — que vous fabriquiez des applications, des appareils IoT ou des logiciels d'entreprise.
Ce que le CRA exige des éditeurs de produits
Le CRA introduit des exigences obligatoires de cybersécurité tout au long du cycle de vie du produit — de la conception au support en fin de vie.
Sécurité dès la conception
Les produits doivent être conçus et développés avec la cybersécurité intégrée — et non ajoutée après coup. Cela inclut des paramètres par défaut sécurisés, une surface d'attaque minimale et la protection des données en transit et au repos.
Gestion des vulnérabilités
Vous devez disposer d'un processus documenté de traitement des vulnérabilités — y compris une politique de divulgation coordonnée et un engagement à fournir des mises à jour de sécurité pendant toute la durée de support du produit.
Notification des incidents
Les vulnérabilités activement exploitées et les incidents graves doivent être signalés à l'ENISA dans les 24 heures (alerte précoce) et 72 heures (notification complète) — délais aussi serrés que NIS2.
Software Bill of Materials (SBOM)
Vous devez maintenir un inventaire lisible par machine de tous les composants logiciels — y compris les dépendances open source — afin que les vulnérabilités dans les bibliothèques tierces puissent être rapidement identifiées et traitées.
Évaluation de conformité
Les produits importants et critiques (Classe I et Classe II) exigent des évaluations de conformité formelles par des tiers avant la mise sur le marché. Les produits standard peuvent s'auto-évaluer.
Marquage CE
Les produits conformes porteront un nouveau marquage CE cybersécurité. Les produits sans certification CRA valide ne pourront plus être vendus dans l'UE après décembre 2027.
Quels produits sont concernés
Produits standard
Applications grand public, logiciels standard, accessoires connectés
Requis : Auto-évaluation
Classe I (Important)
Gestion d'identité, navigateurs, gestionnaires de mots de passe, VPN, SIEM, équipements réseau, automatisation industrielle
Requis : Évaluation par un tiers ou norme harmonisée
Classe II (Critique)
Systèmes d'exploitation, hyperviseurs, systèmes de contrôle industriel, systèmes critiques de sécurité, compteurs intelligents
Requis : Certification obligatoire par un tiers
Vous ne savez pas dans quelle classe votre produit se situe ? Lancer un test de conformité gratuit.
Dates clés
Décembre 2024
Entrée en vigueur du CRA
Septembre 2026
Obligations de signalement des vulnérabilités et incidents
Juin 2027
Obligations des organismes notifiés
Décembre 2027
Exigences CRA complètes — tous les produits doivent être conformes
Sanctions
15 M€
ou 2,5 % du chiffre d'affaires mondial
Violation des exigences essentielles de cybersécurité.
10 M€
ou 2 % du chiffre d'affaires mondial
Autres violations — y compris les défauts de signalement et les déclarations incorrectes.
Comment aborder la conformité CRA : premières étapes
Les éditeurs de produits ont jusqu'en décembre 2027 pour la conformité complète — mais les obligations de signalement des vulnérabilités commencent en septembre 2026. Commencez dès maintenant.
Classer votre produit
Déterminez si votre produit est un produit standard (auto-évaluation), Classe I Important (évaluation par un tiers ou norme harmonisée) ou Classe II Critique (certification obligatoire). La classification détermine votre voie d'évaluation de conformité et vos obligations documentaires — une erreur signifie recommencer le processus.
Réaliser une évaluation des risques de sécurité
Identifiez toutes les surfaces d'attaque potentielles, vulnérabilités et scénarios d'usage abusif réalistes pour votre produit. Cette évaluation des risques est la base de votre dossier technique CRA — elle doit être documentée et mise à jour lors de modifications de conception significatives.
Mettre en œuvre la sécurité dès la conception
Assurez-vous que votre produit est livré avec des paramètres par défaut sécurisés, une surface d'attaque minimale et la protection des données en transit et au repos. Désactivez par défaut les fonctionnalités et protocoles non sécurisés. Chaque contrôle de sécurité doit être documenté et mappé aux exigences essentielles pertinentes en Annexe I du règlement.
Mettre en place la gestion des vulnérabilités
Établissez un processus formel pour recevoir, évaluer et traiter les rapports de vulnérabilités — y compris une politique de divulgation coordonnée publiée. Engagez-vous à fournir des mises à jour de sécurité pendant la durée de support du produit et documentez clairement cette période de support dans les documents du produit.
Construire votre SBOM et votre documentation technique
Créez une Software Bill of Materials (SBOM) listant tous les composants tiers et open source avec leurs numéros de version. Assemblez votre dossier technique : documentation de conception sécurité, évaluation des risques, résultats de tests et déclaration de conformité UE. Toute la documentation doit être conservée 10 ans après la mise sur le marché.
Votre produit est-il prêt pour le CRA ?
Test gratuit en 5 minutes. Couvre CRA, NIS2, RGPD et toute autre réglementation applicable à votre produit et organisation.
Démarrer le test CRA gratuitFAQ CRA
Qu'est-ce que le règlement européen sur la cyber-résilience ?
Le règlement sur la cyber-résilience (CRA) est un règlement européen qui établit des exigences obligatoires de cybersécurité pour les produits comportant des éléments numériques — y compris le matériel et les logiciels vendus dans l'UE. Il couvre tout, des appareils intelligents et équipements industriels aux applications grand public et logiciels d'entreprise. Il est entré en vigueur en décembre 2024, avec la plupart des obligations à partir de décembre 2027.
Le CRA s'applique-t-il à mon produit ?
Si votre produit a des composants numériques — logiciel, connectivité ou traitement de données — et est vendu ou utilisé dans l'UE, le CRA s'applique probablement. Cela inclut les produits SaaS, applications mobiles, appareils IoT, systèmes de contrôle industriel, équipements réseau et plus. Distinction clé : si votre produit est important ou critique — ces produits font l'objet d'exigences d'évaluation de conformité plus strictes.
Quand le CRA entre-t-il en vigueur ?
Le CRA est entré en vigueur le 10 décembre 2024. Les exigences complètes s'appliquent à partir du 11 décembre 2027, avec les obligations de signalement des vulnérabilités et incidents plus tôt — à partir du 11 septembre 2026.
Quelles sont les sanctions en cas de non-conformité CRA ?
Amendes jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial pour les violations les plus graves (non-respect des exigences essentielles). Jusqu'à 10 millions d'euros ou 2 % pour les autres violations. Les entreprises non-UE qui vendent dans l'UE sont également soumises à ces amendes.
Comment le CRA recoupe-t-il NIS2 ?
Ils sont complémentaires. NIS2 cible les organisations et leurs pratiques de cybersécurité. Le CRA cible les produits — la sécurité intégrée aux choses que vous vendez. Si vous fabriquez du logiciel ou du matériel vendu dans l'UE, le CRA s'applique à vos produits. Si vous exploitez une infrastructure critique, NIS2 s'applique à votre organisation. Beaucoup d'entreprises sont concernées par les deux.
Nous sommes une entreprise SaaS. Le CRA s'applique-t-il à nous ?
Potentiellement oui. Le CRA couvre les logiciels avec traitement de données à distance — ce qui inclut de nombreux produits SaaS. Toutefois, le SaaS B2B pur vendu sous contrats de service (et non comme un produit) peut être traité différemment. Le test de conformité gratuit de ComplyOne évaluera si votre modèle de produit spécifique déclenche des obligations CRA.
Qu'est-ce qu'une Software Bill of Materials (SBOM) et pourquoi le CRA l'exige-t-il ?
Une SBOM est un inventaire lisible par machine de tous les composants logiciels de votre produit — y compris les bibliothèques open source, dépendances et modules tiers avec numéros de version. Le CRA exige les SBOM car les vulnérabilités dans des composants open source courants (comme l'incident Log4j) affectent simultanément des milliers de produits. Avec une SBOM, vous pouvez immédiatement identifier si votre produit est affecté quand une nouvelle vulnérabilité est divulguée et réagir avant qu'une exploitation à grande échelle ne se produise.
Le CRA s'applique-t-il aux logiciels open source ?
Les logiciels libres et open source fournis sans intention commerciale sont largement exemptés des obligations CRA. Cependant, si vous commercialisez un logiciel open source — en le vendant, en fournissant du support payant ou en l'intégrant dans un produit commercial — les obligations CRA s'appliquent à vous en tant que fabricant. Le règlement inclut des dispositions spécifiques qui répondent aux préoccupations de la communauté open source largement soulevées lors de son élaboration.
Domaines de conformité connexes