Le Cyber Resilience Act (CRA) marque une rupture profonde dans la manière dont l'Union européenne appréhende la cybersécurité. Contrairement à NIS2 ou DORA, qui s'intéressent aux organisations, aux opérateurs et à leur gouvernance, le CRA s'attaque directement à l'objet technique : le produit numérique.
Ce déplacement du regard est loin d'être anodin. Il transforme la cybersécurité d'un sujet de bonnes pratiques organisationnelles en une exigence structurelle de conception, mesurable, traçable et opposable.
Avec le CRA, la question n'est plus de savoir si une entreprise "fait de la cybersécurité", mais si le produit qu'elle met sur le marché européen peut être considéré comme suffisamment robuste pour y être vendu. Le message est clair : un produit non sécurisé devient un produit non conforme, et donc un produit non commercialisable dans l'Union européenne.
Cette logique change profondément les rapports de force entre fabricants, distributeurs, importateurs, acheteurs et autorités. Elle impose aussi un changement culturel majeur, en particulier pour les éditeurs de logiciels et les fabricants de solutions numériques qui ont longtemps traité la sécurité comme une couche additionnelle, souvent tardive, parfois cosmétique.
Le CRA ne régule pas des entreprises, il régule l'accès au marché
L'un des malentendus les plus fréquents autour du CRA consiste à le présenter comme une réglementation "cyber" de plus, venant s'ajouter à un empilement déjà complexe de textes européens. En réalité, le CRA ne cherche pas à encadrer le comportement des entreprises, mais à conditionner l'accès au marché européen.
Ce changement de paradigme est fondamental. Le CRA ne s'intéresse pas à la taille de l'entreprise, à son secteur ou à son modèle économique. Il s'applique dès lors qu'un produit comportant des éléments numériques est mis à disposition sur le marché de l'UE, que ce soit par vente, abonnement, téléchargement ou mise à disposition gratuite dans un cadre commercial. Le modèle de distribution est indifférent ; seule compte la mise sur le marché.
Cette approche produit-centrée explique pourquoi le CRA couvre aussi bien des matériels que des logiciels, des composants vendus séparément que des solutions intégrées, et même certaines solutions de traitement distant indispensables au fonctionnement d'un produit.
À l'inverse, un produit non mis sur le marché, ou déjà couvert par une réglementation européenne spécifique, sort du périmètre. Le CRA trace ainsi une frontière nette : le marché européen devient un espace régulé par la robustesse cyber des produits qui y circulent.
La rupture majeure : la cybersécurité devient une exigence de conception
Le cœur du CRA réside dans l'introduction explicite du principe de security-by-design. Ce principe n'est pas nouveau en soi, mais il n'avait jusqu'ici qu'une valeur incitative ou doctrinale. Avec le CRA, il devient une condition d'accès au marché.
Concrètement, le CRA n'impose pas de solutions techniques précises. Il n'impose ni architecture, ni technologie, ni standard unique. Il impose en revanche une obligation de résultat : démontrer que la cybersécurité a été intégrée dès la conception et tout au long du cycle de vie du produit, selon une approche pilotée par le risque.
Cela implique que les choix de conception, de développement et d'architecture doivent être justifiés au regard d'une analyse de risques cybersécurité, et non simplement documentés a posteriori. La sécurité cesse d'être une activité de conformité pour devenir un critère structurant de décision produit.
Cette exigence se prolonge bien au-delà de la mise sur le marché. Le CRA impose une logique de lifecycle security : gestion des vulnérabilités, support annoncé, correctifs, communication avec les utilisateurs, traitement des failles découvertes après commercialisation. Le produit ne cesse jamais d'être sous responsabilité du fabricant tant qu'il est supporté.
Le fabricant au centre : une responsabilité qui ne se délègue pas
Le CRA place le fabricant au cœur du dispositif. Il en fait le responsable principal de la conformité, qu'il s'agisse de la conception, de la documentation, du support ou du reporting. Cette responsabilité ne disparaît pas en cas de distribution indirecte, de marketplace ou de chaîne de valeur complexe.
Avant la mise sur le marché, le fabricant doit :
- •Réaliser une analyse de risques cybersécurité
- •Concevoir le produit pour répondre aux exigences essentielles
- •Sécuriser sa supply chain logicielle et matérielle
- •Produire une documentation technique démontrant la conformité
- •Émettre une déclaration UE de conformité et apposer le marquage CE
Après la mise sur le marché, la responsabilité se poursuit. Le fabricant doit assurer le support annoncé, maintenir des capacités de traitement des vulnérabilités, disposer d'une politique de gestion des vulnérabilités et déclarer certains événements. Le CRA introduit ainsi une continuité de responsabilité qui rompt avec la logique du "produit livré, responsabilité terminée".
Une chaîne de responsabilité élargie, mais hiérarchisée
Si le fabricant est central, il n'est pas seul. Le CRA reconnaît explicitement le rôle des autres acteurs de la chaîne. Importateurs, distributeurs, mandataires et même certains acteurs de l'open source deviennent des points de contrôle du marché.
L'importateur vérifie la conformité des produits qu'il met sur le marché européen et coopère avec les autorités. Le distributeur doit s'assurer que le produit porte le marquage CE, que les informations essentielles sont disponibles et qu'il peut retirer ou bloquer un produit non conforme.
Cette approche transforme la chaîne de distribution en un réseau de responsabilité partagée, où chaque acteur devient un maillon de la surveillance du marché. Le CRA ne crée pas une dilution de responsabilité, mais une capillarité du contrôle, avec le fabricant comme point d'ancrage.
Auto-évaluation ou tiers : une frontière réglementaire, pas marketing
Le CRA introduit une distinction claire entre produits dits "standards" et produits présentant une criticité cyber plus élevée. Cette distinction n'est pas déclarative. Elle est définie par le règlement lui-même et conditionne le régime de conformité applicable.
Dans certains cas, la conformité peut reposer sur une auto-évaluation du fabricant. Dans d'autres, une évaluation par un tiers notifié devient obligatoire. Cette frontière est structurante, car elle introduit un changement de charge, de coûts et de délais, mais aussi de responsabilité.
Le CRA crée ainsi une ligne de séparation nette entre produits numériques ordinaires et produits à forte criticité cyber. Cette distinction transforme la cybersécurité en facteur de compétitivité produit. Un produit plus critique est plus contraint, plus surveillé et plus exposé. Le choix d'architecture, de fonctionnalités ou de positionnement marché devient indissociable du régime réglementaire applicable.
Le reporting : une logique produit-centrée assumée
L'un des apports les plus structurants du CRA concerne le reporting. Contrairement à DORA ou NIS2, le CRA adopte une approche produit-centrée, et non opérateur-centrée. Le reporting repose sur la connaissance du fabricant, pas sur la visibilité publique de l'incident.
Les déclencheurs sont clairs : vulnérabilité activement exploitée connue du fabricant, ou incident sévère impactant la sécurité du produit. Les notifications s'effectuent vers les CSIRT compétents et l'ENISA, via une plateforme de reporting dédiée. Le CRA introduit des délais différenciés, avec des mécanismes d'alerte précoce, une notification principale sous 72 heures, puis un rapport final selon la gravité de l'événement.
Point souvent sous-estimé : ces obligations s'appliquent également à des produits déjà sur le marché à la date d'entrée en application des obligations de reporting. Le CRA ne fige pas la conformité dans le temps ; il l'inscrit dans une dynamique continue.
Surveillance de marché : la cybersécurité devient contrôlable
Le CRA s'appuie sur des autorités de surveillance de marché, dans une logique produit. Coopération inter-États, mécanismes coordonnés, contrôles ciblés : la cybersécurité sort du registre déclaratif pour entrer dans celui du contrôlable.
Cette évolution est majeure. Elle signifie que la conformité cyber d'un produit peut être vérifiée, contestée, remise en cause. Le marquage CE cesse d'être un symbole abstrait pour devenir un signal de qualité cyber, exposé à la vérification.
Ce que le CRA change concrètement sur le terrain
Pour les éditeurs et fabricants
Le CRA impose un changement profond. Il ne suffit plus de "faire de la sécurité". Il faut être capable de prouver la conformité, de maintenir le produit dans le temps, et de déclarer ce qui doit l'être. La cybersécurité devient une discipline produit, au même titre que la performance ou la fiabilité.
Pour les acheteurs et les entreprises utilisatrices
Le CRA fournit de nouveaux leviers de lecture. Le marquage CE, les informations utilisateurs et les engagements de support deviennent des indicateurs de qualité cyber. Le CRA pousse aussi à contractualiser davantage : durée de support, correctifs, transparence sur les vulnérabilités.
Ce que le CRA ne fait pas, volontairement
Le CRA ne certifie pas qu'un produit est "sûr". Il n'élimine pas les vulnérabilités. Il ne remplace pas les audits clients ni les analyses de risques propres aux contextes d'usage. Il ne promet pas l'absence d'incident.
En revanche, il impose une chose essentielle : la cybersécurité devient une responsabilité démontrable du produit, pas un discours marketing ni une promesse implicite.
Conclusion : le CRA comme transformation structurelle du marché numérique
Le Cyber Resilience Act ne doit pas être lu comme une contrainte supplémentaire, mais comme une transformation du marché numérique européen. Il redéfinit les règles du jeu. Il aligne la cybersécurité sur la logique même du marché : accès, conformité, responsabilité.
Les acteurs qui continueront à traiter la sécurité comme un sujet périphérique subiront le CRA. Ceux qui l'intégreront comme un levier de conception, de différenciation et de crédibilité en tireront un avantage durable.
Le CRA ne rend pas les produits sûrs. Il rend la cybersécurité incontournable.