Catégories
La cybersécurité et les cybermenaces sont des sujets plus actuels que jamais. Pour y faire face, l’Union européenne a créé le Cyber Resilience Act (CRA soit Acte sur la Résilience Cyber).
Cette nouvelle loi impose aux fabricants, distributeurs et importateurs de produits numériques de garantir leur sécurité, de la conception jusqu’à la fin de vie du produit.
En clair : si vous fabriquez ou vendez un objet connecté, un logiciel ou même un composant numérique, vous êtes concerné.
Et pour éviter les mauvaises surprises (failles de sécurité ou amendes salées), mieux vaut comprendre ce qui change et quelles sont vos nouvelles responsabilités.
Le CRA ne vise pas que les grandes entreprises ou les géants de la tech. Tout produit avec un élément numérique est concerné, c’est-à-dire :
En résumé, si un pirate peut se connecter ou exploiter votre produit, l’Europe exige qu’il soit sécurisé.
L’objectif est de rendre tous ces produits sûrs dès leur conception, que les utilisateurs soient mieux informés, et que les entreprises soient responsabilisées durant toute la durée du cycle de vie du produit.
Comme mentionné ci-avant, les objectifs sont fondamentaux et clairs. 3 points clés sont à retenir pour vous :
Si une faille est découverte, il faut la corriger vite.
Les fabricants doivent aussi tenir à jour la liste des composants (SBOM) et prévenir les autorités sous 24 h en cas d’incident grave.
Les produits doivent pouvoir recevoir des mises à jour de sécurité pendant cinq ans minimum (ou la durée prévue du produit).
L’idéal ? Que ces correctifs soient automatiques pour limiter les risques et les délais.
La plupart des produits peuvent être auto‑évalués par le fabricant.
Mais les produits jugés critiques (ex. : pour garantir la sécurité industrielle, si vous êtes fabricant de drones de loisir, etc.) doivent passer par une évaluation externe avant leur mise sur le marché.
Ignorer cette loi peut engendrer une amende jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial.
Un produit non conforme pourra être passible de retrait de la vente.
Deux périodes importantes :
Mettre en place des processus prend du temps.
Les PME ont tout intérêt à documenter leurs produits, établir un système de mises à jour, et à expliciter leur sécurité dès maintenant. Plus tôt les ressources et le temps nécessaires à ces actions sont sollicités, plus rapidement sera atteinte la conformité au CRA.
En bonus, c’est un argument marketing à faire valoir : un produit sécurisé rapidement suite à l’annonce de la nouvelle réglementation témoigne du sérieux, de la réactivité et de l’implication de l’entreprise en conformité.
Le Cyber Resilience Act est une opportunité de rendre vos produits plus fiables et de gagner la confiance de vos clients.
Les entreprises qui anticipent auront une longueur d’avance, tandis que les retardataires risquent des sanctions… très coûteuses.
