Depuis deux ans, les dirigeants industriels entendent parler de NIS2. Beaucoup ont à peine fini de comprendre ce que cette directive implique pour leur organisation qu’une nouvelle réglementation européenne arrive en fond de tableau — plus discrète, mais potentiellement plus structurante encore pour certains secteurs. Son nom : le Cyber Resilience Act. Son ambition : faire de la cybersécurité une caractéristique intrinsèque des produits connectés, au même titre que la sécurité électrique ou la conformité mécanique.
Si NIS2 régule la façon dont les organisations gèrent leur sécurité numérique, le CRA régule la sécurité des produits eux-mêmes. Ce n’est pas le même sujet. Et pour des milliers d’entreprises françaises qui fabriquent, importent ou distribuent des produits comportant des composants numériques, c’est un changement de paradigme complet.
Un texte né d’un constat d’échec
Le point de départ du CRA est simple et brutal : le marché a échoué à produire des produits connectés sécurisés. Pendant deux décennies, fabricants et éditeurs ont livré des produits truffés de vulnérabilités, sans processus de mise à jour, sans gestion des failles de sécurité post-commercialisation. Les consommateurs et les entreprises achetaient sans pouvoir évaluer le niveau de sécurité réel du produit. Et les attaquants ont su exploiter massivement ces failles — les botnets Mirai, qui ont paralysé une partie de l’internet mondial en 2016 en compromettant des millions de caméras IP et de routeurs domestiques mal sécurisés, en sont l’illustration la plus frappante.
La Commission européenne a tiré la conclusion logique : si le marché ne produit pas spontanément de la sécurité, la réglementation doit l’imposer. Le CRA, adopté en 2024 et dont les obligations principales s’appliqueront à partir de décembre 2027, est la réponse à ce constat.
Ce que couvre le CRA — et ce que vous pensez peut-être à tort être exclu
Le périmètre du CRA est volontairement large. Il couvre tout produit comportant des éléments numériques mis sur le marché européen — ce qui inclut aussi bien les logiciels que le matériel. Concrètement : une caméra de surveillance connectée, un automate industriel avec interface réseau, un routeur d’entreprise, un logiciel vendu en licence perpétuelle, une application embarquée dans un équipement médical, un système de contrôle d’accès connecté, ou encore un simple firmware mis à jour via internet.
Sont explicitement exclus : les produits déjà couverts par des réglementations sectorielles spécifiques intégrant des exigences cyber équivalentes (dispositifs médicaux sous MDR, équipements aéronautiques sous EASA, véhicules sous le règlement UN R155). Mais cette liste d’exclusions est plus courte que beaucoup de dirigeants ne l’espèrent.
Le texte établit deux catégories de produits selon leur niveau de criticité. Les produits standard — la grande majorité — peuvent faire l’objet d’une auto-évaluation de conformité par le fabricant. Les produits critiques, répartis en deux classes (dont les logiciels de gestion d’identité, les hyperviseurs, les pare-feu industriels, ou les microprocesseurs), sont soumis à une évaluation par un organisme tiers notifié — un processus plus long et plus coûteux.
La révolution « security by design »
Le cœur du CRA tient en une exigence : la sécurité doit être intégrée dès la conception du produit, et non ajoutée en surface après coup. C’est ce que les ingénieurs appellent le « security by design » — une philosophie qui bouleverse les processus de développement de nombreuses entreprises habituées à traiter la sécurité comme une couche supplémentaire optionnelle.
Concrètement, le CRA impose aux fabricants de livrer leurs produits sans vulnérabilités connues exploitables au moment de la mise sur le marché — une exigence qui implique des tests de sécurité systématiques avant commercialisation. Il impose une configuration sécurisée par défaut : fini les mots de passe usine universels, les ports ouverts non nécessaires, les services activés par défaut sans raison fonctionnelle. Il impose la minimisation de la surface d’attaque : un produit ne doit exposer que les fonctions strictement nécessaires à son usage.
Cinq ans de responsabilité après la vente
C’est sans doute la disposition la plus structurante économiquement : le fabricant est responsable de la sécurité de son produit pendant toute sa durée de vie supportée, et au minimum pendant cinq ans après sa mise sur le marché. Cette obligation inclut la surveillance active des vulnérabilités, le développement et la distribution de correctifs de sécurité, et la notification aux autorités compétentes de tout incident ou vulnérabilité activement exploitée dans les 24 heures suivant sa découverte.
Pour un fabricant de machines industrielles connectées qui vendait jusqu’ici son équipement avec deux ans de garantie et aucun processus de patch management, le changement est radical. Il faut désormais constituer ou sous-traiter une capacité de veille sur les vulnérabilités, un processus de développement et de distribution de mises à jour, et une équipe capable de répondre à des incidents sur des produits vendus cinq ans plus tôt.
Ce que ça signifie pour votre modèle économique
Trois types d’entreprises doivent s’interroger immédiatement.
Les fabricants de produits connectés — équipementiers industriels, fabricants d’IoT, éditeurs de logiciels embarqués — doivent auditer leur portefeuille produit, identifier les produits dans le périmètre CRA, et évaluer le coût de mise en conformité de leurs processus de développement et de support.
Les importateurs de produits connectés — qui introduisent sur le marché européen des équipements fabriqués hors UE — héritent d’une responsabilité nouvelle : s’assurer que les produits qu’ils importent sont conformes. Ce qui transforme radicalement les relations contractuelles avec les fournisseurs asiatiques, et pourrait remettre en question certains modèles de sourcing.
Les donneurs d’ordre qui intègrent des produits connectés dans leurs propres équipements ou systèmes doivent anticiper que leurs fournisseurs répercuteront le coût de la conformité CRA dans leurs prix — et que les produits non conformes disparaîtront progressivement du marché européen.
Décembre 2027, c’est dans moins de trente mois. Dans l’industrie, c’est le temps d’un cycle de développement produit. Ceux qui attendent 2026 pour s’y mettre seront en retard.