Il y a un modèle économique qui a fait la fortune de nombreux fabricants d’objets connectés ces quinze dernières années. On l’appelle dans l’industrie le « shipped and forgotten » : on conçoit vite, on fabrique à bas coût, on vend, on passe au produit suivant. La sécurité ? Un problème de l’utilisateur. Les mises à jour ? Optionnelles, et facturées si elles existent. Les vulnérabilités découvertes après la vente ? Ignorées, ou corrigées seulement si la pression médiatique devient insupportable.
Ce modèle a inondé le marché européen de produits connectés non sécurisés, transformé des millions de caméras, de routeurs et d’automates en vecteurs d’attaque potentiels, et rendu service à une industrie cybercriminelle en pleine expansion. Le Cyber Resilience Act y met fin. Et pour les industriels européens qui ont les moyens de jouer le jeu, c’est une opportunité historique.
Le coût de la conformité : une réalité à ne pas minorer
Soyons honnêtes d’emblée : la mise en conformité CRA a un coût. Le nier serait disservir les dirigeants qui doivent construire leur business case.
Pour un fabricant de produits connectés standard, les principaux postes de dépense sont au nombre de quatre. La refonte des processus de développement pour intégrer le security by design représente l’investissement le plus lourd — entre 15 et 30 % de surcoût sur les cycles de développement selon les estimations du secteur, selon la maturité cyber de l’équipe en place. La constitution d’une capacité de gestion des vulnérabilités — veille, qualification, développement de correctifs, distribution — suppose soit un recrutement dédié, soit un contrat de service avec un prestataire spécialisé : comptez entre 50 000 et 150 000 euros par an pour une PMI. La documentation technique requise par le CRA (évaluation des risques, déclaration de conformité, instructions d’utilisation sécurisée) représente un travail initial significatif. Et pour les produits classés critiques, l’audit par organisme tiers ajoute un coût unitaire non négligeable, pouvant atteindre plusieurs dizaines de milliers d’euros par produit.
Pour une PMI industrielle de 150 personnes avec une gamme de cinq à dix produits connectés, la mise en conformité initiale est estimée entre 300 000 et 800 000 euros sur deux ans, avec un surcoût récurrent de 100 000 à 200 000 euros par an pour le maintien en condition de sécurité. Des chiffres sérieux — mais qui doivent être mis en regard de ce que la non-conformité coûtera.
L’autre face du calcul : ce que le CRA rapporte
Le marché des produits connectés non sécurisés ne disparaîtra pas du jour au lendemain. Mais il va se recomposer profondément, et cette recomposition favorise les acteurs qui anticipent.
Premier levier : le marquage CE cyber comme argument commercial. Aujourd’hui, un acheteur professionnel — responsable des achats d’un groupe industriel, DSI d’une collectivité, responsable technique d’un hôpital — n’a aucun moyen simple d’évaluer le niveau de sécurité d’un produit connecté. Le CRA crée un signal clair et vérifiable : le marquage CE étendu aux exigences cyber. À horizon 2028, les donneurs d’ordre publics et privés feront de ce marquage un critère d’éligibilité dans leurs appels d’offres — exactement comme ils l’ont fait avec les certifications qualité ISO 9001 ou environnementales ISO 14001. Être conforme avant les concurrents, c’est être référençable plus tôt.
Deuxième levier : l’éviction progressive des produits non conformes. Les autorités de surveillance des marchés européennes — la DGCCRF en France — auront le pouvoir de retirer du marché tout produit ne respectant pas le CRA. Les fabricants asiatiques qui dominent le bas de marché de l’IoT, des caméras de surveillance et des équipements réseau d’entrée de gamme devront soit investir massivement dans leur conformité, soit perdre l’accès au marché européen. Ceux qui ne s’y plieront pas libèrent mécaniquement des parts de marché pour les acteurs conformes — en priorité les industriels européens, mieux placés pour absorber et démontrer cette conformité.
Troisième levier : la revalorisation tarifaire. Le CRA offre aux fabricants européens une justification économique légitime pour revaloriser leurs prix face à des concurrents low-cost. « Notre produit intègre cinq ans de support sécurité, des mises à jour garanties, une gestion des vulnérabilités documentée » — c’est un argument de vente concret auprès d’acheteurs professionnels qui ont appris à leurs dépens ce que coûte un incident sur un produit non sécurisé.
Construire le business case pour convaincre son COMEX
La difficulté pour un dirigeant de PMI industrielle est de transformer ces perspectives en décision d’investissement concrète. Voici la structure d’un business case efficace en trois temps.
Le risque de l’inaction d’abord. Non-conformité au CRA à partir de décembre 2027 : impossibilité légale de vendre sur le marché européen, sanctions jusqu’à 15 millions d’euros, et responsabilité personnelle du dirigeant en cas de mise sur le marché délibérée de produits non conformes. À cela s’ajoute le risque réputationnel d’un incident de sécurité sur un produit vendu sans les précautions requises.
L’opportunité commerciale chiffrée ensuite. Identifier deux ou trois segments de clientèle — marchés publics, grands comptes industriels, secteur santé — où la conformité CRA deviendra un critère d’achat. Estimer le chiffre d’affaires potentiel accessible grâce à cette conformité, et le chiffre d’affaires menacé par son absence.
Le plan phasé enfin. Cartographie du portefeuille produit au regard du CRA (trois mois), audit des écarts de conformité (trois mois), plan de remédiation priorisé sur dix-huit mois. La plupart des PMI industrielles sérieuses peuvent atteindre un niveau de conformité solide d’ici décembre 2027 si elles s’y mettent en 2025.
La fenêtre se referme
Le CRA entre en application dans moins de trente mois. Dans l’industrie manufacturière, c’est à peine le temps d’un cycle de développement produit. Les entreprises qui engagent leur démarche en 2025 auront le temps de le faire correctement — par étapes, avec méthode, en transformant la contrainte en différenciation. Celles qui attendent 2026 courront après le calendrier. Celles qui attendent 2027 seront hors marché.
L’histoire de la réglementation européenne le montre systématiquement : chaque grande directive crée deux catégories d’acteurs. Ceux qui subissent. Ceux qui en font un avantage. Le RGPD a produit des entreprises qui en ont fait un argument de confiance client. NIS2 est en train de produire des acteurs cyber-résilients différenciés sur leurs marchés. Le CRA va produire des fabricants dont les produits seront, par construction, plus fiables, plus durables et plus sûrs que leurs concurrents.
Ce n’est pas une contrainte réglementaire. C’est la définition du prochain standard industriel européen.