Cyber Resilience Act (CRA) – Cybersécurité des produits connectés

À partir de décembre 2027, des exigences obligatoires en matière de cybersécurité s’appliqueront dans toute l’UE aux « produits connectés avec des éléments numériques », y compris les serrures connectées. Ces nouvelles réglementations visent à garantir la cybersécurité tout au long du cycle de vie des produits, à promouvoir l’adoption de technologies sécurisées, à protéger les consommateurs et à renforcer la confiance dans les produits numériques. En sécurisant nos solutions, nous aidons nos clients à se conformer à ces exigences réglementaires.

L’Union européenne introduit le Cyber Resilience Act (CRA), la première réglementation visant à établir des normes uniformes de cybersécurité pour les produits numériques dans l’ensemble de l’UE. Son objectif est d’assurer un niveau minimum de protection homogène sur tout le marché unique. Presque tous les produits dotés d’une interface numérique seront concernés, des serrures haute sécurité connectées aux serrures pouvant être configurées numériquement via un PC. Dans le cadre du CRA, les fabricants devront mettre en œuvre des pratiques de conception sécurisée, gérer les vulnérabilités et fournir des mises à jour de sécurité en temps voulu. Les importateurs et distributeurs partageront également la responsabilité de la conformité. Le CRA étend le champ d’application du marquage CE, qui se concentrait traditionnellement sur la sécurité fonctionnelle, pour inclure des exigences obligatoires en matière de cybersécurité. À l’avenir, les produits seront évalués non seulement pour les risques mécaniques ou électriques, mais aussi pour leur résistance aux cyberattaques.

Que signifie le CRA en pratique ?

Le Cyber Resilience Act exige des fabricants qu’ils garantissent un niveau minimum de cybersécurité pour tous les produits connectés avec des éléments numériques. La conformité doit être clairement documentée et démontrable. Concrètement, cela signifie :

Sécurité dès la conception

Les produits connectés doivent être conçus pour être cybersécurisés dès le départ, par exemple via des mises à jour de firmware chiffrées.

Sécurité par défaut

Des paramètres de sécurité par défaut, tels que les mises à jour automatiques ou l’absence de mots de passe par défaut, sont obligatoires.

Déclaration de conformité

Les fabricants doivent démontrer que leur produit satisfait à toutes les exigences du CRA, soit via des normes harmonisées, soit via des procédures internes équivalentes et auditables.

Gestion des vulnérabilités

Les vulnérabilités identifiées doivent être signalées, documentées et corrigées tout au long du cycle de vie du produit.

Software Bill of Materials (SBOM)

Une SBOM, ou « liste des composants logiciels », doit être créée dès la phase de développement. Sa publication n’est pas requise.

Mises à jour de sécurité

Des mises à jour de sécurité doivent être fournies pendant toute la durée de support du produit.

Qui est concerné ?

Les exigences du Cyber Resilience Act s’appliquent à un large éventail d’acteurs tout au long du cycle de vie des produits numériques. En particulier, les groupes suivants devront s’adapter aux nouvelles règles de cybersécurité :

Fabricants, distributeurs et revendeurs de produits numériques

Entreprises développant en interne des composants numériques

Exploitants d’infrastructures critiques dépendant de produits connectés numériquement

Que faut-il faire et pour quand ?

Le règlement est entré en vigueur en décembre 2024 et doit être pleinement appliqué au 11 décembre 2027. Les produits nouvellement commercialisés doivent respecter toutes les exigences à cette date.

Compte tenu de la complexité des exigences, une action précoce est essentielle. Les entreprises opérant dans les infrastructures critiques et les secteurs industriels devraient dès maintenant aligner leur stratégie produit, leur architecture de sécurité et leurs processus de maintenance sur le Cyber Resilience Act afin d’éviter des coûts de rétrofit ultérieurs, des retards de livraison et des risques réglementaires.

Calendrier du Cyber Resilience Act

11 décembre 2024

Entrée en vigueur du CRA

11 juin 2026

Les organismes notifiés (KBS) peuvent évaluer la conformité aux exigences du CRA

11 septembre 2026

Début de l’obligation de signaler les vulnérabilités et incidents

11 décembre 2027

Application complète des exigences du CRA aux produits

Notre expertise

Architecture de dispositifs sécurisés

Architectures de serrures conformes au CRA avec firmware sécurisé.

Journalisation

Documentation centralisée de toutes les modifications de configuration et des accès

Surveillance des CVE

Soutien à la gestion des vulnérabilités grâce à une surveillance systématique des CVE.

Les produits INSYS locks offrent une architecture techniquement robuste pour les serrures numériques et les systèmes de gestion des accès. Des fonctionnalités telles que la communication chiffrée, la journalisation complète des accès et la gestion traçable des permissions garantissent l’auditabilité, la sécurité opérationnelle et la conformité réglementaire sur le marché unique européen.