Retour à la page d'accueil, logo Oodrive
Fermer le menu de navigation
Demander une démo
Demander une démo
oodrive-blog.svg

Veuillez entrer au moins trois caractères pour la recherche

Productivité

Cyber Resilience Act : que contient le règlement européen relatif à la sécurité des produits numériques ?

Mis à jour le 17 décembre 2024
5min
Maxime Geffray
Sommaire
    Partager l’article sur :
    Lien copié dans le presse-papiers

    Les produits numériques, qui désignent les services accessibles sous forme électronique,  font désormais partie intégrante des processus de travail des organisations et de la vie quotidienne des citoyens. Cependant ces produits numériques présentent un inconvénient majeur : ils ne sont pas sécurisés « par défaut ». Leurs vulnérabilités peuvent donc être exploitées par des acteurs malveillants. Assurer la sécurité de ces produits devient une nécessité stratégique afin d’assurer la résilience du tissu numérique européen.

    C’est pour répondre à ces impératifs de sécurité que l’Union européenne a souhaité renforcer le niveau de sécurité des produits comportant des éléments numériques, à travers un règlement dédié : le Cyber Resilience Act (CRA). Cette réglementation (que certains appellent « loi sur la cyber-résilience ») s’apprête à introduire un changement radical dans la sécurité des produits numériques. Ce texte introduit des obligations s’appliquant aux fabricants, importateurs et distributeurs, afin de sécuriser l’ensemble de la chaîne d’approvisionnement des produits numériques.

    Cyber Resilience Act : qu’est-ce que c’est?

    Le Cyber Resilience Act est un règlement européen – Règlement (UE) 2024/2847 – officiellement adopté le 23 octobre 2024. Son ambition est de changer la donne en matière de cybersécurité des produits comportant des éléments numériques en Europe. Il impose des exigences de sécurité à certaines catégories de produits embarquant des éléments numériques commercialisés en Europe.

    La plupart des produits numériques logiciels et matériels ne sont couverts par aucune législation européenne relative à leur cybersécurité et sont porteurs de vulnérabilités. Face à ce constat, ce règlement européen souhaite créer les conditions nécessaires au développement de produits sécurisés dès leur conception. Il vise également à obliger les fabricants à prendre à cœur la sécurité tout au long du cycle de vie des produits.

    À qui s’applique le règlement européen sur la cyber-résilience ?

    Ce règlement européen s’applique à tout « produit comportant des éléments numériques », c’est-à-dire à tout « produit logiciel ou matériel », ainsi qu’à « ses solutions de traitement de données à distance, y compris les composants logiciels ou matériels mis sur le marché séparément ».

    La loi européenne sur la cybersécurité (Cybersecurity Act), entrée en vigueur en 2019, portait déjà des exigences en matière de sécurisation des produits numériques.

    SecNumCloud : label de confiance

    Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.

    Découvrir

    Sont concernés par le règlement européen sur la cyber-résilience les produits se connectant directement ou indirectement à un autre appareil ou à un réseau, comme les caméras, montres et réfrigérateurs intelligents. Les logiciels libres et ouverts sont inclus dans le champ d’application.

    En revanche, certains produits numériques sont explicitement exclus du Cyber Resilience Act :

    • Les logiciels SaaS, fournis uniquement en tant que service (par exemple : un système de réservation en ligne)
    • Les dispositifs médicaux,
    • Les véhicules terrestres et aériens,
    • Les produits numériques considérés comme relevant du pouvoir régalien des États membres (défense, sécurité nationale, renseignement).

    Cette loi européenne s’applique à différentes catégories d’acteurs de l’écosystème numérique :

    • Les fabricants, qui produisent ou font produire les produits numériques sous leur nom ou marque.
    • Les importateurs qui mettent sur le marché de l’Union européenne des produits fabriqués hors UE, dont ils doivent vérifier la conformité avant mise sur le marché.
    • Les distributeurs qui rendent disponibles les produits numériques sur le marché sans en affecter les propriétés. Le Cyber Resilience Act leur impose de vérifier la conformité des produits qu’ils commercialisent au sein du marché européen et le respect des obligations par les fabricants/importateurs.

    Les distributeurs ou importateurs qui commercialisent sous leur propre nom/marque, ou qui modifient substantiellement un produit, sont soumis aux mêmes obligations que les fabricants.

    Quelles sont les exigences et les obligations contenues dans le CRA ?

    Le Cyber Resilience Act impose aux fabricants d’inclure dans leurs produits :

    • Une configuration de sécurité par défaut,
    • Un système de mises à jour pour corriger les vulnérabilités,
    • Une protection contre les accès non autorisés via authentification à deux facteurs,
    • Un système de protection de la confidentialité des données stockées.

    Les fabricants doivent également établir une déclaration UE de conformité, fournir les informations d’identification du produit (numéro de lot ou série), leurs coordonnées et la date de fin de période d’assistance.

    Ils doivent apposer un marquage CE et un pictogramme indiquant le niveau de risque cyber. Les vulnérabilités doivent être notifiées au CSIRT et à l’ENISA. Les fabricants doivent assurer les corrections pendant une période d’assistance minimale de 5 ans.

    Les importateurs doivent vérifier la conformité avant la mise sur le marché, s’assurer que les fabricants ont mis en place des processus de gestion des vulnérabilités suffisants, et obtenir les documents justifiant la conformité.

    Les distributeurs vérifient le marquage CE et s’assurent que fabricant et importateur ont respecté leurs obligations. En cas de non-conformité, importateur et distributeur doivent informer le fabricant et les autorités de surveillance du marché.

    Quelles sont les sanctions prévues en cas de non-respect des obligations ?

    Les sanctions prévues en cas de non-conformité peuvent atteindre :

    • 15 millions d’euros ou 2,5 % du chiffre d’affaires total annuel précédent pour les fabricants,
    • 10 millions d’euros ou 2 % du chiffre d’affaires pour les importateurs et distributeurs.

    La fourniture d’informations inexactes aux organismes d’évaluation et autorités de surveillance est sanctionnée jusqu’à 5 millions d’euros ou 1 % du chiffre d’affaires. Les produits non conformes ou présentant un risque peuvent faire l’objet de restrictions allant jusqu’au retrait du marché.

    Quel est le calendrier d’application du Cyber Resilience Act ?

    Le Cyber Resilience Act a été publié au JOUE (Journal officiel de l’Union européenne) le 20 novembre 2024. Hormis quelques obligations, qui font l’objet d’exceptions, les acteurs concernés disposent d’un délai de 3 ans après l’entrée en vigueur du Cyber Resilience Act pour s’y conformer (fin 2027).

    Cyber Resilience Act : les points clés

    • Le Cyber Resilience Act est un règlement européen imposant des exigences de sécurité aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques.
    • Ce texte renforce la réglementation sur la cybersécurité en Europe et représente une avancée majeure pour la sécurité des produits numériques sur le continent.
    • Le délai de mise en conformité des acteurs concernés est de 3 ans après l’entrée en vigueur, soit fin 2027.
    Image de Maxime Geffray
    Maxime Geffray
    Responsable communication Oodrive
    Partager l’article sur :
    Lien copié dans le presse-papiers
    Articles en relation
    Logo OODRIVE
    Visitez notre chaîne YouTube
    Suivez-nous sur X
    Suivez-nous sur LinkedIn
    Produits
    Tarif et Essais gratuits
    La signature électronique
    La collaboration sécurisée
    La gestion de réunion de gouvernance
    Références par secteur d’activité
    Notre écosystème de partenaires
    À propos
    Ressources

    © Oodrive 2024 - Tous droits réservés

    Visitez notre chaîne YouTube
    Suivez-nous sur X
    Suivez-nous sur LinkedIn
    PAR SECTEUR
    PAR EQUIPE
    Solutions
    INFRASTRUCTURE
    SERVICES