EU Cyber Resilience Act : ce que cela signifie pour la sécurité matérielle

Le Cyber Resilience Act, Règlement (UE) 2024/2847 [1], est la première législation horizontale de l'UE qui impose des exigences de cybersécurité obligatoires aux produits comportant des éléments numériques tout au long de leur cycle de vie. Il s'applique aux fabricants, importateurs et distributeurs qui mettent de tels produits sur le marché de l'Union, indépendamment de leur lieu d'établissement. Le champ d'application est délibérément large : tout produit doté de logiciels, de firmware ou de composants réseau, des contrôleurs industriels aux wearables grand public, relève du périmètre sauf exclusion explicite [2].

L'architecture juridique suit le schéma familier de la Radio Equipment Directive et du Règlement Machines : exigences essentielles à l'Annexe I, procédures d'évaluation de conformité, marquage CE et un régime de surveillance du marché soutenu par des sanctions pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé [3]. La nouveauté structurelle est l'ajout d'un régime obligatoire de gestion et de divulgation des vulnérabilités qui s'étend sur toute la période de support.

L'Annexe I, Partie I énumère les exigences de cybersécurité auxquelles chaque produit dans le périmètre doit satisfaire au moment de la mise sur le marché. Les obligations clés incluent : configuration secure-by-default, protection contre l'accès non autorisé par authentification et contrôle d'accès appropriés, protection de la confidentialité et de l'intégrité des données mémorisées et transmises, minimisation de la surface d'attaque, atténuation de l'impact des incidents par une conception résiliente, et fourniture de mécanismes de mise à jour de sécurité [1].

L'Annexe I, Partie II régit le processus de gestion des vulnérabilités tout au long de la période de support. Les fabricants doivent identifier et documenter les composants et les vulnérabilités de leurs produits via une software bill of materials, traiter les vulnérabilités sans retard au travers de mises à jour de sécurité gratuites, divulguer publiquement les informations sur les vulnérabilités résolues une fois le correctif disponible, et tenir une politique de coordinated vulnerability disclosure. Il s'agit d'obligations continues, et non de vérifications ponctuelles [1].

Pour les fournisseurs matériels, l'implication pratique est que l'infrastructure de mise à jour firmware, le toolchain SBOM et la politique CVD sont désormais des actifs réglementés, et non plus une simple hygiène d'ingénierie optionnelle. Un produit ne peut pas être mis sur le marché sans eux et l'évaluation de conformité les examinera.

L'Annexe III classe un sous-ensemble de produits comme importants (Classe I et Classe II) et l'Annexe IV identifie les produits critiques. La classification détermine la voie d'évaluation de conformité. Les produits par défaut peuvent s'auto-évaluer. Les produits importants de Classe I requièrent soit l'application d'une norme harmonisée, soit une évaluation par tierce partie. Les produits importants de Classe II requièrent une évaluation par tierce partie effectuée par un organisme notifié. Les produits critiques requièrent une certification européenne de cybersécurité sous le cadre institué par le Règlement (UE) 2019/881 [1][7].

Pour le domaine de la sécurité matérielle, les entrées pertinentes de Classe II incluent les dispositifs matériels avec security box, les lecteurs de cartes à puce avec fonctions de sécurité, les microprocesseurs avec fonctions security-related destinés aux entités essentielles au sens de la NIS2 [4], et les microcontrôleurs matériels avec fonctions security-related. Un dispositif tel qu'une clé matérielle post-quantique ou un endpoint souverain de communication sécurisée relève pleinement de ce régime. Le statut de produit critique, lorsqu'il est désigné par acte délégué de la Commission pour les root of trust matériels à plus haut risque, impose une certification UE de cybersécurité obligatoire au niveau d'assurance fixé dans l'acte délégué.

L'Article 14 introduit des obligations de reporting sur les incidents et les vulnérabilités plus strictes que la plupart des régimes existants. Les vulnérabilités activement exploitées doivent être notifiées à l'ENISA [5] et au CSIRT compétent dans les 24 heures suivant leur connaissance par un early warning, suivi d'une notification plus complète sous 72 heures et d'un rapport final sous 14 jours. Les incidents graves qui impactent la sécurité du produit doivent être signalés selon la même temporalité [1].

Opérationnellement, cela signifie que le fabricant doit disposer d'un pipeline interne de triage et de notification capable de produire un rapport structuré à un régulateur en quelques heures à partir d'un événement de sécurité. Pour un fournisseur de petite ou moyenne taille, il s'agit d'une exigence organisationnelle significative, et non d'un problème d'outillage. Le CRA prévoit explicitement que la conformité à cet article requière une fonction de security operations avec des rôles et des chemins d'escalade définis, du type de maturité typiquement formalisée sous ISO/IEC 27001 [8].

Le Règlement est entré en vigueur à la fin de 2024 [3]. Les obligations de reporting de l'Article 14 s'appliquent à partir du 11 septembre 2026. L'ensemble complet des obligations, y compris l'évaluation de conformité et le marquage CE, s'applique à partir du 11 décembre 2027. Il n'y a aucune période de grâce pour les produits mis sur le marché après cette date [1].

Pour un fournisseur matériel avec un cycle de développement de 12 à 24 mois, l'horizon pratique est maintenant. Un produit qui entre en série de développement en 2026 doit atteindre le marché avec une posture de sécurité CRA-compliant, un dossier d'évaluation de conformité et une infrastructure de gestion des vulnérabilités. Le retrofit n'est pas réaliste pour les exigences structurelles telles que le secure update, la couverture SBOM et les éléments architecturaux qui soutiennent l'opérabilité résiliente [6].

Pour les fournisseurs de produits de sécurité matérielle vendant dans l'UE, le CRA n'est pas un exercice documentaire. C'est un régime d'assurance réglementé avec implication d'organisme notifié pour toute fonction de sécurité non triviale, des obligations continues durant la période de support et des sanctions calibrées pour garantir que la conformité soit moins coûteuse que la non-conformité. Traitez-le comme vous traiteriez le Règlement sur les Dispositifs Médicaux ou la Radio Equipment Directive : un intrant structurel de conception, et non un audit de dernière minute.

Concrètement : identifier dès aujourd'hui la classification Annexe III de votre produit ; engager un organisme notifié pour les produits de Classe II au moins 12 mois avant l'entrée prévue sur le marché ; intégrer l'infrastructure SBOM et CVD dans votre processus d'ingénierie plutôt que de l'ajouter par la suite ; aligner le mécanisme de mise à jour firmware, le modèle de menace et les runbooks d'incident response sur l'Annexe I avant le tape-out, pas après.

Pour les acheteurs de produits de sécurité matérielle, le CRA est un puissant levier de procurement. À partir de décembre 2027, le marquage CE sur un produit dans le périmètre constitue une déclaration contraignante de conformité aux exigences essentielles de cybersécurité. Le dossier d'évaluation de conformité, la SBOM et la politique CVD sont des documents que vous êtes en droit d'exiger. La présence d'une posture réglementaire solide est désormais un facteur discriminant entre fournisseurs sérieux et les autres [1][2][3].