Le nouveau règlement Cyber Resilience Act (CRA), adopté le 10 octobre 2024, entrera en vigueur en 2025. Il oblige les entreprises à assurer la cybersécurité de leurs solutions ou produits connectés et à garantir leur durabilité, notamment par des mises à jour logicielles. Les enjeux liés au CRA sont conséquents.
Pour rappel, le CRA s’applique à tous les produits logiciels et matériels qui sont connectés, directement ou indirectement, à un autre appareil ou à un réseau (excepté pour certains produits réglementés, par exemple les appareils médicaux, les produits aéronautiques et les voitures).
Le règlement s’étend ainsi à toutes les entreprises qui réalisent des produits numériques destinés aussi bien au grand public qu’aux secteurs industriels ou de services. Par exemple, les développeurs de logiciels doivent intégrer la sécurité dès l’origine, concevoir leurs produits en fonction des risques et assurer la portabilité des données entre produits ou systèmes.
Les mesures renforcent la sécurité tout au long du cycle de vie du produit et de la chaîne d’approvisionnement. Les entreprises ont la charge de veiller aux évolutions et de respecter les normes de cybersécurité. Elles doivent également signaler, sous un délai de 72 heures, aux autorités compétentes, les vulnérabilités et incidents.
Les entreprises qui délivrent des solutions “standards” sont autorisées à s’auto-évaluer selon les exigences du règlement.
D’autres obligations strictes s’appliquent
Par exemple, les entreprises qui fabriquent un produit comportant des éléments numériques devront fournir l’ensemble des informations techniques dans une documentation. Les produits seront soumis à un marquage CE, sans quoi ils ne seront pas autorisés.
Des études d’évaluation des risques sont obligatoires, ainsi que la mise à disposition d’une configuration de sécurité par défaut, sous la responsabilité des entreprises. Des tests appropriés devront également être réalisés pour évaluer les solutions.
Par ailleurs, le CRA distingue des produits considérés comme “importants” – tels que les gestionnaires de mots de passe, les logiciels contre les logiciels malveillants, les VPN, les systèmes de gestion de réseau, les gestionnaires de démarrage, etc. – qui sont soumis à une évaluation approfondie. Les produits dits “critiques”, tels que les cartes à puce ou les compteurs intelligents, par exemple, devront obtenir un certificat d’assurance d’un niveau au moins “substantiel”.
Traiter et corriger les vulnérabilités
Pendant au moins une durée de 10 ans, les entreprises proposant des produits et services numériques devront traiter et corriger les vulnérabilités et offrir un support dédié. En cas de cessation d’activité, les fabricants doivent alerter les autorités et les utilisateurs.
Enfin, les importateurs et les distributeurs auront la charge de vérifier la conformité des produits avant de les mettre sur le marché de l’UE et d’informer le fabricant de toute vulnérabilité découverte.
Les distributeurs ou les importateurs qui mettent un produit sur le marché sous leur propre nom ou marque seront responsables et soumis aux obligations du fabricant.
De la même manière, toute personne effectuant une modification substantielle d’un produit et mettant ce produit à disposition sur le marché sera soumise aux obligations du fabricant.
Pour rappel, les entreprises non conformes risquent jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial pour les fabricants et jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les distributeurs et les importateurs.
