Cyber Resilience Act (CRA) : ce qui change pour la sécurité électronique
Le Cyber Resilience Act (CRA) s'impose progressivement à tous les fabricants, distributeurs et intégrateurs de produits connectés vendus dans l'Union européenne. Caméras IP, centrales d'alarme, contrôleurs d'accès, enregistreurs : la quasi-totalité des équipements de sécurité électronique entre dans son périmètre. Voici l'essentiel à retenir, et ce que ce règlement change concrètement pour la filière.
En bref
- Règlement européen (UE) 2024/2847, entré en vigueur le 10 décembre 2024.
- Obligations principales applicables à partir du 11 décembre 2027.
- Dès le 11 septembre 2026 : signalement obligatoire des vulnérabilités activement exploitées et des incidents graves.
- Concerne tout produit connecté : caméras, centrales d'alarme, contrôleurs d'accès, enregistreurs.
- Sanctions jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial pour les fabricants en infraction.
Le CRA pour les pressés
Le Cyber Resilience Act est le règlement européen (UE) 2024/2847, adopté le 23 octobre 2024 et publié au Journal officiel de l'Union européenne le 20 novembre 2024. Il est entré en vigueur le 10 décembre 2024, mais son application est progressive : les obligations principales ne s'imposeront pleinement qu'à partir du 11 décembre 2027, à l'issue d'une période de transition de trois ans.
Une échéance intermédiaire mérite une attention immédiate : dès le 11 septembre 2026, les fabricants devront notifier toute vulnérabilité activement exploitée ou tout incident grave affectant leurs produits, via la plateforme unique de signalement (Single Reporting Platform) gérée par l'ENISA. En France, cette notification est transmise au CERT-FR, le CSIRT coordinateur rattaché à l'ANSSI.
Le règlement s'applique à tout « produit comportant des éléments numériques » : un produit logiciel ou matériel, ainsi que ses solutions de traitement de données à distance, dès lors qu'il se connecte directement ou indirectement à un appareil ou à un réseau.
Il exige, entre autres :
- Une sécurité pensée dès la conception et par défaut, avec l'interdiction des configurations à risque comme les mots de passe génériques de type « admin/admin ».
- Une obligation de mises à jour de sécurité pendant toute la période de support du produit, avec une durée de référence de cinq ans.
- Une gestion documentée des vulnérabilités, assortie de délais de correction et d'un point de contact dédié.
- Un marquage CE qui, à compter de 2027, attestera aussi de la conformité cybersécurité du produit, et non plus seulement de sa sécurité électrique ou mécanique.
Certains produits échappent au CRA parce qu'ils relèvent déjà d'une réglementation sectorielle dédiée : dispositifs médicaux, aviation civile, automobile, ou encore produits relevant de la défense et de la sécurité nationale.
Les sanctions, elles, sont dissuasives : jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial pour les fabricants en infraction, et jusqu'à 10 millions d'euros ou 2 % pour les distributeurs et importateurs.
Le CRA ne remplace pas la directive NIS2, il la complète : NIS2 encadre la cybersécurité des organisations et de leurs services essentiels, tandis que le CRA encadre directement les produits qu'elles achètent et déploient. Les deux textes se renforcent mutuellement, notamment pour les secteurs qui seront soumis à NIS2 comme la logistique, la santé ou les infrastructures critiques. Le texte complet du règlement est consultable sur EUR-Lex, et l'ANSSI en propose une FAQ de référence sur cyber.gouv.fr.
Les impacts du CRA sur les activités de sécurité électronique
Pour les métiers de la sécurité électronique, le CRA change la donne à trois niveaux : le choix des équipements, la relation avec les fabricants, et l'argumentaire commercial face aux donneurs d'ordre.
Un nouveau critère de sélection des équipements
Caméras de vidéosurveillance, centrales d'intrusion, contrôleurs d'accès et enregistreurs sont, par nature, des produits comportant des éléments numériques au sens du CRA. Les intégrateurs et installateurs qui prescrivent ces équipements devront, à terme, vérifier que leurs fournisseurs disposent d'une politique de gestion des vulnérabilités active et d'un engagement clair sur la durée de support des firmwares. Ce critère s'ajoute à ceux déjà connus du secteur : conformité APSAD, certification NF&A2P, ou respect du RGPD sur le traitement des images.
Une responsabilité qui remonte la chaîne de la sûreté
Le règlement distingue fabricants, importateurs et distributeurs, mais précise qu'un acteur qui commercialise un produit sous sa propre marque, ou qui le modifie substantiellement, endosse les mêmes obligations qu'un fabricant. Les intégrateurs qui reconditionnent, personnalisent ou distribuent des solutions sous leur propre nom doivent donc évaluer précisément leur statut au regard du CRA, plutôt que de considérer par défaut que seul le fabricant d'origine est concerné.
Un levier de réassurance pour les clients finaux
Les directions sûreté, en particulier dans les secteurs qui seront soumis à NIS2 (logistique, industrie, grande distribution, tertiaire sensible), vont progressivement exiger de leurs prestataires la preuve que les équipements installés répondent aux exigences du CRA. Anticiper cette demande, en documentant le niveau de conformité cyber du matériel proposé, devient un argument différenciant plutôt qu'une contrainte supplémentaire à subir en 2027.
« La filière sécurité électronique connaît bien la logique de sécurité par la preuve, c'est tout l'esprit des règles APSAD. Le CRA applique ce même principe à la brique numérique des équipements, ce n'est donc pas une rupture pour nous, mais un prolongement naturel. » - Stéphane MICHEAU, dirigeant ISO Sécurité et administrateur du GPMSE
La filière sécurité électronique a, de longue date, l'habitude d'intégrer des référentiels exigeants : les règles APSAD @Cyber en constituent l'exemple le plus connu. Le CRA s'inscrit dans cette même logique de sécurité par la preuve, appliquée cette fois à la brique numérique des équipements plutôt qu'à leur seule performance de détection.
Questions fréquentes
Le CRA s'applique-t-il aux caméras de vidéosurveillance ? Oui. Une caméra IP est un produit comportant des éléments numériques au sens du Cyber Resilience Act dès lors qu'elle se connecte à un réseau. Elle entre donc pleinement dans le périmètre du règlement.
Depuis quand le CRA est-il en vigueur ? Le règlement est entré en vigueur le 10 décembre 2024. Les obligations de signalement des vulnérabilités s'appliquent dès le 11 septembre 2026, et les obligations principales à partir du 11 décembre 2027.
Quelles sont les sanctions en cas de non-conformité ? Jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial pour les fabricants, et jusqu'à 10 millions d'euros ou 2 % pour les distributeurs et importateurs.
Un intégrateur qui revend des équipements sous sa propre marque est-il concerné comme un fabricant ? Oui. Le CRA précise qu'un acteur qui commercialise un produit sous sa propre marque, ou qui le modifie substantiellement, endosse les mêmes obligations qu'un fabricant.
ISO Sécurité accompagne ses clients dans le choix d'équipements de sécurité électronique conformes aux exigences réglementaires en vigueur et à venir.
Contactez-nous, pour évoquer vos besoins.