top of page
certification soc 2 type II

CONFORMITÉ RÉGLEMENTAIRE AU CYBER RESILIENCE ACT (CRA)

Qu'est-ce que le Cyber Résilience Act (CRA) ?

Le Cyber Resilience Act (plus connu sous l’acronyme CRA) est un règlement de l’Union européenne visant à renforcer la sécurité des produits (matériel ou logiciel) comportant des éléments numériques, sur l’ensemble du marché de l’Union européenne.

 

Il permet notamment de compléter d’autre cadres normatifs tels que la directive NIS2 ou le Digital Operational Resilience Act (DORA) en définissant des exigences de cybersécurité communes pour les produits numériques, depuis leur conception jusqu’à leur mise sur le marché, en passant par leur cycle de vie.

 

Contrairement à la directive NIS2, le Cyber Resilience Act n’est pas une directive à transposer, mais un règlement, directement applicable dans tous les États membres de l’UE.

 

Les objectifs de ce règlement sont : 

  • Élever le niveau de cybersécurité des produits numériques vendus à travers l’UE.

  • Garantir la sécurité by design et by default des produits numériques, et ce depuis leur conception.

  • Améliorer la gestion des vulnérabilités et des incidents.

  • Responsabiliser l’ensemble de la chaîne d’approvisionnement numérique, pas seulement les entreprises finales.

Qui est concerné par le Cyber Resilience Act ?

  • Les solutions et logiciels embarqués commercialisées par le fabricant .  

Exemple : caméras de sécurité, montre connectées, voitures connectées, interphones ou éclairage connectées, etc.

 

  • Les solutions clients lourds commercialisées par le fabricant  

Exemple : Logiciels métiers installés localement. 

 

  • Les solutions On-Premise commercialisées par le fabricant. A noter que si une application On-Premise a besoin d'un service cloud distant pour fonctionner, ce service distant est alors intégré dans le champ du CRA. 

Exemple : ERP installé sur les serveurs internes d’un client. 

 

  • Les composants logiciels à intégrer dans un autre système On-Premise. 

Exemple : Bibliothèques, briques logicielles, vendues à un éditeur tiers.

Ainsi, le CRA a pour objectif de responsabiliser les fabricants sur la sécurité dès la conception des PEN (i.e. Produit comportant des Éléments Numériques) qui seront installés ou intégrés dans des systèmes tiers (Infrastructure, IOT, etc.).   

Certains produits ne sont cependant pas concernés, à savoir :

  • Le système informatique global du fabricant. Le CRA vise les produits uniquement. 

Exemple : Le réseau interne de l’entreprise, les serveurs de l’entreprise, intranet. 

 

  • Les solutions développées pour un usage interne et non commercialisées par le fabricant. 

Exemple : ERP interne non commercialisé. 

 

  • Les services ou clouds externes non conçus par le fabricant. 

Exemple : Google Drive, sites web, Salesforce, application tierce non développée par le fabricant…

 

  • Les solutions SaaS (Cloud managé) commercialisées par le fabricant. 

 Exemple : CRM hébergé développé par le fabricant, logiciel en ligne. 

Ainsi, le CRA n'intègre pas dans son périmètre les PEN (i.e. Produits comportant des Éléments Numériques) qui ne sont pas commercialisés ni installés ou intégrés physiquement dans des systèmes tiers. À noter que les solutions SaaS sont couvertes, sous conditions, par la directive NIS2. 

Quelles sont les obligations des entreprises concernées par le Cyber Resilience Act ?

Gouvernance de la sécurité - entreprise :​

  • Suivi des indicateurs de sécurité de l’entreprise 

  • Politiques et procédures de sécurité

  • Gestion des fournisseurs 

  • Continuité d’activité

Gouvernance de la sécurité - produit :

  • Suivi des indicateurs de sécurité produit

  • Développement sécurisé 

  • Analyses de risque du produit et fournisseurs  

  • Gestion des vulnérabilités

Gouvernance de la sécurité - juridique :

  • Analyse d’écarts législatifs (audits)

  • Marquage CE

  • Déclaration UE Conformité 

  • Documentation technique/instructions

En cas de non-conformité, les autorités nationales peuvent imposer des sanctions financières importantes, pouvant aller jusqu’à 15 M€ ou 2,5 % du chiffre d'affaires mondial, selon la gravité des manquements.

 

Le CRA est entré en vigueur le 10 décembre 2024, avec une mise en application progressive.

Pourquoi la conformité au Cyber Resilience Act est-elle importante ?

La conformité des organisations concernées avec ce règlement est essentielle pour plusieurs raisons : 

  • Limiter l’exposition des organisations (publiques et privées), mais également du grand public, aux cybermenaces.

  • Améliorer l’image de marque et la crédibilité des entreprises proposant des produits numériques.

  • Garantir la sécurité des utilisateurs et de leurs données personnelles des citoyens européens, conformément au RGPD.

CyberSecura vous accompagne vers votre conformité au Cyber Resilience Act

Dans le cadre de la mise en oeuvre de votre conformité au Cyber Resilience Act, CyberSecura vous accompagne de A à Z, depuis la création de produits sécurisés by design, jusqu’à l'obtention du marquage CE de vos produits, en passant par la gestion opérationnelle de votre conformité (audits de sécurité, documentation, gestion des risques, mises à jour de vos produits, etc.).

La première étape de cette prestation consistera à réaliser une analyse d'écart pour comprendre l'état actuelle de votre conformité, et les actions prioritaires à mettre en oeuvre.

Saghar Estehghari, consultante experte en cybersécurité.JPG

Toutes nos prestations d'accompagnement à la conformité au Cyber Resilience Act sont accompagnées et supervisées par Saghar Estehghari, co-fondatrice, CTO et consultante experte en cybersécurité.

Vous avez des questions ? Vous souhaitez discuter de votre conformité vis-à-vis du Cyber Resilience Act ? Réservez votre appel offert et échangez avec nos consultants experts en sécurité informatique !

Saghar Estehghari, CTO chez CyberSecura vous en dit plus sur le Cyber Resilience Act !

bottom of page