Les impacts du Cyber Resilience Act (CRA) pour les entreprises

L’Union européenne place la cybersécurité au coeur de ses priorités. Le CRA entend ainsi remédier aux failles de sécurité de nombreux produits numériques, qui ne bénéficient en outre pas de mises à jour régulières pour y remédier. Mais ce règlement CRA a des impacts majeurs sur les développeurs, les DSI et les fabricants…

Par François-Pierre Lani, avocat associé du cabinet Derriennic

Entré en vigueur le 10 décembre 2024, le Règlement n° 2024/2847 verra ses principales obligations appliquées à compter du 11 décembre 2027.
Le CRA vise à protéger consommateurs et entreprises qui achètent des produits comportant des éléments numériques : les produits, qu’ils soient logiciels ou matériels, les solutions de traitement de données et les composants commercialisés séparément, dès lors qu’ils sont vendus sur le marché unique européen.

À titre d’exemple, il peut s’agir d’un serveur informatique, d’un gestionnaire de mots de passe, de jouets connectés, de serrures intelligentes, de systèmes de surveillances / d’alarme, de baby-moniteurs, ainsi que de montres intelligentes.

Les fabricants de produits numériques seront les plus impactés

Le Règlement impose à tous les acteurs de la chaîne d’approvisionnement – fabricant, importateur et distributeur – des nouvelles obligations, qui varient selon leurs rôles et responsabilités dans la mise sur le marché des produits.

La plupart de ces obligations visent le fabricant, qui doit désormais intégrer la cybersécurité dès la conception des produits (Security by design) et s’assurer, via une évaluation de conformité effectuée de manière autonome ou réalisée par un tiers, que son produit respecte les exigences du CRA. Une fois la validation obtenue, le fabricant devra produire une déclaration UE et pourra apposer le marquage CE, matérialisant la conformité du produit. Ce marquage constitue donc un précieux indicateur de la mise en conformité du fabricant pour les entreprises qui achètent des produits comportant des éléments numériques.

Les développeurs aussi, y compris en open source

Le CRA impose également de nouvelles obligations pour les développeurs de logiciels, en particulier pour les logiciels libres et ouverts, c’est-à-dire dont le code source est partagé publiquement et dont les droits de propriété intellectuelle permettent un accès, une réutilisation / modification de ce dernier. Les développeurs de logiciels libres et ouverts, qualifiés de fabricants au sens du Règlement, sont assujettis aux différentes obligations, et notamment la réalisation de procédure(s) de contrôle sur ces logiciels (signalement des incidents, notification d’une vulnérabilité activement exploitée) et de la documentation technique destinée au public. Ce qu’ils font d’ailleurs déjà au sein de la communauté.

L’importateur et le distributeur, bien que moins concernés, ne sont pas en reste. En effet, l’importateur doit s’assurer que le fabricant a respecté ses obligations de mise en conformité au CRA, et c’est ensuite au distributeur, avant de mettre le produit sur le marché, de vérifier que l’importateur et le fabricant ont bien rempli leurs obligations Cette chaîne de responsabilités soulève des interrogations quant à l’attribution précise du manquement à la conformité du CRA, notamment dans le cas où ce manquement serait découvert postérieurement à la mise sur le marché du produit.

Pour les DSI, intégrer le CRA dans une stratégie globale de cybersécurité

Si le CRA cible directement les fabricants, importateurs et distributeurs, ses effets se répercutent aussi sur les DSI des entreprises clientes, qui achètent ces produits comportant des éléments numériques. Elles peuvent désormais s’assurer plus aisément de la mise en conformité de ces produits aux exigences de cybersécurité européennes et obtenir la documentation technique afférente. Mais cela implique aussi un renforcement de la vigilance dans les appels d’offres, les cahiers des charges techniques ou encore dans les contrats, notamment dans les contrats d’achat, afin d’exiger les preuves concrètes de ces mises en conformité, avec des clauses spécifiques, ainsi que la fourniture de la documentation requise et exigée par le CRA. En effet, si le marquage CE est un premier indicateur de cette mise en conformité, il ne suffit pas !
Car outre la vérification de la conformité aux exigences de cybersécurité, le CRA oblige le fabricant à notifier toute vulnérabilité activement exploitée, selon un processus spécifique détaillé dans le Règlement. Là aussi, la gestion des notifications de vulnérabilités devra être formalisée dans une clause contractuelle spécifique…

Face à la prolifération des textes – RGPD, NIS II, RIA, DORA, REC, DATA ACT, CRA, et bien d’autres à venir – les entreprises se retrouvent au cœur d’un véritable dédale réglementaire. Il justifie la mise en place d’un plan d’action pluridisciplinaire, associant juristes, techniciens et responsables de la conformité, afin d’intégrer pleinement la dynamique européenne de cyber résilience dans la politique de l’entreprise. 

À LIRE AUSSI :

Dev

Le Cyber Resilience Act met en danger l’open source

Laurent Delattre

19 Avr

À LIRE AUSSI :

Secu

L’Europe veut réglementer la cybersécurité des produits avec un Cyber Resilience Act

Laurent Delattre

24 Oct

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !