Barbara Milia (ANSSI) : « Le CRA vise un marché numérique européen plus sûr » 

Pouvez-vous rappeler ce qu’est le Cyber Resilience Act (CRA) ? 

Il s’agit d’un règlement, européen, qui encadre la mise sur le marché des produits comportant des éléments numériques. Le CRA fixe des obligations notamment en matière de notification des vulnérabilités, de sécurisation des produits et de gestion de ces vulnérabilités tout au long de leur cycle de vie. Il cible principalement trois catégories d’acteurs. Les fabricants sont les premiers concernés, puisqu’ils portent la responsabilité de la conformité des produits mis sur le marché. Mais les importateurs et les distributeurs n’échappent pas aux obligations. Cela inclut les acteurs extra-européens, qu’ils soient américains, chinois ou autre, dès lors que leurs équipements sont commercialisés en Europe. Concernant les produits, son périmètre est particulièrement large. Il couvre à la fois les appareils du quotidien, comme les smartphones, les ordinateurs ou encore les objets connectés domestiques, mais aussi des équipements plus sensibles du point de vue de la cybersécurité, comme les VPN, les routeurs, les pares-feux   ou encore certaines cartes à puce et modules matériels de sécurité. 

Quels sont les objectifs poursuivis par le CRA ? 

Le CRA vient compléter le cadre existant, notamment celui posé par la directive NIS2. Là où NIS2 se concentre sur les entités et les services, le CRA s’intéresse directement aux produits. Son objectif est de sécuriser le marché intérieur européen en garantissant un niveau minimal de cybersécurité pour l’ensemble des produits numériques. Cela concerne l’ensemble de la chaîne d’approvisionnement, dans un contexte où la menace est de plus en plus systémique. Il s’agit également d’un texte d’harmonisation. Le règlement vise à établir des exigences communes à l’échelle européenne pour d’éviter la fragmentation réglementaire et renforcer la cohérence du marché. 

Qu’en est-il des organismes d’évaluation de la conformité ? 

L’évaluation de la conformité repose sur deux volets. La majorité des produits, environ 80 %, relèvent d’une auto-évaluation. En revanche, les produits les plus critiques doivent être évalués par des organismes tiers, notifiés par l’ANSSI en France, dont les compétences auront été reconnues par l’autorité publique. Leur montée en puissance se fera progressivement, en cohérence avec le calendrier du règlement. Un appel à manifestation d’intérêt a déjà suscité des réponses d’une trentaine d’organismes, ce qui témoigne de l’intérêt de l’écosystème. Il convient également de rappeler que seuls les produits les plus sensibles nécessitent une évaluation par un tiers, ce qui limite la pression sur ces organismes. 

Des sanctions sont-elles prévues en cas de non-conformité ? 

Le règlement prévoit effectivement un régime de surveillance du marché assorti de sanctions. L’ANSSI intervient comme autorité notifiante, tandis que l’ANFR (agence nationale des fréquences) est en charge de la surveillance du marché et du respect des obligations par les acteurs économiques. Celles-ci peuvent atteindre des montants significatifs, allant jusqu’à 2,5 % du chiffre d’affaires mondial. Des mesures comme le retrait de produits peuvent également être prononcées. Ces sanctions concernent l’ensemble des acteurs visés par le texte, avec des modalités adaptées selon les situations. 

Où en est aujourd’hui la mise en œuvre du règlement ? 

Le règlement est déjà entré en vigueur, mais son application est progressive. Les premières étapes concernent la notification des organismes d’évaluation de la conformité, qui doit s’étaler entre juin et décembre 2026. À partir de septembre, les obligations de notification des vulnérabilités activement exploitées et des incidents graves entreront en vigueur, avec un signalement à effectuer sous 24 heures via une plateforme européenne opérée par l’ENISA. Mais l’échéance majeure est fixée au 11 décembre 2027, date à laquelle les exigences de conformité devront être pleinement respectées pour que les produits puissent être commercialisés sur le marché européen. 

Le marché est-il prêt à absorber ces nouvelles exigences ? 

Il est difficile d’apporter une réponse uniforme. Du point de vue de l’ANSSI, les acteurs spécialisés en cybersécurité connaissent bien le texte et ont déjà engagé des démarches de préparation. Pour d’autres segments du marché, la situation est moins lisible, notamment parce qu’ils relèvent d’écosystèmes différents. L’évaluation globale du niveau de préparation dépasse donc le seul périmètre d’observation de l’ANSSI. 

Comment les entreprises doivent-elles se préparer dès aujourd’hui ? 

La première étape consiste à cartographier les produits et à identifier leurs composants. Cela permet de mieux comprendre les obligations applicables. Il est également essentiel de mettre en place une gouvernance interne dédiée à la gestion des vulnérabilités, notamment pour assurer la notification des incidents graves et des vulnérabilités exploitées via les canaux prévus, comme la plateforme de l’ENISA. Plus largement, il est important de considérer le CRA non seulement comme une contrainte réglementaire, mais aussi comme une opportunité de compétitivité et de différenciation sur le marché européen. Ce n’est pas un label à proprement parler. En revanche, il introduit un marquage CE spécifique qui atteste du respect d’un certain niveau d’exigences en matière de cybersécurité. Cela contribue à instaurer un socle de confiance et à sécuriser le marché. 

Comment le CRA s’articule-t-il avec le Cybersecurity Act (CSA) ? 

Les deux règlements poursuivent un objectif commun d’élévation du niveau de cybersécurité en Europe, mais avec des approches complémentaires. Le CRA définit des exigences minimales obligatoires pour tous les produits numériques mis sur le marché. Le CSA, de son côté, établit un cadre de certification harmonisé pour les produits, les services et les processus. Il atteste donc d'un niveau élevé de robustesse, en fonction des besoins spécifiques des clients ou de certaines réglementations sectorielles. Dans certains cas, le CRA prévoit un mécanisme de présomption de conformité fondé sur les certifications issues du CSA, ce qui permet d’articuler les deux dispositifs et d’éviter une logique de concurrence. 

Quel message souhaitez-vous adresser aux acteurs concernés ? 

La préparation doit commencer dès maintenant. Des initiatives de sensibilisation ont déjà été lancées, notamment sous forme de campagnes ciblées. Des ressources sont disponibles sur le site de l’ANSSI, mais aussi du côté de la Commission européenne et de l’ENISA, qui publient des documents détaillés pour accompagner les acteurs. Des interventions et des ateliers sont également organisés pour sensibiliser les professionnels. Parmi les ressources utiles, les travaux de l’ENISA sur le “security by design” constituent un point d’entrée pertinent pour anticiper la conformité. Pour les entreprises, en particulier dans les secteurs technologiques, le CRA représente autant une contrainte qu’une opportunité. Au-delà de la conformité, il contribue à structurer un marché européen fondé sur un niveau de sécurité homogène, qui peut devenir un véritable avantage compétitif.