Appelez-nous Contactez-nous SAV

Qu'est-ce que le Cyber Resilience Act (CRA) ?

Le Cyber Resilience Act (CRA) est un règlement européen qui impose de nouvelles exigences de cybersécurité aux produits comportant des éléments numériques, qu’il s’agisse de matériels ou de logiciels.
Découvrir le CRA

Le CRA concerne directement les entreprises qui sélectionnent, intègrent ou déploient des équipements informatiques et réseaux industriels. Le CRA renforce notamment les exigences liées à la sécurité dès la conception, à la gestion des vulnérabilités, à la durée de support, à la documentation technique et au suivi des produits tout au long de leur cycle de vie.

Même s’il s’applique en priorité aux produits mis à disposition sur le marché européen, son impact sera plus large. Il influencera progressivement le choix des équipements, les attentes envers les fournisseurs et les pratiques de documentation.

Découvrez ci-dessous ce que prévoit le CRA, ses enjeux pour les environnements industriels et son influence sur vos futurs choix de produits.

Entrée en vigueur

10 Décembre 2024

La régulation est déjà active au niveau de l'Europe

Obligation de divulgation

11 Septembre 2026

L'obligation de signaler les vulnérabilités et incidents grave rentre en vigueur

Toutes les obligations

11 Décembre 2027

Application complète de l'ensemble des règles de la CRA

Le CRA en bref

Le Cyber Resilience Act vise à renforcer la cybersécurité des produits comportant des éléments numériques commercialisés dans l’Union européenne.

Concrètement, il impose aux fabricants d’intégrer la cybersécurité dès la conception du produit et de la prendre en compte pendant tout son cycle de vie. Elle ne doit plus être considérée comme une option ajoutée après coup.

Ces exigences sont directement liées à l’évaluation de conformité, à la documentation technique et au marquage CE nécessaires avant la mise sur le marché des produits concernés.

Le CRA s’applique notamment aux équipements connectés, aux systèmes embarqués, aux passerelles de communication, aux PC industriels, aux Panel PC, aux routeurs, aux switches et aux plateformes Edge intégrant des fonctions logicielles.

Pour les entreprises qui sélectionnent et achètent ces équipements, cela devrait se traduire par des informations de sécurité plus claires, des durées de support définies et une meilleure prise en charge des vulnérabilités par les fabricants.

Le CRA, un prérequis au marquage CE pour les produits numériques.

Quels produits sont concernés ?

Le Cyber Resilience Act s’applique à la plupart des produits matériels et logiciels comportant des éléments numériques commercialisés dans l’Union européenne. Il concerne les produits dont l’usage prévu, ou raisonnablement prévisible, implique une connexion directe ou indirecte à un appareil ou à un réseau, qu’elle soit logique ou physique.

PC industriels, ordinateurs embarqués, Panel PC, systèmes Edge, serveurs industriels, systèmes monocartes et plateformes de contrôle intégrant des fonctions logicielles.

Switches Ethernet industriels, routeurs, passerelles, routeurs cellulaires, solutions d’accès à distance et matériels de communication connectés.

Logiciels de supervision, plateformes SCADA, applications de contrôle-commande, logiciels de gestion d’équipements, solutions de maintenance à distance, outils de configuration, systèmes de gestion de données industrielles et plateformes Edge ou IoT.

Quels produits sont concernés ?

Que faut-il retenir pour votre activité ?

Les obligations à anticiper dépendent de votre rôle dans la chaîne de valeur : choix des produits, intégration, développement, commercialisation sous votre propre marque ou mise sur le marché européen.

Dans tous les cas, la cybersécurité, la durée de support, la documentation technique et la gestion des vulnérabilités prennent une place croissante dans le choix des équipements et la préparation des projets.

Votre entreprise peut notamment être amenée à :

  • identifier les produits et projets nécessitant une analyse des risques de cybersécurité ;
  • intégrer les principes de sécurité dès la conception (Security by design) et de sécurité par défaut ;
  • fournir des informations de sécurité et des instructions d’utilisation claires ;
  • préciser la durée de support du produit et sa date de fin ;
  • organiser la gestion des vulnérabilités et le déploiement des mises à jour de sécurité ;
  • préparer la documentation technique et les éléments de preuve de conformité ;
  • mettre en place des procédures internes de signalement des incidents et des vulnérabilités.

Comment nous vous accompagnons

Se préparer aux exigences du Cyber Resilience Act implique d’évaluer attentivement le niveau de sécurité des solutions que vous sélectionnez, intégrez et déployez. Integral System vous accompagne dans le choix de solutions informatiques et réseaux disposant de bases de sécurité solides dès leur conception. L’objectif est de faciliter leur intégration dans vos projets et de mieux anticiper les futures exigences de conformité.

Choisir le bon matériel informatique

Dans le cadre du Cyber Resilience Act, le choix du matériel informatique et de son fabricant devient essentiel. Les fonctions de sécurité intégrées au produit, la durée de support, la disponibilité des mises à jour et la capacité du fabricant à traiter les vulnérabilités auront un impact direct sur la conformité et la pérennité des projets.

Cette vigilance concerne l’ensemble des acteurs de la chaîne de valeur : intégrateurs, OEM, constructeurs de machines, éditeurs de solutions, bureaux d’études, exploitants de sites industriels ou entreprises déployant des équipements connectés.

Un équipement performant sur le plan technique ne suffit plus. Il est également nécessaire de vérifier la politique de cybersécurité du fabricant, ses engagements en matière de support, ses procédures de gestion des vulnérabilités et la documentation qu’il sera capable de fournir.

C’est pourquoi Integral System s’appuie sur des partenaires industriels reconnus, déjà engagés depuis plusieurs mois dans leur préparation au CRA. Ces fabricants travaillent notamment sur la sécurisation de leurs produits, l’évolution de leurs processus de développement, la gestion des mises à jour, la documentation de conformité et le suivi des vulnérabilités tout au long du cycle de vie.

Rapport niveau de préparation CRA

Votre produit CRA ready

Soumettez gratuitement une image Linux à l'analyse d'Exein Analyzer. À partir du rapport de synthèse généré, nos experts en cybersécurité décrypteront les résultats à vos côtés. 

Integral System accompagne ses clients dans la sélection de PC industriels, Panel PC, systèmes embarqués, serveurs, passerelles, routeurs, switches et plateformes Edge adaptés à leurs contraintes techniques, industrielles et réglementaires.

Notre rôle est de vous aider à :

  • sélectionner des fabricants disposant d’une démarche de cybersécurité structurée
  • identifier les fonctions de sécurité nécessaires à votre projet
  • anticiper les durées de support et les conditions de mise à jour
  • obtenir les informations techniques et de sécurité disponibles
  • limiter les risques liés à l’intégration de produits insuffisamment préparés
  • construire des architectures plus durables et plus faciles à maintenir

Choisir dès aujourd’hui les bons équipements et les bons partenaires permet de réduire les adaptations futures et de mieux préparer vos projets aux exigences du CRA.

Votre demande de devis

Votre demande de devis ne contient aucun produit.