{"id":246,"date":"2026-06-19T08:25:12","date_gmt":"2026-06-19T08:25:12","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/19\/cyber-resilience-act-cra-2026-france\/"},"modified":"2026-06-19T08:26:36","modified_gmt":"2026-06-19T08:26:36","slug":"cyber-resilience-act-cra-2026-france","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/19\/cyber-resilience-act-cra-2026-france\/","title":{"rendered":"Cyber Resilience Act : 3 \u00c9ch\u00e9ances, 15 M\u20ac d’Amende [2026]"},"content":{"rendered":"\n

Le Cyber Resilience Act (CRA)<\/strong>, R\u00e8glement (UE) 2024\/2847, est entr\u00e9 en vigueur le 10 d\u00e9cembre 2024. Mais c’est en juin 2026 que la m\u00e9canique s’enclenche vraiment : les \u00c9tats membres devaient d\u00e9signer leurs organismes de certification avant le 11 juin 2026<\/strong>, puis les obligations de signalement des vuln\u00e9rabilit\u00e9s deviendront contraignantes le 11 septembre 2026<\/strong>. Pour les entreprises fran\u00e7aises et europ\u00e9ennes, la course contre la montre a officiellement d\u00e9marr\u00e9.<\/p>\n\n\n\n

Le r\u00e8glement impose des exigences minimales de cybers\u00e9curit\u00e9 \u00e0 tous les produits comportant des \u00e9l\u00e9ments num\u00e9riques<\/strong> mis sur le march\u00e9 de l’Union : appareils IoT, routeurs, logiciels grand public, syst\u00e8mes industriels connect\u00e9s. Non-conformit\u00e9 en cas de violation grave : amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial<\/strong>. Le CRA redessine les r\u00e8gles du jeu pour toute l’industrie tech europ\u00e9enne.<\/p>\n\n\n\n

Trois \u00e9ch\u00e9ances qui changent tout : juin 2026, septembre 2026, d\u00e9cembre 2027<\/h2>\n\n\n\n

Le calendrier du CRA est structur\u00e9 en trois vagues successives, chacune ciblant un aspect diff\u00e9rent de la conformit\u00e9. Comprendre cette chronologie est indispensable pour \u00e9viter d’\u00eatre pris de court.<\/p>\n\n\n\n

Le 11 juin 2026<\/strong> marque la premi\u00e8re \u00e9tape op\u00e9rationnelle : les \u00c9tats membres de l’UE devaient notifier leurs organismes d’\u00e9valuation de la conformit\u00e9, permettant aux fabricants d’initier les proc\u00e9dures d’audit tierce partie pour les produits classifi\u00e9s “critiques”. En France, c’est l’ANSSI<\/strong> qui pilote ce processus d’accr\u00e9ditation, conform\u00e9ment aux pouvoirs qui lui sont conf\u00e9r\u00e9s par le cadre europ\u00e9en.<\/p>\n\n\n\n

Le 11 septembre 2026<\/strong> constitue la date la plus urgente pour les \u00e9quipes op\u00e9rationnelles. \u00c0 partir de ce moment, les fabricants auront l’obligation l\u00e9gale de signaler toute vuln\u00e9rabilit\u00e9 activement exploit\u00e9e ou tout incident grave \u00e0 l’ENISA via une plateforme unique de signalement<\/strong>, dans un d\u00e9lai de 24 heures<\/strong> apr\u00e8s en avoir pris connaissance. Pour la France, les signalements remontent \u00e9galement vers le CERT-FR<\/strong>, l’entit\u00e9 nationale de r\u00e9ponse aux incidents rattach\u00e9e \u00e0 l’ANSSI.<\/p>\n\n\n\n

Le 11 d\u00e9cembre 2027<\/strong> repr\u00e9sente la date de conformit\u00e9 totale : tous les produits num\u00e9riques mis sur le march\u00e9 europ\u00e9en devront respecter l’ensemble des exigences du CRA, obtenir le marquage CE correspondant, et les autorit\u00e9s de surveillance du march\u00e9 commenceront les contr\u00f4les actifs. Pour la France, cette surveillance incombe \u00e0 l’ANFR<\/strong> (Agence Nationale des Fr\u00e9quences), qui dispose du pouvoir d’imposer des sanctions allant jusqu’au retrait du march\u00e9.<\/p>\n\n\n\n

\u00c9ch\u00e9ance<\/th>Date<\/th>Obligation principale<\/th>Acteur cl\u00e9 en France<\/th><\/tr><\/thead>
Phase 1 : accr\u00e9ditation<\/td>11 juin 2026<\/td>D\u00e9signation des organismes d’\u00e9valuation de conformit\u00e9<\/td>ANSSI<\/td><\/tr>
Phase 2 : signalement<\/td>11 septembre 2026<\/td>Signalement des vuln\u00e9rabilit\u00e9s en 24 h via ENISA<\/td>CERT-FR<\/td><\/tr>
Phase 3 : conformit\u00e9 totale<\/td>11 d\u00e9cembre 2027<\/td>Marquage CE, documentation technique, SBOM obligatoire<\/td>ANFR<\/td><\/tr>
Entr\u00e9e en vigueur<\/td>10 d\u00e9cembre 2024<\/td>Publication au Journal officiel de l’UE (Reg. 2024\/2847)<\/td>Commission europ\u00e9enne<\/td><\/tr>
Proposition initiale<\/td>15 septembre 2022<\/td>Proposition de la Commission europ\u00e9enne<\/td>DG CONNECT<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Quels produits sont concern\u00e9s : un p\u00e9rim\u00e8tre volontairement tr\u00e8s large<\/h2>\n\n\n\n

Le CRA s’applique \u00e0 tous les produits comportant des \u00e9l\u00e9ments num\u00e9riques<\/strong> (PDEs, “products with digital elements” dans le texte officiel), une d\u00e9finition d\u00e9lib\u00e9r\u00e9ment large qui englobe tout mat\u00e9riel ou logiciel con\u00e7u pour se connecter directement ou indirectement \u00e0 un appareil ou r\u00e9seau. En pratique, cela couvre une part tr\u00e8s significative de ce qui est vendu sur le march\u00e9 tech europ\u00e9en.<\/p>\n\n\n\n

Les cat\u00e9gories mat\u00e9rielles concern\u00e9es comprennent : smartphones, ordinateurs portables, routeurs, appareils domestiques connect\u00e9s, montres intelligentes, jouets connect\u00e9s, passerelles de compteurs intelligents, microprocesseurs, et pare-feux. C\u00f4t\u00e9 logiciel : applications mobiles, logiciels de comptabilit\u00e9, jeux vid\u00e9o, et toute application con\u00e7ue pour se connecter \u00e0 un r\u00e9seau. Comme le souligne le BSI allemand, m\u00eame un jeu vid\u00e9o n\u00e9cessitant une connexion internet entre dans le champ d’application du CRA.<\/p>\n\n\n\n

Des exemptions existent pour certaines cat\u00e9gories disposant d\u00e9j\u00e0 de leur propre cadre r\u00e9glementaire sectoriel : dispositifs m\u00e9dicaux, \u00e9quipements automobiles (couverts par UNECE WP.29), \u00e9quipements d’aviation civile. L’OpenSSF (Open Source Security Foundation) note que les d\u00e9veloppeurs open source non commerciaux<\/strong> sont \u00e9galement exempt\u00e9s des amendes, bien qu’ils soient encourag\u00e9s \u00e0 suivre les bonnes pratiques de s\u00e9curit\u00e9.<\/p>\n\n\n\n

Olivier Ligneul, directeur de la cybers\u00e9curit\u00e9 du groupe EDF, a d\u00e9clar\u00e9 \u00e0 l’occasion du Paris Cyber Summit de juin 2026 : “Le CRA impose une transformation en profondeur de nos processus d’achat. Nous devons d\u00e9sormais exiger de chaque fournisseur une documentation technique de cybers\u00e9curit\u00e9 avant toute int\u00e9gration. C’est un changement de culture industrielle, pas seulement r\u00e9glementaire.”<\/p>\n\n\n\n

CRA vs NIS2 : deux instruments compl\u00e9mentaires mais distincts<\/h2>\n\n\n\n

Une confusion fr\u00e9quente r\u00e8gne entre le CRA et la directive NIS2. Ces deux textes europ\u00e9ens traitent de cybers\u00e9curit\u00e9 mais avec des p\u00e9rim\u00e8tres et des logiques radicalement diff\u00e9rents, et leurs obligations de signalement ne s’adressent pas aux m\u00eames acteurs.<\/p>\n\n\n\n

NIS2<\/strong> est une directive organisationnelle : elle s’applique aux entit\u00e9s op\u00e9rant dans des secteurs essentiels (\u00e9nergie, transport, sant\u00e9, finance, etc.) et leur impose des obligations de gouvernance, de gestion des risques et de notification d’incidents. Elle concerne 28 700 entreprises<\/strong> en Europe, dont 6 200 micro et petites entreprises dont les obligations ont \u00e9t\u00e9 simplifi\u00e9es par la modification cibl\u00e9e du 20 janvier 2026.<\/p>\n\n\n\n

Le CRA<\/strong> est un r\u00e8glement produit : il suit la logique du marquage CE et s’applique aux fabricants, importateurs et distributeurs de produits num\u00e9riques, quelle que soit leur taille ou leur secteur d’activit\u00e9. Sa port\u00e9e est horizontale et beaucoup plus large que NIS2. Une PME de 10 salari\u00e9s qui fabrique des routeurs domestiques est soumise au CRA mais pas n\u00e9cessairement \u00e0 NIS2.<\/p>\n\n\n\n

Les d\u00e9lais de signalement diff\u00e8rent \u00e9galement : sous NIS2, les entit\u00e9s disposent de 72 heures<\/strong> pour notifier les incidents significatifs. Sous le CRA, les fabricants ont 24 heures<\/strong> pour signaler les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es via la plateforme ENISA. Cette diff\u00e9rence refl\u00e8te la nature distincte des obligations : NIS2 cible les op\u00e9rateurs de services, le CRA cible les cr\u00e9ateurs de produits.<\/p>\n\n\n\n

Crit\u00e8re<\/th>CRA (R\u00e8glement 2024\/2847)<\/th>NIS2 (Directive 2022\/2555)<\/th><\/tr><\/thead>
Nature juridique<\/td>R\u00e8glement (application directe)<\/td>Directive (transposition nationale)<\/td><\/tr>
P\u00e9rim\u00e8tre<\/td>Tous les produits num\u00e9riques<\/td>Entit\u00e9s essentielles et importantes<\/td><\/tr>
Acteurs vis\u00e9s<\/td>Fabricants, importateurs, distributeurs<\/td>Op\u00e9rateurs de services essentiels<\/td><\/tr>
D\u00e9lai de signalement<\/td>24 heures (vuln\u00e9rabilit\u00e9s exploit\u00e9es)<\/td>72 heures (incidents significatifs)<\/td><\/tr>
Amende maximale<\/td>15 M\u20ac ou 2,5 % du CA mondial<\/td>10 M\u20ac ou 2 % du CA mondial<\/td><\/tr>
Date de pleine application<\/td>11 d\u00e9cembre 2027<\/td>En vigueur depuis octobre 2024<\/td><\/tr>
Marquage CE requis<\/td>Oui<\/td>Non applicable<\/td><\/tr>
Nombre d’entreprises concern\u00e9es en UE<\/td>Tr\u00e8s large (tous secteurs)<\/td>28 700 entreprises list\u00e9es<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Le security-by-design au coeur du dispositif<\/h2>\n\n\n\n

L’une des exigences les plus structurantes du CRA est l’obligation de s\u00e9curit\u00e9 d\u00e8s la conception<\/strong> (“security-by-design”) et de s\u00e9curit\u00e9 par d\u00e9faut<\/strong> (“security-by-default”). Ces principes signifient que les fabricants ne peuvent plus traiter la cybers\u00e9curit\u00e9 comme un ajout optionnel post-d\u00e9veloppement.<\/p>\n\n\n\n

Concr\u00e8tement, les fabricants doivent : r\u00e9aliser une \u00e9valuation des risques cyber avant la mise sur le march\u00e9, maintenir un inventaire des composants logiciels (SBOM, Software Bill of Materials), traiter les vuln\u00e9rabilit\u00e9s tout au long du cycle de vie du produit, proposer des mises \u00e0 jour de s\u00e9curit\u00e9 s\u00e9par\u00e9es des mises \u00e0 jour fonctionnelles, et conserver la documentation technique pendant 10 ans<\/strong> apr\u00e8s la mise sur le march\u00e9.<\/p>\n\n\n\n

Le BSI allemand pr\u00e9cise que le support en mises \u00e0 jour de s\u00e9curit\u00e9 doit couvrir au minimum 5 ans<\/strong> pour les produits grand public. Pour les \u00e9quipements industriels avec des cycles de vie plus longs, cette dur\u00e9e s’adapte \u00e0 la dur\u00e9e de vie pr\u00e9visible du produit. Cette exigence de long\u00e9vit\u00e9 du support change fondamentalement l’\u00e9conomie des appareils IoT \u00e0 faible co\u00fbt.<\/p>\n\n\n\n

Le cabinet Hogan Lovells, dans son analyse publi\u00e9e en janvier 2026, insiste sur la notion de “cycle de vie” : “La nouveaut\u00e9 du CRA n’est pas seulement dans les exigences techniques, c’est dans l’obligation de d\u00e9montrer que ces exigences sont respect\u00e9es dans la dur\u00e9e. La documentation, les mises \u00e0 jour de s\u00e9curit\u00e9, le traitement des CVE : tout doit \u00eatre trac\u00e9 et justifiable. Pour beaucoup de PME industrielles, c’est un changement de paradigme complet.”<\/p>\n\n\n\n

Les produits jug\u00e9s critiques<\/strong> par le r\u00e8glement (annexes III et IV) devront passer par des audits tiers obligatoires<\/strong>, r\u00e9alis\u00e9s par les organismes notifi\u00e9s que les \u00c9tats membres devaient d\u00e9signer avant le 11 juin 2026. Cette cat\u00e9gorisation “critique” inclut notamment les syst\u00e8mes de gestion des identit\u00e9s, les gestionnaires de mots de passe, les VPN d’entreprise, les navigateurs web, et certains syst\u00e8mes de contr\u00f4le industriel.<\/p>\n\n\n\n

La plateforme ENISA : signaler une vuln\u00e9rabilit\u00e9 en 24 heures<\/h2>\n\n\n\n

\u00c0 partir du 11 septembre 2026, le coeur op\u00e9rationnel du CRA sera la plateforme unique de signalement de l’ENISA<\/strong> (Article 16 du r\u00e8glement). Tout fabricant d’un produit num\u00e9rique vendu dans l’UE devra y notifier les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es et les incidents graves affectant la s\u00e9curit\u00e9 de son produit dans un d\u00e9lai maximal de 24 heures<\/strong>.<\/p>\n\n\n\n

Ce d\u00e9lai de 24 heures repr\u00e9sente un changement majeur par rapport aux pratiques actuelles. Aujourd’hui, la norme CVSS permet aux entreprises de g\u00e9rer les vuln\u00e9rabilit\u00e9s selon leur propre calendrier de patches. Sous le CRA, une CVE activement exploit\u00e9e d\u00e9clenche une obligation l\u00e9gale imm\u00e9diate, ind\u00e9pendamment de si un correctif est disponible ou non. Les \u00e9quipes de r\u00e9ponse aux incidents devront donc \u00eatre capables de d\u00e9tecter, qualifier et signaler<\/strong> une exploitation active en moins d’une journ\u00e9e.<\/p>\n\n\n\n

Fidelis Security, dans son guide d’impl\u00e9mentation publi\u00e9 en janvier 2026, recommande de viser un MTTR (Mean Time To Respond) inf\u00e9rieur \u00e0 4 heures<\/strong> pour les incidents critiques, et de d\u00e9ployer des syst\u00e8mes de d\u00e9tection automatis\u00e9s connect\u00e9s au portail ENISA : “Les \u00e9quipes qui essaieront de g\u00e9rer ces notifications manuellement seront d\u00e9pass\u00e9es. L’automatisation de la cha\u00eene d\u00e9tection-qualification-signalement est une n\u00e9cessit\u00e9, pas une option.”<\/p>\n\n\n\n

En France, la cha\u00eene de signalement se structure ainsi : les fabricants notifient l’ENISA, qui coordonne avec les CSIRT nationaux. Pour les entit\u00e9s fran\u00e7aises, le CERT-FR<\/strong> (rattach\u00e9 \u00e0 l’ANSSI) est le point de contact national. Cette architecture d\u00e9centralis\u00e9e vise \u00e0 permettre une r\u00e9ponse rapide au niveau national tout en maintenant une vision consolid\u00e9e au niveau europ\u00e9en.<\/p>\n\n\n\n

Impact sur les fabricants, importateurs et distributeurs fran\u00e7ais<\/h2>\n\n\n\n

Le CRA cr\u00e9e trois niveaux d’obligations distincts selon la position dans la cha\u00eene d’approvisionnement, avec des implications tr\u00e8s diff\u00e9rentes pour chaque acteur.<\/p>\n\n\n\n

Les fabricants<\/strong> portent la charge principale du r\u00e8glement. Ils doivent concevoir des produits s\u00e9curis\u00e9s, r\u00e9aliser et documenter les \u00e9valuations des risques, maintenir le support s\u00e9curit\u00e9 pendant toute la dur\u00e9e de vie du produit, et r\u00e9pondre aux signalements en 24 heures. Pour les fabricants de dispositifs IoT grand public, dont les mod\u00e8les \u00e9conomiques reposent souvent sur des marges faibles et des cycles courts, cette obligation de support prolong\u00e9 repr\u00e9sente un d\u00e9fi \u00e9conomique consid\u00e9rable.<\/p>\n\n\n\n

Les importateurs<\/strong> ne peuvent plus se contenter de revendre des produits sans v\u00e9rifier leur conformit\u00e9 CRA. Avant de placer un produit sur le march\u00e9 de l’UE, ils doivent s’assurer que le fabricant a rempli ses obligations documentaires et dispose d’un plan de traitement des vuln\u00e9rabilit\u00e9s. Les grandes plateformes de commerce \u00e9lectronique devront adapter leurs processus d’onboarding vendeurs pour exiger les attestations de conformit\u00e9 CRA.<\/p>\n\n\n\n

Les distributeurs<\/strong> doivent v\u00e9rifier que les produits qu’ils commercialisent portent les marquages et documentations requis. St\u00e9phane Nappo, directeur mondial de la s\u00e9curit\u00e9 de l’information chez Groupe SEB, a comment\u00e9 lors du Salon Souverainet\u00e9 Num\u00e9rique de Paris en juin 2026 : “Nous avons plus de 800 r\u00e9f\u00e9rences produits connect\u00e9es. Le CRA nous oblige \u00e0 re-auditer notre portefeuille entier pour identifier lesquelles n\u00e9cessitent un audit tiers et lesquelles peuvent s’auto-certifier. C’est un travail consid\u00e9rable mais indispensable pour maintenir l’acc\u00e8s au march\u00e9 europ\u00e9en.”<\/p>\n\n\n\n

Secteurs les plus expos\u00e9s : IoT industriel, objets connect\u00e9s, logiciels critiques<\/h2>\n\n\n\n

Certains secteurs sont particuli\u00e8rement touch\u00e9s par les nouvelles obligations du CRA, en raison du volume de produits num\u00e9riques mis sur le march\u00e9 et de leur degr\u00e9 de maturit\u00e9 cyber souvent insuffisant.<\/p>\n\n\n\n

L’industrie manufacturi\u00e8re et l’OT (Operational Technology)<\/strong> repr\u00e9sente le front le plus critique. Les automates programmables, les passerelles industrielles, et les syst\u00e8mes SCADA connect\u00e9s entrent tous dans le p\u00e9rim\u00e8tre CRA, mais ont \u00e9t\u00e9 historiquement con\u00e7us selon des paradigmes de s\u00e9curit\u00e9 tr\u00e8s diff\u00e9rents de l’IT. Les cycles de d\u00e9veloppement sont longs (10 \u00e0 15 ans), les mises \u00e0 jour rares, et la tra\u00e7abilit\u00e9 des composants souvent inexistante. Mettre en place un SBOM pour un \u00e9quipement industriel vieillissant constitue un d\u00e9fi technique de premier ordre.<\/p>\n\n\n\n

Le secteur des appareils grand public connect\u00e9s<\/strong> (IoT domestique, jouets connect\u00e9s, montres intelligentes) fait face \u00e0 un mod\u00e8le \u00e9conomique sous pression. Les fabricants devront financer 5 ans de support s\u00e9curit\u00e9 sur des produits vendus parfois moins de 30 euros. Certains analystes anticipent une consolidation du march\u00e9, les petits fabricants ne disposant pas des ressources pour absorber ces co\u00fbts suppl\u00e9mentaires.<\/p>\n\n\n\n

Les \u00e9diteurs de logiciels critiques<\/strong> (gestionnaires de mots de passe, VPN, navigateurs, solutions de gestion des identit\u00e9s) font partie des cat\u00e9gories n\u00e9cessitant un audit tiers. Ces entreprises devront investir dans des processus DevSecOps, des programmes de bug bounty, et des audits r\u00e9guliers pour maintenir leur certification. Jean-No\u00ebl de Galzain, PDG de Wallix et vice-pr\u00e9sident de Hexatrust, a d\u00e9clar\u00e9 : “Le CRA est une opportunit\u00e9 majeure pour les \u00e9diteurs europ\u00e9ens de cybers\u00e9curit\u00e9. Les acheteurs publics et priv\u00e9s vont naturellement se tourner vers des solutions d\u00e9j\u00e0 conformes, et les acteurs europ\u00e9ens ont une longueur d’avance sur la compr\u00e9hension du cadre r\u00e9glementaire.”<\/p>\n\n\n\n

L’ANSSI dans l’impl\u00e9mentation fran\u00e7aise du CRA<\/h2>\n\n\n\n

En France, l’ANSSI<\/strong> joue un r\u00f4le central dans l’impl\u00e9mentation du CRA. L’agence cumule plusieurs fonctions : autorit\u00e9 de notification des organismes d’\u00e9valuation de conformit\u00e9, point de coordination avec l’ENISA pour les signalements, et acteur d’accompagnement des entreprises fran\u00e7aises dans leur transition.<\/p>\n\n\n\n

Dans la publication du r\u00e8glement sur son site gouvernemental cyber.gouv.fr, l’ANSSI pr\u00e9cise le calendrier national : “Juin 2026 \u00e0 d\u00e9cembre 2026 : accr\u00e9ditation et d\u00e9but de la notification des organismes d’\u00e9valuation. Septembre 2026 : les fabricants notifient les vuln\u00e9rabilit\u00e9s activement exploit\u00e9es et les incidents graves via la plateforme ENISA au CERT-FR pour la France. D\u00e9cembre 2027 : les produits mis sur le march\u00e9 sont conformes au CRA et l’ANFR op\u00e8re des contr\u00f4les.”<\/p>\n\n\n\n

Cette s\u00e9quence place l’ANSSI au carrefour de deux r\u00f4les potentiellement en tension : celui de r\u00e9gulateur exigeant la conformit\u00e9 stricte, et celui d’accompagnateur des PME fran\u00e7aises qui manquent souvent de ressources pour absorber seules les co\u00fbts de mise en conformit\u00e9. En 2024, l’agence a trait\u00e9 4 386 \u00e9v\u00e9nements de s\u00e9curit\u00e9<\/strong>, soit une hausse de 15 % par rapport \u00e0 2023, dans un contexte o\u00f9 67 % des entreprises fran\u00e7aises<\/strong> ont d\u00e9clar\u00e9 avoir \u00e9t\u00e9 victimes d’au moins une cyberattaque (rapport Hiscox 2024).<\/p>\n\n\n\n

L’articulation avec la politique post-quantique de l’ANSSI est directe. Le 16 juin 2026, l’agence a annonc\u00e9 qu’elle arr\u00eaterait de certifier les produits sans chiffrement r\u00e9sistant aux ordinateurs quantiques \u00e0 partir de 2027, avec une cible de transition totale des achats vers des produits post-quantiques d’ici 2030. Le CRA et la certification PQC convergent vers le m\u00eame horizon, cr\u00e9ant une pression cumulative sur les fabricants qui devront simultan\u00e9ment int\u00e9grer des algorithmes ML-KEM et ML-DSA dans leurs produits.<\/p>\n\n\n\n

Co\u00fbts de conformit\u00e9 et impact sur le march\u00e9 tech europ\u00e9en<\/h2>\n\n\n\n

La mise en conformit\u00e9 CRA repr\u00e9sente un investissement significatif dont le montant varie selon la taille de l’entreprise, la complexit\u00e9 des produits et le niveau de maturit\u00e9 cyber pr\u00e9existant.<\/p>\n\n\n\n

Pour les grandes entreprises tech<\/strong> (chiffre d’affaires sup\u00e9rieur \u00e0 100 M\u20ac), les estimations sectorielles oscillent entre 2 et 5 % du budget annuel R&D pour la mise en conformit\u00e9 initiale. Les principaux postes de co\u00fbts incluent : l’audit des portefeuilles produits existants, le d\u00e9ploiement de processus DevSecOps, la mise en place d’outils SBOM automatis\u00e9s (Syft, SPDX, CycloneDX), et le recrutement de profils de s\u00e9curit\u00e9 produit sp\u00e9cialis\u00e9s.<\/p>\n\n\n\n

Pour les PME et ETI<\/strong>, l’impact est proportionnellement plus lourd. Une PME avec 5 \u00e0 10 r\u00e9f\u00e9rences de produits connect\u00e9s devra potentiellement mobiliser l’\u00e9quivalent d’un ETP cybers\u00e9curit\u00e9 d\u00e9di\u00e9 pour g\u00e9rer la documentation, les \u00e9valuations de risques et les obligations de signalement. SafeLogic, dans son analyse de juin 2026, pr\u00e9vient que “les PME qui n’ont pas commenc\u00e9 leur pr\u00e9paration CRA avant mi-2026 auront du mal \u00e0 respecter l’\u00e9ch\u00e9ance de septembre 2026 pour les obligations de signalement.”<\/p>\n\n\n\n

En contrepartie, le CRA cr\u00e9e une opportunit\u00e9 de march\u00e9 substantielle pour les prestataires de s\u00e9curit\u00e9<\/strong>. Les services d’audit CRA, de conseil en conformit\u00e9, de d\u00e9ploiement de solutions SBOM et d’int\u00e9gration \u00e0 la plateforme ENISA constituent des niches \u00e0 forte croissance. Le march\u00e9 europ\u00e9en de la cybers\u00e9curit\u00e9, dont le volume d\u00e9passait 45 milliards d’euros en 2025, devrait voir une acc\u00e9l\u00e9ration des d\u00e9penses li\u00e9es \u00e0 la conformit\u00e9 r\u00e9glementaire jusqu’en 2027.<\/p>\n\n\n\n

Open source : exempt\u00e9 des amendes mais pas des responsabilit\u00e9s<\/h2>\n\n\n\n

Le traitement du logiciel open source dans le CRA a fait l’objet d’intenses n\u00e9gociations lors de l’\u00e9laboration du texte. La version finale exclut les d\u00e9veloppeurs open source non commerciaux<\/strong> des amendes, mais ce r\u00e9gime sp\u00e9cial est plus nuanc\u00e9 qu’il n’y para\u00eet.<\/p>\n\n\n\n

L’exemption ne s’applique pas automatiquement \u00e0 tout logiciel sous licence libre. Si un composant open source est int\u00e9gr\u00e9 dans un produit commercial mis sur le march\u00e9 de l’UE, c’est le fabricant commercial<\/strong> qui porte la responsabilit\u00e9 CRA, pas le d\u00e9veloppeur original du composant. Cette distinction a des implications directes pour les projets tr\u00e8s utilis\u00e9s comme OpenSSL ou des biblioth\u00e8ques de cryptographie : les entreprises qui les int\u00e8grent devront tenir un SBOM \u00e0 jour et assurer la veille CVE sur ces composants.<\/p>\n\n\n\n

L’OpenSSF (Open Source Security Foundation) a publi\u00e9 en juin 2026 une analyse saluant l’exemption tout en alertant : “L’exemption des d\u00e9veloppeurs non commerciaux est une victoire pour l’\u00e9cosyst\u00e8me open source, mais elle ne dispense pas les entreprises int\u00e9gratrices de leurs obligations. Au contraire, elle renforce leur responsabilit\u00e9 sur la s\u00e9curit\u00e9 des composants tiers qu’elles utilisent dans leurs produits commerciaux.”<\/p>\n\n\n\n

Comparaison internationale : CRA, US Cyber Trust Mark et PSTI britannique<\/h2>\n\n\n\n

Le CRA s’inscrit dans une tendance mondiale de r\u00e9gulation de la cybers\u00e9curit\u00e9 des produits num\u00e9riques, mais adopte une approche distincte de ses homologues internationaux par son caract\u00e8re obligatoire et horizontal.<\/p>\n\n\n\n

Aux \u00c9tats-Unis, le programme US Cyber Trust Mark<\/strong> lanc\u00e9 par la FCC en 2024 cible les appareils IoT grand public sur une base volontaire<\/strong>. Les fabricants peuvent apposer un label de confiance sur leurs produits en respectant des crit\u00e8res d\u00e9finis par le NIST, sans obligation l\u00e9gale de le faire. Cette approche contraste avec le caract\u00e8re contraignant du CRA europ\u00e9en, o\u00f9 le non-respect des exigences bloque l’acc\u00e8s au march\u00e9.<\/p>\n\n\n\n

Au Royaume-Uni (post-Brexit), le Product Security and Telecommunications Infrastructure Act (PSTI)<\/strong> est entr\u00e9 en vigueur en avril 2024 et impose des exigences similaires sur les produits connect\u00e9s grand public, mais avec un p\u00e9rim\u00e8tre plus restreint que le CRA et des obligations de support moins \u00e9tendues. Les entreprises qui exportent vers l’UE et le Royaume-Uni doivent respecter les deux cadres, ce qui cr\u00e9e une double charge de conformit\u00e9.<\/p>\n\n\n\n

Cette fragmentation r\u00e9glementaire internationale cr\u00e9e un risque de conformit\u00e9 multiple<\/strong> pour les fabricants exportant \u00e0 l’\u00e9chelle mondiale. Un \u00e9quipement IoT industriel vendu en Europe, aux \u00c9tats-Unis et au Royaume-Uni peut devoir satisfaire trois cadres diff\u00e9rents, avec des exigences partiellement divergentes sur les d\u00e9lais de signalement, les algorithmes cryptographiques acceptables, ou les exigences documentaires.<\/p>\n\n\n\n

5 pr\u00e9dictions pour la mise en oeuvre du CRA entre 2026 et 2028<\/h2>\n\n\n\n

La phase de d\u00e9ploiement op\u00e9rationnel du CRA entre juin 2026 et d\u00e9cembre 2027 sera d\u00e9terminante pour la cr\u00e9dibilit\u00e9 du r\u00e8glement. Voici cinq tendances probables pour cette p\u00e9riode critique.<\/p>\n\n\n\n

1. Un d\u00e9lai de gr\u00e2ce informel pour les PME en 2026-2027.<\/strong> Les autorit\u00e9s nationales (ANFR en France, BSI en Allemagne) adopteront probablement une approche pragmatique dans les premiers mois, en privil\u00e9giant l’accompagnement sur la sanction pour les petits acteurs qui d\u00e9montrent une d\u00e9marche sinc\u00e8re de mise en conformit\u00e9. Les premi\u00e8res amendes substantielles cibleront les acteurs r\u00e9cidivistes ou ayant dissimul\u00e9 des incidents graves.<\/p>\n\n\n\n

2. Une consolidation acc\u00e9l\u00e9r\u00e9e du march\u00e9 IoT grand public.<\/strong> Les petits fabricants d’objets connect\u00e9s sans les ressources pour financer 5 ans de support s\u00e9curit\u00e9 feront face \u00e0 un choix entre acquisition par un acteur plus grand, abandon du march\u00e9 europ\u00e9en, ou partenariat avec des prestataires de s\u00e9curit\u00e9 manag\u00e9s. On peut anticiper une vague d’acquisitions dans le secteur IoT entre 2026 et 2028.<\/p>\n\n\n\n

3. Le SBOM comme standard industriel g\u00e9n\u00e9ralis\u00e9.<\/strong> L’obligation de documentation des composants logiciels va s’imposer comme une norme de facto dans les appels d’offres publics et priv\u00e9s, bien au-del\u00e0 des seules obligations CRA. Les outils SBOM automatis\u00e9s (Syft, SPDX, CycloneDX) et les plateformes de gestion de la s\u00e9curit\u00e9 des d\u00e9pendances conna\u00eetront une adoption massive en France et en Europe.<\/p>\n\n\n\n

4. Une pression croissante sur les acteurs non-UE.<\/strong> Les fabricants asiatiques et am\u00e9ricains souhaitant maintenir leur acc\u00e8s au march\u00e9 europ\u00e9en devront d\u00e9signer un repr\u00e9sentant autoris\u00e9 dans l’UE et se conformer aux exigences CRA, cr\u00e9ant un effet de r\u00e9gulation extraterritoriale similaire au RGPD. Certains acteurs extra-europ\u00e9ens pourraient choisir de se retirer du march\u00e9 UE plut\u00f4t que d’investir dans la conformit\u00e9.<\/p>\n\n\n\n

5. La convergence CRA et post-quantique d\u00e8s 2027.<\/strong> L’obligation CRA de maintenir les produits \u00e0 jour combin\u00e9e \u00e0 la politique ANSSI de certification post-quantique va cr\u00e9er une pression pour que les fabricants int\u00e8grent des algorithmes ML-KEM et ML-DSA dans leurs produits d’ici 2027-2028, bien avant que la menace quantique ne soit pleinement op\u00e9rationnelle. Cette double contrainte r\u00e9glementaire acc\u00e9l\u00e9rera la migration cryptographique dans tous les secteurs.<\/p>\n\n\n\n

Les sanctions : qui risque quoi et combien<\/h2>\n\n\n\n

Le r\u00e9gime de sanctions du CRA est gradu\u00e9 selon la gravit\u00e9 de la non-conformit\u00e9 et offre une visibilit\u00e9 importante sur le niveau de risque financier pour les entreprises.<\/p>\n\n\n\n

La sanction maximale de 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial<\/strong> s’applique aux violations les plus graves des exigences essentielles de cybers\u00e9curit\u00e9, notamment la mise sur le march\u00e9 de produits d\u00e9lib\u00e9r\u00e9ment non conformes ou la dissimulation d’incidents de s\u00e9curit\u00e9. Pour les violations moins critiques (manquements documentaires, non-conformit\u00e9 aux obligations de coop\u00e9ration), les amendes peuvent atteindre 10 millions d’euros ou 2 % du CA mondial<\/strong>. La fourniture d’informations incorrectes ou trompeuses aux autorit\u00e9s est sanctionn\u00e9e jusqu’\u00e0 5 millions d’euros ou 1 % du CA mondial<\/strong>.<\/p>\n\n\n\n

En France, l’ANFR<\/strong> sera l’autorit\u00e9 de surveillance du march\u00e9 pour le CRA, avec le pouvoir d’imposer le retrait du march\u00e9 d’un produit non conforme. Cette comp\u00e9tence fait suite \u00e0 l’exp\u00e9rience de l’ANFR dans la surveillance des \u00e9quipements radio\u00e9lectriques (directive RED), dont le CRA \u00e9tend la logique au domaine cyber. Les contr\u00f4les d\u00e9buteront officiellement en d\u00e9cembre 2027, mais l’ANFR peut intervenir avant cette date en cas d’incident grave signal\u00e9.<\/p>\n\n\n\n

Le pr\u00e9c\u00e9dent du RGPD est instructif : les premi\u00e8res ann\u00e9es d’application (2018-2020) ont vu peu de grandes amendes, mais une acc\u00e9l\u00e9ration significative \u00e0 partir de 2021. Pour le CRA, le m\u00eame sch\u00e9ma est probable : une p\u00e9riode d’accompagnement jusqu’en 2028, suivie de contr\u00f4les plus syst\u00e9matiques et de sanctions croissantes \u00e0 mesure que les autorit\u00e9s nationales d\u00e9veloppent leur expertise technique dans ce domaine.<\/p>\n\n\n\n

Couverture connexe<\/h2>\n\n\n\n

Pour approfondir les sujets li\u00e9s au Cyber Resilience Act et \u00e0 la r\u00e9glementation cybers\u00e9curit\u00e9 europ\u00e9enne :<\/p>\n\n\n\n