{"id":20950,"date":"2026-07-06T14:00:00","date_gmt":"2026-07-06T14:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/?p=20950"},"modified":"2026-07-09T16:07:24","modified_gmt":"2026-07-09T16:07:24","slug":"le-cyber-resilience-act-affecte-egalement-votre-stock","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/07\/06\/le-cyber-resilience-act-affecte-egalement-votre-stock\/","title":{"rendered":"Le Cyber Resilience Act concerne aussi votre parc existant"},"content":{"rendered":"<p><strong>\u00c0 partir du 11 septembre 2026, une nouvelle obligation s&rsquo;applique, que de nombreuses entreprises sous-estiment encore. Les entreprises qui vendent des produits connect\u00e9s dans l&rsquo;UE doivent signaler aux autorit\u00e9s les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es et les incidents de s\u00e9curit\u00e9 graves dans les heures qui suivent. Le Cyber Resilience Act fait de la cybers\u00e9curit\u00e9 une obligation produit. Il ne concerne pas seulement les nouveaux appareils, mais aussi les produits d\u00e9j\u00e0 pr\u00e9sents sur le march\u00e9.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">L&rsquo;essentiel en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">La date cl\u00e9 :<\/strong> \u00c0 partir du 11 septembre 2026, les fabricants doivent signaler les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es et les incidents graves. Les autres obligations entrent en vigueur le 11 d\u00e9cembre 2027.<\/li>\n<li style=\"margin-bottom:10px;\"><strong style=\"color:#69d8ed;\">Les d\u00e9lais :<\/strong> Alerte pr\u00e9coce dans les 24 heures, signalement complet dans les 72 heures, rapport final au plus tard 14 jours apr\u00e8s la disponibilit\u00e9 d&rsquo;une mesure corrective.<\/li>\n<li style=\"margin-bottom:0;\"><strong style=\"color:#69d8ed;\">Le c\u0153ur :<\/strong> La cybers\u00e9curit\u00e9 devient une caract\u00e9ristique du produit avec le marquage CE. Tout produit comportant des \u00e9l\u00e9ments num\u00e9riques mis sur le march\u00e9 dans l&rsquo;UE est concern\u00e9.<\/li>\n<\/ul>\n<\/div>\n<h2>Ce que le Cyber Resilience Act exige<\/h2>\n<p>Le Cyber Resilience Act, r\u00e8glement (UE) 2024\/2847, ancre pour la premi\u00e8re fois la cybers\u00e9curit\u00e9 comme une caract\u00e9ristique contraignante des produits. Sont concern\u00e9s tous les produits contenant des \u00e9l\u00e9ments num\u00e9riques et se connectant directement ou indirectement \u00e0 un appareil ou \u00e0 un r\u00e9seau, des syst\u00e8mes de contr\u00f4le industriel aux appareils m\u00e9nagers intelligents en passant par les logiciels purs. Pour ces produits, des exigences de s\u00e9curit\u00e9 fondamentales s&rsquo;appliqueront \u00e0 l&rsquo;avenir sur l&rsquo;ensemble du cycle de vie.<\/p>\n<p>Concr\u00e8tement, cela signifie que les fabricants doivent concevoir leurs produits de mani\u00e8re s\u00e9curis\u00e9e, corriger les vuln\u00e9rabilit\u00e9s connues et fournir des mises \u00e0 jour de s\u00e9curit\u00e9 pendant une p\u00e9riode d\u00e9finie. Ils doivent maintenir un processus de gestion des vuln\u00e9rabilit\u00e9s et d\u00e9montrer la conformit\u00e9 aux exigences. Ce n&rsquo;est qu&rsquo;alors qu&rsquo;ils pourront apposer le marquage CE, qui jusqu&rsquo;\u00e0 pr\u00e9sent attestait de la s\u00e9curit\u00e9 au sens physique et qui englobe d\u00e9sormais aussi la s\u00e9curit\u00e9 num\u00e9rique.<\/p>\n<p>Le CRA transf\u00e8re ainsi la responsabilit\u00e9. Ce n&rsquo;est plus uniquement l&rsquo;exploitant qui assume le risque d&rsquo;un logiciel non s\u00e9curis\u00e9, mais le fabricant qui met le produit sur le march\u00e9. La cybers\u00e9curit\u00e9 passe d&rsquo;un sujet op\u00e9rationnel en aval \u00e0 une condition d&rsquo;acc\u00e8s au march\u00e9.<\/p>\n<h2>Le 11 septembre 2026<\/h2>\n<p>Le calendrier du CRA est \u00e9chelonn\u00e9. Le premier d\u00e9lai strict est l&rsquo;obligation de signalement. \u00c0 partir du 11 septembre 2026, les fabricants doivent signaler les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es et les incidents de s\u00e9curit\u00e9 graves qui affectent la s\u00e9curit\u00e9 de leurs produits. Les obligations suppl\u00e9mentaires, comme la correction continue des vuln\u00e9rabilit\u00e9s et la conformit\u00e9 totale, n&rsquo;entrent en vigueur que le 11 d\u00e9cembre 2027.<\/p>\n<div data-element=\"key_number\" style=\"background:#003340;border:1px solid rgba(105,216,237,0.28);border-radius:10px;padding:28px 24px;margin:32px 0;text-align:center;\">\n<div style=\"font-size:1.6em;font-weight:800;color:#69d8ed;line-height:1.05;word-break:keep-all;\">11. Sept. 2026<\/div>\n<p style=\"margin:10px 0 0;font-size:0.92em;color:#e6e3da;\">Obligation de signalement des vuln\u00e9rabilit\u00e9s activement exploit\u00e9es activ\u00e9e<\/p>\n<p style=\"margin:6px 0 0;font-size:0.78em;color:#8fa3ab;\">Cyber Resilience Act (EU 2024\/2847)<\/p>\n<\/div>\n<p>Le signalement s&rsquo;effectue via une plateforme centrale, la Single Reporting Platform. Il est adress\u00e9 au CSIRT national comp\u00e9tent ainsi qu&rsquo;\u00e0 l&rsquo;agence europ\u00e9enne ENISA. Les d\u00e9lais sont stricts. Une premi\u00e8re alerte pr\u00e9coce doit \u00eatre transmise dans les 24 heures, un signalement complet dans les 72 heures. Un rapport final suit au plus tard 14 jours apr\u00e8s la mise \u00e0 disposition d&rsquo;une mesure corrective, et dans un d\u00e9lai d&rsquo;un mois en cas d&rsquo;incidents graves.<\/p>\n<p>Le point d\u00e9cisif est la port\u00e9e. L&rsquo;obligation de signalement s&rsquo;applique \u00e9galement aux produits mis sur le march\u00e9 avant le 11 d\u00e9cembre 2027. Celui qui a livr\u00e9 il y a des ann\u00e9es un appareil connect\u00e9 encore en service doit signaler \u00e0 partir de septembre 2026 les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es qui le concernent. Le parc existant n&rsquo;\u00e9chappe pas \u00e0 l&rsquo;obligation.<\/p>\n<h2>Qui est concern\u00e9<\/h2>\n<p>Le cercle des acteurs concern\u00e9s est plus large que ce que beaucoup anticipent. Sont vis\u00e9s les fabricants de mat\u00e9riel et de logiciels sans distinction, du capteur au composant r\u00e9seau en passant par l&rsquo;application. Les importateurs et les distributeurs portent \u00e9galement des obligations lorsqu&rsquo;ils mettent sur le march\u00e9 de l&rsquo;UE ou fournissent des produits comportant des \u00e9l\u00e9ments num\u00e9riques. La seule provenance hors de l&rsquo;UE ne prot\u00e8ge pas d\u00e8s lors qu&rsquo;un produit est vendu ici.<\/p>\n<p>Pour de nombreuses entreprises, le CRA devient ainsi un sujet dont elles n&rsquo;avaient pas encore pris la mesure. Celui qui se consid\u00e8re comme un simple fabricant de logiciels ou d&rsquo;appareils, et non comme une entreprise classique de cybers\u00e9curit\u00e9, sera n\u00e9anmoins mis en demeure. La question n&rsquo;est pas de savoir si un produit est concern\u00e9, mais s&rsquo;il comporte des \u00e9l\u00e9ments num\u00e9riques et s&rsquo;il est mis sur le march\u00e9 dans l&rsquo;UE.<\/p>\n<h2>Ce qui rel\u00e8ve d\u00e9sormais de la direction<\/h2>\n<p>La premi\u00e8re \u00e9tape est un inventaire honn\u00eate. Quels produits comportant des \u00e9l\u00e9ments num\u00e9riques l&rsquo;entreprise met-elle sur le march\u00e9, lesquels sont encore d\u00e9ploy\u00e9s sur le terrain, qui en est responsable au sein de l&rsquo;entreprise ? Sans cette vue d&rsquo;ensemble, il est impossible de satisfaire \u00e0 l&rsquo;obligation de signalement ni de planifier la conformit\u00e9 totale ult\u00e9rieure.<\/p>\n<p>La deuxi\u00e8me \u00e9tape est le processus de signalement. D&rsquo;ici septembre 2026, une proc\u00e9dure doit \u00eatre op\u00e9rationnelle permettant de d\u00e9tecter une vuln\u00e9rabilit\u00e9 exploit\u00e9e, de l&rsquo;\u00e9valuer et de la signaler en temps voulu via la plateforme. Cela exige des responsabilit\u00e9s clairement d\u00e9finies, un point de contact d\u00e9sign\u00e9 aupr\u00e8s de l&rsquo;autorit\u00e9 et la capacit\u00e9 technique de d\u00e9tecter un incident suffisamment t\u00f4t. Celui qui commence seulement apr\u00e8s la r\u00e9v\u00e9lation d&rsquo;un incident \u00e0 mettre en place le processus rate l&rsquo;alerte pr\u00e9coce des 24 heures.<\/p>\n<p>La troisi\u00e8me \u00e9tape est strat\u00e9gique. Le CRA n&rsquo;est pas un projet de conformit\u00e9 ponctuel, mais une responsabilit\u00e9 produit permanente avec des obligations de mise \u00e0 jour jusqu&rsquo;en 2027 et au-del\u00e0. Cela rel\u00e8ve de la direction, car cela touche la planification produit, les budgets de d\u00e9veloppement et les contrats fournisseurs. La cybers\u00e9curit\u00e9 fait partie de la strat\u00e9gie produit, et non d&rsquo;un appendice de l&rsquo;IT.<\/p>\n<h2>Distinction avec NIS2 et DORA<\/h2>\n<p>Le CRA est souvent amalgam\u00e9 avec NIS2 et DORA, mais il poursuit une approche diff\u00e9rente. NIS2 et DORA r\u00e9glementent les exploitants, c&rsquo;est-\u00e0-dire les organisations qui doivent exploiter et prot\u00e9ger des syst\u00e8mes informatiques. Le CRA r\u00e9glemente le produit lui-m\u00eame et s&rsquo;adresse au fabricant qui le met sur le march\u00e9.<\/p>\n<p>Les trois textes r\u00e9glementaires s&rsquo;imbriquent. Un exploitant soumis \u00e0 NIS2 ach\u00e8te des produits qui rel\u00e8veront \u00e0 l&rsquo;avenir du CRA. La s\u00e9curit\u00e9 des produits selon le CRA soutient ainsi la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement exig\u00e9e par NIS2 de l&rsquo;exploitant. Celui qui consid\u00e8re les trois textes s\u00e9par\u00e9ment m\u00e9conna\u00eet qu&rsquo;ils cr\u00e9ent ensemble une exigence de s\u00e9curit\u00e9 continue du composant jusqu&rsquo;\u00e0 l&rsquo;exploitation.<\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Questions fr\u00e9quentes<\/h2>\n<p class=\"st-faq-hint\">Chaque question est ferm\u00e9e. Un appui la d\u00e9verrouille.<\/p>\n<details>\n<summary><strong>\u00c0 partir de quand l&rsquo;obligation de signalement du CRA s&rsquo;applique-t-elle ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">\u00c0 partir du 11 septembre 2026. \u00c0 compter de cette date, les fabricants doivent signaler les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es et les incidents de s\u00e9curit\u00e9 graves. Les autres obligations entrent en vigueur le 11 d\u00e9cembre 2027.<\/p>\n<\/details>\n<details>\n<summary><strong>Quels d\u00e9lais s&rsquo;appliquent \u00e0 un signalement ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Une alerte pr\u00e9coce dans les 24 heures, un signalement complet dans les 72 heures et un rapport final au plus tard 14 jours apr\u00e8s la disponibilit\u00e9 d&rsquo;une mesure corrective, dans un d\u00e9lai d&rsquo;un mois en cas d&rsquo;incidents graves.<\/p>\n<\/details>\n<details>\n<summary><strong>Le CRA s&rsquo;applique-t-il \u00e9galement aux produits d\u00e9j\u00e0 vendus ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Oui. L&rsquo;obligation de signalement \u00e0 partir de septembre 2026 s&rsquo;applique aussi aux produits mis sur le march\u00e9 avant le 11 d\u00e9cembre 2027 et qui continuent d&rsquo;\u00eatre utilis\u00e9s. Le parc existant n&rsquo;\u00e9chappe pas \u00e0 l&rsquo;obligation.<\/p>\n<\/details>\n<details>\n<summary><strong>Qui, en plus du fabricant, est soumis aux obligations ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Les importateurs et les distributeurs portent \u00e9galement des obligations lorsqu&rsquo;ils mettent sur le march\u00e9 de l&rsquo;UE ou fournissent des produits comportant des \u00e9l\u00e9ments num\u00e9riques. Une provenance hors de l&rsquo;UE n&rsquo;exon\u00e8re pas des exigences.<\/p>\n<\/details>\n<details>\n<summary><strong>Quelle est la relation entre le CRA et NIS2 ?<\/strong><\/summary>\n<p style=\"margin:8px 0 4px 24px;color:#555;line-height:1.6;\">Le CRA r\u00e9glemente le produit et le fabricant, NIS2 l&rsquo;exploitant. Les deux se compl\u00e8tent : des produits s\u00e9curis\u00e9s conform\u00e9ment au CRA soutiennent la s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement exig\u00e9e par NIS2 de l&rsquo;exploitant.<\/p>\n<\/details>\n<p>\n<!--ST-LOWER-CARDS lang=fr--><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Les choix de la r\u00e9daction<\/h3>\n<p><a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/07\/07\/lorsquun-appel-durgence-stoppe-la-production-automobile\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/cover-hero-1-250x143.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#69d8ed;margin-bottom:5px;\">\u00c0 lire<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">Quand un appel stoppe la production automobile<\/span><\/span><\/a><\/p>\n<h3 style=\"margin:48px 0 18px;padding-left:12px;font-size:1.05em;font-weight:800;color:#e6e3da;border-left:3px solid #69d8ed;line-height:1.2;\">Plus du r\u00e9seau MBF Media<\/h3>\n<p><a href=\"https:\/\/mybusinessfuture.com\/fr\/la-surveillance-de-lia-en-allemagne-a-maintenant-une-adresse\/\" style=\"display:flex;align-items:center;gap:14px;padding:12px 14px;margin:0 0 10px;background:#23261f;border:1px solid rgba(105,216,237,0.18);border-radius:12px;box-shadow:inset 0 1px 0 rgba(230,227,218,0.06),0 6px 18px rgba(0,0,0,0.22);text-decoration:none;color:#e6e3da;box-sizing:border-box;width:100%;\"><span style=\"flex:0 0 116px;aspect-ratio:16\/9;overflow:hidden;border-radius:8px;background:#111210;border:1px solid rgba(230,227,218,0.08);display:block;\"><img decoding=\"async\" src=\"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/net-die-ki-aufsicht-in-deutschland-hat-jetzt-91048899-250x141.jpg\" alt=\"\" loading=\"lazy\" width=\"116\" height=\"65\" style=\"width:100%;height:100%;object-fit:cover;display:block;\"><\/span><span style=\"display:block;min-width:0;\"><span style=\"display:block;font-size:0.68em;font-weight:700;letter-spacing:0.1em;text-transform:uppercase;color:#aa8ac2;margin-bottom:5px;\">MyBusinessFuture<\/span><span style=\"display:block;font-size:1.0em;font-weight:650;line-height:1.35;color:#e6e3da;overflow-wrap:anywhere;\">La surveillance de l\u2019IA en Allemagne a maintenant une adresse<\/span><\/span><\/a><!--\/ST-LOWER-CARDS--><\/p>\n","protected":false},"excerpt":{"rendered":"\u00c0 partir du 11 septembre 2026, une nouvelle obligation s&rsquo;applique, que de nombreuses entreprises sous-estiment encore. Les entreprises qui vendent des produits connect\u00e9s dans l&rsquo;UE doivent signaler aux autorit\u00e9s les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es et les incidents de s\u00e9curit\u00e9 graves dans les heures qui suivent. Le Cyber Resilience Act fait de la cybers\u00e9curit\u00e9 une obligation produit. [&hellip;]","protected":false},"author":55,"featured_media":20765,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"keeping it to 1-4 words. Let me start by understanding the original term. \"Cyber Resilience Act\" is a specific term, probably referring to a legislative act related to","_yoast_wpseo_title":"Le Cyber Resilience Act affecte \u00e9galement votre stock","_yoast_wpseo_metadesc":"Le Cyber Resilience Act rend la cybers\u00e9curit\u00e9 obligatoire pour les produits. \u00c0 partir du 11 septembre 2026, l'obligation de d\u00e9claration s'appliquera, y\u2026","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/cover-hero-2.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/07\/cover-hero-2.jpg","_yoast_wpseo_twitter-image-id":0,"evm_cvss":0,"evm_risk":0,"evm_casefile":"","evm_primary_cve":"","_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[258],"tags":[],"class_list":["post-20950","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-strategie-governance"],"evm_reading_time_minutes":8,"wpml_language":"fr","wpml_translation_of":20764,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20950","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=20950"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20950\/revisions"}],"predecessor-version":[{"id":20991,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/20950\/revisions\/20991"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/20765"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=20950"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=20950"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=20950"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}