Cyber Resilience Act : ce que vous devez faire avant le 11 septembre 2026

Publié le juillet 3, 2026

Vous concevez, fabriquez ou commercialisez un produit connecté ou un logiciel vendu en Europe ? Alors le Cyber Resilience Act (CRA) vous concerne, et sa première échéance contraignante tombe le 11 septembre 2026. Le problème, c’est que ce règlement est aujourd’hui surtout commenté par des avocats et des cabinets de conseil en cybersécurité. Difficile d’y trouver une réponse simple à la question que se pose un dirigeant ou un responsable produit : concrètement, qu’est-ce que je dois faire, et pour quand ?

Chez Playmoweb, nous développons depuis plus de 12 ans des applications mobiles, web et des produits IoT pour des industriels du médical, de l’agriculture ou de la maison connectée. La conformité réglementaire fait partie de nos projets au même titre que le code : nous avons déjà décrypté le Data Act pour les acteurs de l’IoT, voici le même exercice pour le CRA, avec les échéances, les obligations et une feuille de route pragmatique.

Sommaire

  1. Le CRA en bref : la cybersécurité entre dans le marquage CE
  2. Êtes-vous concerné ?
  3. Le calendrier : trois échéances à retenir
  4. Ce qui devient obligatoire le 11 septembre 2026
  5. Ce qu’il faudra prouver d’ici décembre 2027
  6. Les pièges qui coûtent cher
  7. Comment vous préparer : la feuille de route
  8. En résumé : votre check-list CRA

Le CRA en bref : la cybersécurité entre dans le marquage CE

Adopté fin 2024, le Cyber Resilience Act est le premier règlement européen qui impose des exigences de cybersécurité aux produits eux-mêmes, et non aux organisations. C’est la grande différence avec NIS2 : NIS2 dit aux entreprises comment se protéger, le CRA dit aux fabricants comment concevoir des produits sécurisés.

Le principe est simple à retenir : à partir du 11 décembre 2027, un produit numérique ne pourra plus être commercialisé dans l’Union européenne sans être conforme au CRA. La cybersécurité devient une composante du marquage CE, au même titre que la sécurité électrique. En cas de non-conformité, les sanctions peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial.

Êtes-vous concerné ?

Le CRA s’applique aux « produits comportant des éléments numériques » : tout matériel ou logiciel susceptible d’être connecté, directement ou indirectement, à un appareil ou à un réseau. Dans la pratique, cela couvre un spectre très large :

  • les objets connectés et produits IoT (capteurs, passerelles, équipements industriels, domotique)
  • les logiciels embarqués et firmwares
  • les applications et logiciels distribués aux utilisateurs, y compris les composants open source intégrés à un produit commercial
  • les solutions de traitement de données à distance associées au produit

Le SaaS pur, fourni entièrement dans le cloud, est exclu du champ d’application. Mais attention : dès qu’il existe un composant téléchargeable ou installé côté client, le produit entre dans le périmètre. Une plateforme cloud accompagnée d’une application mobile est donc concernée pour sa partie applicative.

Le règlement distingue ensuite des catégories de criticité. La grande majorité des produits relève de la catégorie par défaut, avec une auto-évaluation documentée. Les « produits importants » (classe I et II : systèmes d’exploitation, routeurs, gestionnaires de mots de passe, domotique, jouets connectés…) devront passer par un organisme d’évaluation notifié.

Enfin, le CRA ne vise pas que les fabricants : les importateurs et distributeurs de produits numériques ont aussi des obligations de vérification. Si vous faites fabriquer en marque blanche ou si vous revendez du matériel connecté, vous êtes dans la boucle.

Le calendrier : trois échéances à retenir

ÉchéanceCe qui s’appliqueQui est concerné
11 juin 2026Mise en place des organismes d’évaluation de la conformitéLes États membres et organismes certificateurs
11 septembre 2026Obligation de notifier les vulnérabilités activement exploitées et les incidents gravesTous les fabricants, y compris pour les produits déjà sur le marché
11 décembre 2027Application complète : exigences de conception, documentation, marquage CEFabricants, importateurs, distributeurs

La nuance qui change tout : les produits mis sur le marché avant décembre 2027 ne sont pas rétroactivement soumis aux exigences de conception, sauf modification substantielle ultérieure. En revanche, l’obligation de notification de septembre 2026 s’applique bien à votre parc existant. C’est cette échéance qui arrive dans quelques semaines.

Ce qui devient obligatoire le 11 septembre 2026

À partir de cette date, tout fabricant doit signaler deux types d’événements :

  • une vulnérabilité activement exploitée affectant un de ses produits comportant des éléments numériques
  • un incident grave ayant une incidence sur la sécurité du produit

Le signalement s’effectue via la plateforme unique européenne (Single Reporting Platform) opérée par l’ENISA, qui transmet automatiquement l’information au CSIRT national. En France, c’est le CERT-FR de l’ANSSI qui coordonne.

Les délais sont stricts : une alerte précoce sous 24 heures après la prise de connaissance, puis une notification détaillée sous 72 heures. Autant dire que ce n’est pas le genre de processus qu’on improvise le jour J. Pour tenir ces délais, il faut savoir détecter la vulnérabilité (veille, monitoring, canal de signalement), qualifier sa criticité et déclencher la notification. Si personne dans votre organisation n’est aujourd’hui responsable de ce processus, c’est le premier chantier à ouvrir.

Ce qu’il faudra prouver d’ici décembre 2027

Pour les produits mis sur le marché à partir du 11 décembre 2027, ou substantiellement modifiés après cette date, le CRA impose des exigences tout au long du cycle de vie :

ExigenceCe que ça implique concrètement
Sécurité dès la conception (security by design)Analyse de risques documentée, choix d’architecture justifiés, configuration sécurisée par défaut
Nomenclature logicielle (SBOM)Inventaire lisible par machine de tous les composants du produit, y compris les librairies open source et leurs versions
Gestion des vulnérabilitésProcessus de veille, canal de signalement public, politique de divulgation coordonnée
Mises à jour de sécuritéCapacité à déployer des correctifs (OTA pour l’IoT) pendant toute la période de support annoncée
Documentation techniqueDossier de conformité : évaluation des risques, résultats de tests, SBOM, procédures

Pour un produit IoT, la capacité de mise à jour à distance (OTA) devient de fait un prérequis réglementaire. Un objet connecté qu’on ne peut pas patcher après déploiement ne sera plus défendable, ni commercialement, ni juridiquement.

Les pièges qui coûtent cher

En échangeant avec des fabricants et des porteurs de projets connectés, nous voyons revenir les mêmes angles morts :

  • Croire que le parc existant est exempté. C’est vrai pour les exigences de conception, faux pour les notifications : dès septembre 2026, une faille activement exploitée sur un produit vendu en 2023 doit être signalée sous 24 heures.
  • Sous-estimer le chantier SBOM. Un firmware ou une application moderne embarque des dizaines de dépendances open source. Reconstituer l’inventaire a posteriori prend beaucoup plus de temps que de le maintenir au fil du développement.
  • Attendre pour solliciter un organisme notifié. Si votre produit relève des classes I ou II, les organismes d’évaluation sont désignés progressivement depuis juin 2026 et leur capacité sera limitée. Les retardataires risquent un goulot d’étranglement qui bloque l’accès au marché en 2027.
  • Confondre NIS2 et CRA. Être conforme NIS2 en tant qu’organisation ne rend pas vos produits conformes au CRA. Les deux règlements sont complémentaires, pas interchangeables.
  • Oublier l’application compagnon. Sur un produit connecté, l’app mobile et le backend font partie du périmètre de sécurité du produit. Un capteur irréprochable avec une app truffée de failles reste un produit non conforme.
  • Traiter le sujet comme un projet purement juridique. La conformité CRA se joue d’abord dans l’ingénierie : architecture, processus de développement, outillage. Le juridique documente, la technique démontre.

Comment vous préparer : la feuille de route

Voici la démarche que nous recommandons, dans l’ordre :

  1. Cartographiez vos produits. Listez tout ce qui comporte des éléments numériques : produits vendus, firmwares, applications, composants. Identifiez votre rôle sur chacun (fabricant, importateur, distributeur).
  2. Classez-les. Catégorie par défaut, classe I ou classe II : c’est ce classement qui détermine le mode d’évaluation de conformité et l’urgence.
  3. Montez le processus de notification avant septembre. Désignez un responsable, définissez le circuit de détection et de qualification, préparez les modèles de déclaration pour la plateforme ENISA. C’est l’action prioritaire de l’été 2026.
  4. Auditez techniquement vos produits phares. Un audit technique permet d’identifier les écarts : dépendances obsolètes, absence de mise à jour OTA, configuration par défaut faible, SBOM inexistant.
  5. Intégrez le CRA dans vos développements en cours. Pour tout projet IoT ou applicatif qui sortira après 2027, il coûte beaucoup moins cher d’intégrer les exigences dès la conception que de mettre à niveau un produit fini.
  6. Budgétez la période de support. Le CRA vous engage à maintenir la sécurité du produit dans la durée. Cette charge récurrente doit entrer dans votre modèle économique dès maintenant.

En résumé : votre check-list CRA

  1. Mes produits comportent-ils des éléments numériques vendus dans l’UE ?
  2. Suis-je fabricant, importateur ou distributeur pour chacun d’eux ?
  3. Ai-je un processus capable de notifier une vulnérabilité exploitée sous 24 heures à partir du 11 septembre 2026 ?
  4. Ai-je un SBOM à jour pour chaque produit ?
  5. Mes produits peuvent-ils recevoir des mises à jour de sécurité à distance ?
  6. Mes nouveaux développements intègrent-ils les exigences du CRA dès la conception ?

Si vous répondez non à l’une de ces questions, la fenêtre pour agir sereinement se referme : deux mois avant les obligations de notification, dix-huit mois avant l’application complète.

Vous développez ou faites évoluer un produit connecté ? Parlons de votre conformité CRA lors d’un échange gratuit et sans engagement. 👉 Contactez-nous

Go to top of page