Cyber Resilience Act : le compte à rebours a commencé pour les produits connectés

· 4 min de lecture · SOVALYX Technologies

PARTAGER

Le Cyber Resilience Act (CRA) est le règlement européen qui impose des exigences de cybersécurité à tout produit comportant des éléments numériques mis sur le marché de l'Union — matériel comme logiciel. Sa première échéance concrète tombe le 11 septembre 2026 avec les obligations de signalement des vulnérabilités activement exploitées ; l'essentiel des obligations s'applique au 11 décembre 2027. Pour un fabricant ou un éditeur, la préparation commence maintenant.

Qui est concerné : bien plus que les objets connectés

Le champ du CRA est volontairement large : il couvre les produits comportant des éléments numériques, c'est-à-dire le matériel connecté (équipements réseau, capteurs, machines industrielles pilotables, électronique grand public) mais aussi les logiciels mis sur le marché européen — applications, systèmes embarqués, composants. La description officielle du texte est disponible sur le site de la Commission européenne.

Trois points élargissent le cercle des organisations concernées :

Deux dates à retenir

Le calendrier d'application est progressif, avec deux jalons structurants :

L'ordre de ces échéances est un message en soi : le législateur commence par la capacité à détecter et signaler qu'un produit est attaqué, avant même d'exiger la conformité complète. Précision utile : cet article est une synthèse d'information, pas un conseil juridique — le périmètre exact de vos obligations se vérifie avec vos conseils.

L'article 14 : ce que « signaler » exige en pratique

Signaler une vulnérabilité activement exploitée suppose une chaîne complète qui, dans beaucoup d'organisations, n'existe pas encore :

Quoi préparer dès 2026

Les fondations demandées par le CRA sont les mêmes que celles d'une hygiène produit sérieuse — autant les construire une fois, correctement :

Checklist CRA : où en êtes-vous ?

Si l'échéance de l'article 14 semble lointaine, rappelez-vous qu'elle exige des capacités opérationnelles, pas des documents : un canal de signalement, une télémétrie, une astreinte. Ces briques se construisent en mois. Un diagnostic de votre chaîne produit permet de séquencer le chantier avant que le calendrier ne le fasse à votre place.

Comment SOVALYX peut vous aider

SOVALYX aide les éditeurs et fabricants à mettre en place les fondations que le CRA exige : processus de gestion des vulnérabilités, génération et suivi de SBOM, canal de signalement outillé et supervision 24/7 sous SLA pour détecter et qualifier une exploitation active. Ces briques se construisent en quelques mois — pas dans l'urgence d'une notification obligatoire.

Parler conformité avec un ingénieur

🧰 L'outil qui va avec : Êtes-vous prêt pour l'AI Act ? — gratuit · 2 minutes.

Relu et optimisé par IA.