Cyber Resilience Act : un tournant stratégique pour les fabricants, importateurs et distributeurs de produits numériques

« Concrètement, le règlement européen concerne l’ensemble des produits numériques susceptibles d’interagir avec un réseau informatique, directement ou indirectement. »

L’Union européenne franchit une nouvelle étape dans la régulation des produits numériques en mars 2024 avec l’adoption du Cyber Resilience Act (CRA), une réglementation ambitieuse destinée à protéger les utilisateurs face à la multiplication des cybermenaces. Ce règlement, qui s’appliquera pleinement d’ici 2027, marque un tournant majeur pour certains fabricants, importateurs et distributeurs de produits et/ou de services numériques opérant sur le marché européen.

Vers un cadre européen harmonisé

Si le RGPD, la directive NIS2 et la réglementation DORA ont amorcé une forte dynamique de cybersécurité, le CRA va encore plus loin en imposant des obligations spécifiques aux produits comportant des éléments numériques susceptibles de se connecter logiquement ou physiquement à un réseau ou un autre dispositif numérique.
Ce nouveau règlement vise ainsi à :

• Élever le niveau de cybersécurité pour les produits numériques commercialisés dans l’UE.
• Renforcer la transparence entre fabricants, autorités et utilisateurs.
• Prévenir les cyberattaques qui pourraient affecter les infrastructures critiques.

Il est a noté que le CRA se distingue par la largeur de son champ d’application et la précision des obligations qu’il impose. Concrètement, le règlement européen concerne l’ensemble des produits numériques susceptibles d’interagir avec un réseau informatique, directement ou indirectement. Cette approche englobe non seulement les logiciels et matériels classiques, mais également les composants vendus séparément et les solutions de traitement de données à distance. L’objectif est clair : aucune faille ne doit subsister dans la chaîne de sécurité numérique ! De fait, pour être commercialisé sur le marché européen, chaque produit devra impérativement apposer le marquage CE. Cette certification, bien connue des fabricants pour d’autres réglementations européennes, devient ici le garant du respect des normes de cybersécurité. Ce marquage ne se limite pas à un simple label : il témoigne de la conformité du produit aux exigences strictes du CRA. Les fabricants sont donc confrontés à un cahier des charges rigoureux qui impose :

• La sécurité dès la conception (security by design) et la minimisation des surfaces d’attaque. Il s’agit de s’assurer que la cybersécurité est intégrée dès les premières étapes de développement du produit.
• La protection des données par le biais de techniques avancées, notamment de chiffrement et de mécanismes robustes de contrôle des accès, afin de prévenir toute intrusion non autorisée.
• La résilience face aux attaques : les produits doivent être capables de résister aux cyberattaques et de garantir la continuité de leurs fonctionnalités essentielles, même en cas de tentative d’intrusion.
• La gestion proactive des mises à jour : les fabricants doivent fournir des mises à jour de sécurité gratuites pendant au moins 5 ans, afin de corriger les éventuelles vulnérabilités découvertes après la mise sur le marché.

Cette approche globale place la cybersécurité au cœur de la conception et du cycle de vie des produits numériques. Les fabricants devront non seulement intégrer ces exigences dans leurs processus de développement, mais également mettre en place des systèmes de suivi et de contrôle post-commercialisation pour garantir la pérennité de la sécurité des produits.

La chaine de responsabilité au cœur du dispositif

Le CRA impose aux fabricants une vigilance continue face aux vulnérabilités. Chaque faille identifiée devra être documentée et suivie, corrigée sans délai avec des mises à jour gratuites, et divulguée aux autorités compétentes et aux utilisateurs si elle est exploitée. Pour les produits jugés hautement critiques, toute vulnérabilité exploitée devra être notifiée à l’ENISA (équivalent de l’ANSSI européenne) dans un délai de 24 heures. Les produits numériques seront donc classés selon leur criticité :

• Produits standards : auto-certifiés par les fabricants.
• Produits critiques : soumis à une évaluation par un tiers indépendant.
• Produits hautement critiques : nécessitant une certification via le schéma européen de cybersécurité.

Cette approche différenciée permet d’adapter le niveau de contrôle aux risques spécifiques liés à chaque produit. Et comme Le Cyber Resilience Act vise à garantir que chaque maillon –fabricant, importateur et distributeur – contribue activement à la sécurité des produits numériques tout au long de leur cycle de vie : les responsabilités sont partagées tout au long de la chaîne.

Le fabricant occupe une place centrale dans ce dispositif. Il est en effet le premier responsable de la conception sécurisée du produit et de sa conformité aux exigences du CRA. Cette responsabilité comprend non seulement la mise en œuvre des mesures de sécurité dès la phase de conception, mais également la production d’une documentation technique détaillée prouvant la conformité du produit, ainsi que l’obtention du marquage CE, nécessaire à la commercialisation dans l’Union européenne.

L’importateur joue quant à lui un rôle pivot, lorsqu’un produit numérique est fabriqué en dehors de l’Union européenne. Avant de mettre un produit sur le marché européen, il doit vérifier qu’il est bien conforme aux exigences du CRA, et s’assurer que la documentation technique fournie par le fabricant est complète et accessible. Il doit également mettre en œuvre les moyens nécessaires pour veiller à ce que le produit ne présente aucun risque manifeste pour les utilisateurs ou les infrastructures. L’importateur devient ainsi le premier point de contact pour les autorités européennes en cas de problème lié à un produit importé.

Enfin, le distributeur, souvent en contact direct avec les consommateurs finaux, a également des responsabilités importantes. Il doit en effet vérifier que les produits en vente portent bien le marquage CE, s’assurer que ni l’importateur ni le fabricant n’ont manqué à leurs obligations, et éventuellement retirer du marché tout produit qui pourrait présenter un risque de cybersécurité ou qui ne répond pas aux exigences du CRA. En cas de problème détecté après la mise sur le marché, le distributeur doit informer sans délai les autorités compétentes et coopérer à la mise en œuvre des mesures correctives.

Le règlement prévoit également des cas spécifiques où les responsabilités peuvent évoluer. Ainsi, si un distributeur ou un importateur commercialise un produit sous sa propre marque ou apporte des modifications substantielles qui affectent le niveau cybersécurité global du produit, il peut alors être assimilé au fabricant et assumer l’intégralité des responsabilités !

Des sanctions dissuasives

Cette chaîne de responsabilité incite donc chaque acteur du marché à adopter une démarche proactive en matière de cybersécurité et à veiller au respect strict des normes tout au long du cycle de vie des produits. Les autorités nationales superviseront l’application du CRA avec des autorités notifiantes (déclaratoire), des autorités de surveillance des marchés (contrôle), le tout centralisé à l’échelon européen via l’ENISA (coopération). Ces autorités pourront ainsi adresser des demandes de communication des documentations de conformité pendant 10 ans (et diligenter des contrôles), et prononcer au besoin des sanctions administratives et des ordres de retrait du marché. Les sanctions financières prévues sont à la hauteur des enjeux :

• Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires pour les manquements mineurs.
• Jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial pour les violations graves.

Si les exigences du CRA représentent un défi de taille pour les fabricants, elles visent avant tout à prévenir les risques systémiques liés aux cyberattaques. Pour les entreprises, il s’agit d’anticiper les nouvelles obligations et de revoir leurs processus de production et de gestion des vulnérabilités. Les autorités espèrent ainsi voir émerger un écosystème numérique européen plus mature et résilient face aux menaces croissantes du cyberespace.

En s’imposant comme pionnière dans la régulation de la cybersécurité des produits numériques, l’Europe affirme avec le CRA sa volonté de protéger ses infrastructures et ses citoyens, dans un monde toujours plus interconnecté.