Le compte à rebours est lancé. Le Cyber Resilience Act (règlement européen 2024/2847), entré en vigueur le 10 décembre 2024, franchit en 2026 ses premiers paliers contraignants. Depuis le 11 juin 2026, les règles encadrant les organismes d’évaluation de la conformité s’appliquent. À partir du 11 septembre 2026, tout fabricant devra signaler sous 24 heures une vulnérabilité activement exploitée. Et au 11 décembre 2027, aucun produit numérique vendu en Europe ne pourra porter le marquage CE sans respecter le texte. À la clé pour les contrevenants : jusqu’à 15 millions d’euros d’amende ou 2,5 % du chiffre d’affaires mondial.

Pour la France, qui cumule plus de 300 services piratés et 250 millions de données exposées depuis janvier 2026 selon les recensements indépendants, l’enjeu dépasse la simple conformité. Le Cyber Resilience Act redessine la responsabilité de toute la chaîne logicielle, des géants du cloud aux mainteneurs open source bénévoles. Analyse d’un règlement qui va coûter cher, rapporter davantage, et bousculer un marché de la cybersécurité européen estimé à plusieurs dizaines de milliards d’euros.

Cyber Resilience Act : ce que dit vraiment le règlement 2024/2847

Le Cyber Resilience Act est le premier texte horizontal au monde à imposer des exigences de cybersécurité à l’ensemble des « produits comportant des éléments numériques ». La définition est volontairement large : tout matériel ou logiciel dont l’usage prévu, ou raisonnablement prévisible, inclut une connexion directe ou indirecte de données. Cela englobe les objets connectés, les routeurs, les caméras de surveillance, les applications mobiles, les bibliothèques logicielles, les systèmes d’exploitation et même les jouets intelligents.

Publié au Journal officiel de l’Union européenne le 20 novembre 2024, le règlement (EU) 2024/2847 est devenu juridiquement effectif le 10 décembre 2024. Contrairement à une directive comme NIS2, qui exige une transposition par chaque État membre, un règlement s’applique directement et uniformément dans les 27 pays. La Commission européenne, à travers le portefeuille désormais piloté par Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie, en a fait une pièce maîtresse de sa stratégie numérique.

Le principe est simple à énoncer, complexe à appliquer : la sécurité devient une obligation produit, pas une option ajoutée après la vente. Un fabricant doit intégrer la cybersécurité dès la conception, documenter les risques, livrer des correctifs pendant toute la durée de vie du produit, et ne commercialiser aucun appareil contenant une vulnérabilité connue non corrigée.

Le calendrier d’application : trois dates qui changent tout

La mise en œuvre du Cyber Resilience Act est échelonnée pour laisser aux entreprises le temps de s’adapter. Trois jalons structurent ce calendrier, et deux d’entre eux tombent en 2026, ce qui explique l’intensité des recherches sur le sujet en France et en Europe.

DateÉtapeObligation déclenchée
10 décembre 2024Entrée en vigueurLe règlement devient juridiquement contraignant, début de la période de transition
11 juin 2026Organismes notifiésLes règles sur les organismes d’évaluation de la conformité s’appliquent
11 septembre 2026Signalement obligatoireNotification sous 24 h des vulnérabilités exploitées et incidents graves à l’ENISA et au CERT-FR
11 décembre 2027Application complèteTous les produits mis sur le marché doivent être conformes et porter le marquage CE

L’échéance du 11 septembre 2026 est la plus immédiate et la plus redoutée. Dès cette date, un fabricant qui découvre qu’une faille de son produit est activement exploitée dispose de 24 heures pour alerter l’Agence de l’Union européenne pour la cybersécurité (ENISA) et l’autorité nationale compétente, en France le CERT-FR. Un premier rapport d’alerte précoce, puis un rapport de notification, puis un rapport final viennent compléter ce dispositif. Cette mécanique de signalement rapproche le CRA des obligations déjà imposées aux opérateurs critiques par la directive NIS2.

Amendes jusqu’à 15 millions d’euros : le régime de sanctions

Le Cyber Resilience Act ne se contente pas de fixer des règles, il prévoit des sanctions calibrées pour faire mal. Le plafond le plus élevé atteint 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé des deux étant retenu. Ce barème vise les manquements aux exigences essentielles de cybersécurité, c’est-à-dire le cœur du texte.

D’autres niveaux d’amende existent pour des infractions moins graves, par exemple 10 millions d’euros ou 2 % du chiffre d’affaires pour le non-respect d’autres obligations, et 5 millions d’euros ou 1 % pour la fourniture d’informations incorrectes ou trompeuses aux autorités. Au-delà des amendes, les autorités de surveillance du marché peuvent ordonner le retrait ou le rappel d’un produit non conforme, une sanction commerciale potentiellement plus lourde que l’amende elle-même pour un fabricant de masse.

En France, c’est l’Agence nationale des fréquences (ANFR) qui hérite de la mission de surveillance du marché, tandis que l’ANSSI pilote l’accréditation et la notification des organismes d’évaluation. Cette répartition, inhabituelle, illustre la manière dont le CRA force les États à réorganiser leurs administrations pour absorber un texte transversal.

Trois classes de risque : du grille-pain connecté au pare-feu critique

Tous les produits ne se valent pas aux yeux du Cyber Resilience Act. Le règlement classe les produits comportant des éléments numériques en plusieurs ensembles, selon leur niveau de risque et leur rôle dans la chaîne de sécurité. Cette gradation détermine la rigueur de l’évaluation de conformité exigée avant la mise sur le marché.

CatégorieExemples de produitsPart estimée du marchéMode d’évaluation
Par défautApplications, jeux, traitement de texte, enceintes connectéesEnviron 90 %Auto-évaluation par le fabricant
Important Classe IGestionnaires de mots de passe, antivirus, navigateurs, routeurs domestiquesQuelques pourcentsAuto-évaluation avec norme harmonisée ou tierce partie
Important Classe IIPare-feu, systèmes de détection d’intrusion, hyperviseursQuelques pourcentsÉvaluation obligatoire par tierce partie
CritiqueModules de sécurité matériels (HSM), compteurs intelligents, cartes à puceMarginalCertification européenne renforcée

La grande majorité des produits, environ 90 %, relèvent de la catégorie « par défaut » et peuvent faire l’objet d’une simple auto-évaluation. Cette proportion rassure les éditeurs : elle signifie que la plupart des logiciels n’auront pas besoin d’un audit externe coûteux. Mais elle ne dispense personne des exigences de fond, à savoir la gestion des vulnérabilités, la documentation technique et la fourniture de mises à jour de sécurité. Les produits « importants » et « critiques » subissent au contraire un contrôle renforcé, qui peut impliquer un organisme tiers notifié.

Le marquage CE étendu à la cybersécurité

Le sigle CE, familier sur les jouets et l’électroménager, devient un marqueur de cybersécurité. À partir du 11 décembre 2027, un produit comportant des éléments numériques ne pourra arborer le marquage CE qu’à condition de respecter les exigences essentielles du Cyber Resilience Act. Pour le consommateur européen, c’est un signal visuel inédit : le même logo qui garantissait l’absence de risque électrique attestera désormais d’un niveau minimal de robustesse face aux cyberattaques.

Concrètement, le fabricant doit constituer une documentation technique, mener une évaluation des risques, rédiger une déclaration de conformité UE et apposer le marquage. Pour les produits « importants » de Classe II et les produits « critiques », un organisme notifié intervient. La logique est calquée sur le « nouveau cadre législatif » européen qui régit déjà la sécurité physique des produits, ce qui facilite l’intégration du CRA dans les processus industriels existants.

Cette extension du marquage CE a une portée extraterritoriale. Un fabricant américain ou asiatique qui souhaite vendre en Europe devra s’y plier, exactement comme le RGPD a imposé ses standards de protection des données au-delà des frontières de l’Union. Le CRA s’applique en fonction du marché de destination, pas du lieu de production.

Impact économique : 290 milliards d’euros de cybercriminalité visés

Pourquoi un texte aussi contraignant ? Parce que le coût de l’inaction est vertigineux. L’analyse d’impact de la Commission européenne, citée à de multiples reprises dans les travaux préparatoires du Cyber Resilience Act, chiffre le coût annuel de la cybercriminalité dans l’Union à environ 290 milliards d’euros. Face à ce fardeau, Bruxelles estime que le règlement pourrait réduire le coût des incidents de 180 à 290 milliards d’euros par an une fois pleinement déployé.

Ces chiffres expliquent l’appétit des dirigeants pour la cybersécurité. Selon les perspectives 2026 publiées par l’école Guardia, 65 % des dirigeants français prévoient d’investir dans la cybersécurité cette année. Le CRA agit comme un accélérateur de cette dynamique : en transformant la sécurité en obligation légale, il déplace la dépense du registre du « confort » vers celui de la conformité incompressible.

Le revers de la médaille, c’est le coût de mise en conformité. Documentation, gestion des vulnérabilités, tests, certification tierce pour les produits sensibles : la facture grimpe vite, surtout pour les PME et les éditeurs de logiciels à faible marge. Plusieurs analyses juridiques, dont celles d’Alston & Bird et de Hogan Lovells, soulignent que les petites structures pourraient supporter un coût proportionnellement plus lourd que les grands groupes, déjà rodés aux référentiels de sécurité.

Open source : la grande inquiétude des mainteneurs bénévoles

Le point le plus débattu du Cyber Resilience Act concerne le logiciel libre. Une part écrasante de l’infrastructure numérique mondiale repose sur des composants open source maintenus par des bénévoles ou de petites fondations. Soumettre ces mainteneurs au même régime que des multinationales aurait pu assécher l’écosystème. Sous la pression de la communauté, le texte final introduit des aménagements.

Les développeurs open source non commerciaux échappent au régime de sanctions. Le règlement crée par ailleurs la notion de « gestionnaire de logiciel libre » (open source software steward), une catégorie aux obligations allégées par rapport au fabricant classique. L’Open Source Security Foundation (OpenSSF) et la Fondation Eclipse ont mené un travail de plaidoyer intense pour clarifier ce périmètre, tout en alertant sur la charge qui pèse encore sur les mainteneurs dont le code finit dans des produits commerciaux.

La frontière reste délicate. Dès qu’un composant libre est intégré dans un produit vendu, c’est le fabricant commercial qui porte la responsabilité de la conformité. Mais cela suppose que les mainteneurs amont produisent une documentation de sécurité, des nomenclatures logicielles (SBOM) et des correctifs en temps voulu. L’enjeu, pour 2026 et 2027, sera de faire émerger des outils mutualisés capables d’industrialiser cette mise en conformité sans épuiser les communautés.

CRA, NIS2, RGPD : comment s’articulent les textes européens

Le Cyber Resilience Act n’arrive pas dans un vide réglementaire. Il s’ajoute à un arsenal européen déjà dense, ce qui crée des chevauchements que les juristes scrutent de près. La règle générale est la complémentarité : chaque texte couvre un angle différent du même problème de cybersécurité.

  • CRA : sécurité des produits comportant des éléments numériques, du matériel au logiciel, sur tout leur cycle de vie.
  • NIS2 : obligations de sécurité et de signalement pour les entités essentielles et importantes (énergie, santé, transports, numérique), avec une logique d’organisation et non de produit.
  • RGPD : protection des données personnelles ; un produit couvert par le CRA qui traite des données reste soumis aux principes de minimisation et de protection dès la conception.
  • Data Act et règlement sur l’IA : couches additionnelles que les fabricants doivent considérer quand leurs produits manipulent des données ou des systèmes d’intelligence artificielle.

La transposition de NIS2 en France a d’ailleurs pris du retard, au point que la Cour de justice de l’Union européenne a été saisie. Le CRA, en tant que règlement directement applicable, échappe à ce risque de transposition tardive, ce qui en fait un levier d’harmonisation plus rapide. Pour une entreprise française, la bonne approche consiste à cartographier ses produits et ses activités pour identifier quels textes s’appliquent simultanément, plutôt que de les traiter en silos.

Réactions du secteur : entre soutien et avertissements

Le Cyber Resilience Act divise. Les institutions européennes le présentent comme une avancée majeure pour la confiance numérique. La Commission européenne, sous l’impulsion de Henna Virkkunen, défend l’idée que la cybersécurité doit devenir une obligation centrale du produit et non un ajout après la vente, et voit dans le CRA un pilier de la souveraineté technologique de l’Union.

Du côté de l’ENISA, dont Juhan Lepassaar dirige l’exécutif, le message est opérationnel : l’agence se prépare à recevoir, à partir de septembre 2026, un flux massif de signalements de vulnérabilités via une plateforme paneuropéenne unique. La capacité à traiter ces alertes en 24 heures sera un test grandeur nature de la maturité du dispositif européen.

Les experts français appellent à la lucidité. Gérôme Billois, associé cybersécurité chez Wavestone, décrit 2026 comme une période d’« urgence stratégique » pour les organisations européennes, prises en étau entre la montée des rançongiciels et l’empilement réglementaire. Pascal Le Digol, directeur France de WatchGuard, insiste de son côté sur le fait que la conformité ne remplace pas la sécurité opérationnelle : un produit conforme au CRA reste exposé si les pratiques internes de l’entreprise sont défaillantes. Honeywell, dans ses notes destinées à ses fournisseurs, met en garde sur la portée mondiale du texte, qui touche tout produit vendu sur le marché européen quelle que soit son origine.

Contexte 2026 : la France championne involontaire des fuites de données

Le Cyber Resilience Act arrive au pire et au meilleur moment pour la France. Depuis janvier 2026, le pays cumule plus de 300 services piratés et 250 millions de données exposées selon les recensements indépendants, une crise qui touche aussi bien les administrations que les grandes enseignes. Cette vague de fuites de données donne au règlement une résonance concrète : sécuriser les produits à la source, c’est tarir une partie des vecteurs d’attaque.

Le calendrier des menaces ne ralentit pas. En juin 2026, la CISA américaine a ajouté à son catalogue des vulnérabilités activement exploitées la faille CVE-2026-45247, touchant un module de cache logiciel. Les flux d’alertes du CERT-FR, comme l’alerte CERTFR-2026-ALE-005 sur Microsoft Exchange Server publiée le 15 mai 2026, rappellent que le rythme des correctifs d’urgence reste soutenu. Les rançongiciels, les attaques par déni de service distribué et les compromissions de tiers dominent toujours le paysage.

Cette pression alimente l’investissement public. La stratégie nationale de cybersécurité française, dotée de plus d’un milliard d’euros, et l’effort européen de souveraineté numérique convergent avec les objectifs du CRA. Le règlement n’est pas un texte isolé : il s’inscrit dans une bascule générale où la sécurité des produits devient un sujet de politique industrielle.

Ce qu’un fabricant doit faire avant décembre 2027

Pour les entreprises, la théorie cède la place à l’action. Se mettre en conformité avec le Cyber Resilience Act suppose une feuille de route précise, à engager sans attendre l’échéance de décembre 2027. Les organismes notifiés risquent d’être saturés en fin de période, ce qui plaide pour une démarche anticipée.

  • Cartographier l’ensemble des produits comportant des éléments numériques et déterminer leur classe de risque.
  • Mettre en place un processus de gestion des vulnérabilités, incluant la production de nomenclatures logicielles (SBOM).
  • Établir une politique de divulgation coordonnée et un canal de signalement vers l’ENISA et le CERT-FR.
  • Constituer la documentation technique et la déclaration de conformité UE pour chaque produit.
  • Garantir la fourniture de mises à jour de sécurité pendant toute la durée de support, en évitant toute vulnérabilité connue à la mise sur le marché.
  • Sécuriser les communications produit avec des protocoles modernes ; un socle de chiffrement à jour, comme un certificat SSL correctement déployé, fait partie des attendus de base.

La gestion des vulnérabilités est le point névralgique. Dès le 11 septembre 2026, le défaut de signalement d’une faille exploitée expose à des sanctions, indépendamment de l’échéance principale de 2027. Les équipes de sécurité doivent donc être opérationnelles bien avant la conformité produit complète. L’affaire de la faille Ivanti qui a frappé l’UE en quelques heures illustre l’ampleur des dégâts quand un correctif arrive trop tard.

Cinq prédictions sur l’application du Cyber Resilience Act

Quels effets attendre du Cyber Resilience Act dans les dix-huit prochains mois ? Voici cinq scénarios crédibles, fondés sur la trajectoire actuelle du texte et l’état du marché européen.

  • Engorgement des organismes notifiés en 2027. La demande de certification tierce pour les produits « importants » et « critiques » explosera à l’approche de décembre 2027, créant des goulets d’étranglement et une prime aux acteurs qui s’y prennent tôt.
  • Disparition de produits low-cost. Certains objets connectés bon marché, importés sans suivi de sécurité, quitteront le marché européen plutôt que d’absorber le coût de conformité, à l’image de ce qu’on a vu après le RGPD.
  • Standardisation des SBOM. La nomenclature logicielle, longtemps marginale, deviendra une exigence contractuelle systématique entre fournisseurs et donneurs d’ordre.
  • Premier contentieux retentissant. Une amende ou un retrait de produit emblématique, probablement après 2027, servira de jurisprudence et clarifiera l’interprétation des autorités de surveillance.
  • Effet d’entraînement mondial. Comme le RGPD, le CRA inspirera des législations comparables hors d’Europe, consolidant un standard de facto pour la sécurité des produits numériques.

Foire aux questions sur le Cyber Resilience Act

Quand le Cyber Resilience Act entre-t-il pleinement en application ?

Le règlement est entré en vigueur le 10 décembre 2024. Les obligations de signalement des vulnérabilités s’appliquent à partir du 11 septembre 2026, et l’ensemble des obligations devient contraignant le 11 décembre 2027. Les règles relatives aux organismes d’évaluation de la conformité s’appliquent depuis le 11 juin 2026.

Quelle est l’amende maximale prévue par le CRA ?

La sanction la plus élevée atteint 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Des plafonds inférieurs (10 millions ou 2 %, 5 millions ou 1 %) s’appliquent à des manquements moins graves. Les autorités peuvent aussi imposer le retrait ou le rappel d’un produit.

Quels produits sont concernés par le Cyber Resilience Act ?

Tous les produits comportant des éléments numériques mis sur le marché européen : matériels et logiciels, objets connectés, applications, bibliothèques. Certains secteurs disposant de régimes propres, comme les dispositifs médicaux ou les véhicules, en sont exclus. Environ 90 % des produits relèvent de la catégorie par défaut, soumise à auto-évaluation.

Le logiciel open source est-il soumis au CRA ?

Les développeurs open source non commerciaux échappent au régime de sanctions. Le texte crée un statut de « gestionnaire de logiciel libre » aux obligations allégées. En revanche, dès qu’un composant libre est intégré dans un produit commercial, c’est le fabricant qui assume la responsabilité de la conformité.

Quelle différence entre le CRA et la directive NIS2 ?

Le CRA régit la sécurité des produits sur tout leur cycle de vie, tandis que NIS2 impose des obligations de sécurité et de signalement aux organisations critiques (énergie, santé, numérique). Le CRA est un règlement directement applicable ; NIS2 est une directive nécessitant une transposition nationale, plus lente en France.

Qui contrôle l’application du CRA en France ?

L’Agence nationale des fréquences (ANFR) assure la surveillance du marché, et l’ANSSI pilote l’accréditation des organismes d’évaluation. Le CERT-FR reçoit les signalements de vulnérabilités et d’incidents, en lien avec l’ENISA au niveau européen.

Sources et références : Commission européenne (Cyber Resilience Act), ANSSI, ENISA, ANFR, CERT-FR, OpenSSF, Wikipedia (CRA).