BRIEFING SÉCURITÉ · 11.07.2026 DEENFRES

Stratégie & Gouvernance

Le Cyber Resilience Act concerne aussi votre parc existant

Par Tobias Massow · 6 juillet 2026 · 8 min de lecture

À partir du 11 septembre 2026, une nouvelle obligation s’applique, que de nombreuses entreprises sous-estiment encore. Les entreprises qui vendent des produits connectés dans l’UE doivent signaler aux autorités les vulnérabilités activement exploitées et les incidents de sécurité graves dans les heures qui suivent. Le Cyber Resilience Act fait de la cybersécurité une obligation produit. Il ne concerne pas seulement les nouveaux appareils, mais aussi les produits déjà présents sur le marché.

L’essentiel en bref

  • La date clé : À partir du 11 septembre 2026, les fabricants doivent signaler les vulnérabilités activement exploitées et les incidents graves. Les autres obligations entrent en vigueur le 11 décembre 2027.
  • Les délais : Alerte précoce dans les 24 heures, signalement complet dans les 72 heures, rapport final au plus tard 14 jours après la disponibilité d’une mesure corrective.
  • Le cœur : La cybersécurité devient une caractéristique du produit avec le marquage CE. Tout produit comportant des éléments numériques mis sur le marché dans l’UE est concerné.

Ce que le Cyber Resilience Act exige

Le Cyber Resilience Act, règlement (UE) 2024/2847, ancre pour la première fois la cybersécurité comme une caractéristique contraignante des produits. Sont concernés tous les produits contenant des éléments numériques et se connectant directement ou indirectement à un appareil ou à un réseau, des systèmes de contrôle industriel aux appareils ménagers intelligents en passant par les logiciels purs. Pour ces produits, des exigences de sécurité fondamentales s’appliqueront à l’avenir sur l’ensemble du cycle de vie.

Concrètement, cela signifie que les fabricants doivent concevoir leurs produits de manière sécurisée, corriger les vulnérabilités connues et fournir des mises à jour de sécurité pendant une période définie. Ils doivent maintenir un processus de gestion des vulnérabilités et démontrer la conformité aux exigences. Ce n’est qu’alors qu’ils pourront apposer le marquage CE, qui jusqu’à présent attestait de la sécurité au sens physique et qui englobe désormais aussi la sécurité numérique.

Le CRA transfère ainsi la responsabilité. Ce n’est plus uniquement l’exploitant qui assume le risque d’un logiciel non sécurisé, mais le fabricant qui met le produit sur le marché. La cybersécurité passe d’un sujet opérationnel en aval à une condition d’accès au marché.

Le 11 septembre 2026

Le calendrier du CRA est échelonné. Le premier délai strict est l’obligation de signalement. À partir du 11 septembre 2026, les fabricants doivent signaler les vulnérabilités activement exploitées et les incidents de sécurité graves qui affectent la sécurité de leurs produits. Les obligations supplémentaires, comme la correction continue des vulnérabilités et la conformité totale, n’entrent en vigueur que le 11 décembre 2027.

11. Sept. 2026

Obligation de signalement des vulnérabilités activement exploitées activée

Cyber Resilience Act (EU 2024/2847)

Le signalement s’effectue via une plateforme centrale, la Single Reporting Platform. Il est adressé au CSIRT national compétent ainsi qu’à l’agence européenne ENISA. Les délais sont stricts. Une première alerte précoce doit être transmise dans les 24 heures, un signalement complet dans les 72 heures. Un rapport final suit au plus tard 14 jours après la mise à disposition d’une mesure corrective, et dans un délai d’un mois en cas d’incidents graves.

Le point décisif est la portée. L’obligation de signalement s’applique également aux produits mis sur le marché avant le 11 décembre 2027. Celui qui a livré il y a des années un appareil connecté encore en service doit signaler à partir de septembre 2026 les vulnérabilités activement exploitées qui le concernent. Le parc existant n’échappe pas à l’obligation.

Qui est concerné

Le cercle des acteurs concernés est plus large que ce que beaucoup anticipent. Sont visés les fabricants de matériel et de logiciels sans distinction, du capteur au composant réseau en passant par l’application. Les importateurs et les distributeurs portent également des obligations lorsqu’ils mettent sur le marché de l’UE ou fournissent des produits comportant des éléments numériques. La seule provenance hors de l’UE ne protège pas dès lors qu’un produit est vendu ici.

Pour de nombreuses entreprises, le CRA devient ainsi un sujet dont elles n’avaient pas encore pris la mesure. Celui qui se considère comme un simple fabricant de logiciels ou d’appareils, et non comme une entreprise classique de cybersécurité, sera néanmoins mis en demeure. La question n’est pas de savoir si un produit est concerné, mais s’il comporte des éléments numériques et s’il est mis sur le marché dans l’UE.

Ce qui relève désormais de la direction

La première étape est un inventaire honnête. Quels produits comportant des éléments numériques l’entreprise met-elle sur le marché, lesquels sont encore déployés sur le terrain, qui en est responsable au sein de l’entreprise ? Sans cette vue d’ensemble, il est impossible de satisfaire à l’obligation de signalement ni de planifier la conformité totale ultérieure.

La deuxième étape est le processus de signalement. D’ici septembre 2026, une procédure doit être opérationnelle permettant de détecter une vulnérabilité exploitée, de l’évaluer et de la signaler en temps voulu via la plateforme. Cela exige des responsabilités clairement définies, un point de contact désigné auprès de l’autorité et la capacité technique de détecter un incident suffisamment tôt. Celui qui commence seulement après la révélation d’un incident à mettre en place le processus rate l’alerte précoce des 24 heures.

La troisième étape est stratégique. Le CRA n’est pas un projet de conformité ponctuel, mais une responsabilité produit permanente avec des obligations de mise à jour jusqu’en 2027 et au-delà. Cela relève de la direction, car cela touche la planification produit, les budgets de développement et les contrats fournisseurs. La cybersécurité fait partie de la stratégie produit, et non d’un appendice de l’IT.

Distinction avec NIS2 et DORA

Le CRA est souvent amalgamé avec NIS2 et DORA, mais il poursuit une approche différente. NIS2 et DORA réglementent les exploitants, c’est-à-dire les organisations qui doivent exploiter et protéger des systèmes informatiques. Le CRA réglemente le produit lui-même et s’adresse au fabricant qui le met sur le marché.

Les trois textes réglementaires s’imbriquent. Un exploitant soumis à NIS2 achète des produits qui relèveront à l’avenir du CRA. La sécurité des produits selon le CRA soutient ainsi la sécurité de la chaîne d’approvisionnement exigée par NIS2 de l’exploitant. Celui qui considère les trois textes séparément méconnaît qu’ils créent ensemble une exigence de sécurité continue du composant jusqu’à l’exploitation.

Questions fréquentes

Chaque question est fermée. Un appui la déverrouille.

À partir de quand l’obligation de signalement du CRA s’applique-t-elle ?

À partir du 11 septembre 2026. À compter de cette date, les fabricants doivent signaler les vulnérabilités activement exploitées et les incidents de sécurité graves. Les autres obligations entrent en vigueur le 11 décembre 2027.

Quels délais s’appliquent à un signalement ?

Une alerte précoce dans les 24 heures, un signalement complet dans les 72 heures et un rapport final au plus tard 14 jours après la disponibilité d’une mesure corrective, dans un délai d’un mois en cas d’incidents graves.

Le CRA s’applique-t-il également aux produits déjà vendus ?

Oui. L’obligation de signalement à partir de septembre 2026 s’applique aussi aux produits mis sur le marché avant le 11 décembre 2027 et qui continuent d’être utilisés. Le parc existant n’échappe pas à l’obligation.

Qui, en plus du fabricant, est soumis aux obligations ?

Les importateurs et les distributeurs portent également des obligations lorsqu’ils mettent sur le marché de l’UE ou fournissent des produits comportant des éléments numériques. Une provenance hors de l’UE n’exonère pas des exigences.

Quelle est la relation entre le CRA et NIS2 ?

Le CRA réglemente le produit et le fabricant, NIS2 l’exploitant. Les deux se complètent : des produits sécurisés conformément au CRA soutiennent la sécurité de la chaîne d’approvisionnement exigée par NIS2 de l’exploitant.

Les choix de la rédaction

À lireQuand un appel stoppe la production automobile

Plus du réseau MBF Media

MyBusinessFutureLa surveillance de l’IA en Allemagne a maintenant une adresse

Pour aller plus loin

Un magazine d'Evernine Media GmbH