Règlement CRA

Qu’est-ce que le règlement CRA ?

Le règlement CRA (Cyber Resilience Act), adopté en octobre 2024, représente un tournant fondamental pour la cybersécurité en Europe. Son objectif principal est d’uniformiser les exigences essentielles de cybersécurité pour les produits comportant des éléments numériques (= les objets connectés au sens large).

Au travers de cet objectif, le règlement cherche à créer les conditions nécessaires au développement de produits sécurisés mais aussi pendant sa durée de vie afin de permettre aux utilisateurs de tenir compte des enjeux liés à la cybersécurité lorsqu’ils utilisent de tels produits.

Qui est concerné par le règlement CRA ?

Le règlement CRA pose des obligations à la charge des opérateurs économiques (fabricants, importateurs et distributeurs) de produits (logiciels ou matériels) disposant de solutions de traitement de données à distance.

Cela jouera pour tous les produits comportant des éléments numériques à l’exception des dispositifs médicaux, des voitures connectées, des produits certifiés pour l’aviation civile et des équipements marins.

Plus simplement, le CRA a vocation à s’appliquer aux objets connectés au sens large :

Aux matériels disposant d’un système d’exploitation
Aux smartphones
Aux serveurs
Aux jouets connectés
Aux télévisions connectées
Etc.

Le règlement CRA a même vocation à s’appliquer aux produits basés sur des logiciels libres.

Suis-je concerné par le CRA ?

Échanger avec un spécialiste

Quelles sont les exigences du règlement CRA ?

Les fabricants doivent se conformer à un ensemble d’exigences strictes en matière de cybersécurité couvrant les points clés suivants :

Exigences spécifiques aux propriétés des produits

01

Gestion des risques

Réaliser une analyse des risques de cybersécurité complète et approfondie fondée sur l’utilisation prévue, prévisible ainsi que sur les conditions d’utilisation du produit
Tenir compte de cette analyse de risques lors de la conception, du développement et de la fabrication
Garantir un suivi des risques pendant une durée d’au moins 5 ans à compter de la mise sur le marché
Surveiller et tester régulièrement les systèmes et les mesures de sécurité mises en place

Faire réaliser un Test d’intrusion (certifié PASSI)

02

Sécurité du produit

Mettre à disposition un produit sur le marché sans vulnérabilité exploitable connue
Mettre à disposition un produit avec une configuration de sécurité par défaut
Concevoir un produit pour lequel des mises à jour de sécurité sont possibles
Assurer la protection contre les accès non autorisés par des mécanismes de contrôle appropriés
Concevoir, développer et fabriquer le produit en limitant les surfaces d’attaques qu’elles soient internes ou externes

Auditer en continu mes applications (HTTPCS)

03

Protection des données

Protéger la confidentialité des données stockées, transmises ou traitées
Protéger l’intégrité des données stockées, transmises ou traitées des commandes, des programmes et de la configuration contre tout manipulation ou modification non autorisée
Ne traiter que les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du produit

Accompagnement gestion data et RGPD

04

Gestion des incidents

Protéger la disponibilité des fonctions essentielles et de bases par des mesures de résilience et d’atténuations face aux attaques par déni de service
Concevoir, développer et fabriquer le produit de manière à réduire les répercussions d’un incident

05

Autres exigences

Réduire au maximum les répercussions générées par le produit sur la disponibilité des services fournis par d’autres dispositifs ou réseaux
Enregistrer et surveiller les activités internes
Donner la possibilité de supprimer ou de transférer les données et paramètres en toute sécurité

Exigences spécifiques à la gestion des vulnérabilités

Recenser et documenter les vulnérabilités et les composants des produits
Gérer et corriger sans retard les vulnérabilités par des mises à jour de sécurité
Soumettre les produits à des tests de sécurité réguliers
Communiquer sur les vulnérabilités corrigées par les mises à jour de sécurité
Mettre en place une politique de divulgation coordonnée des vulnérabilités
Prendre des mesures de partage d’informations sur les vulnérabilités potentielles du produit
Mettre en place des mécanismes de distribution sécurisée des mises à jour
Diffuser sans retard les correctifs et les mises à jour de sécurité

Auditer en continu mes applications (HTTPCS)

Exigences spécifiques aux importateurs et aux distributeurs

Les importateurs et distributeurs doivent s’assurer que le fabricant respecte les obligations à la charge du fabricant.

Ils sont considérés comme des fabricants lorsqu’ils mettent le produit sur le marche sous leur nom ou leur marque propre ou s’ils apportent des modifications substantielles aux produits.

Quelles sont les sanctions en cas de non-respect du règlement CRA ?

Le règlement CRA instaure un régime de sanctions renforcées pour dissuader les acteurs économiques de ne pas se conformer à ses exigences.

Les sanctions consistent en des amendes administratives dans 3 cas de figures :

Pour les fabricants

Les États membres ont la possibilité d'infliger des amendes administratives pouvant aller jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu

Pour les importateurs et distributeurs

Les États membres ont la possibilité d'infliger des amendes administratives pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu

Pour la transmission d’informations inexactes ou trompeuses aux autorités

Les États membres ont la possibilité d'infliger des amendes administratives pouvant aller jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu

Détails sur les sanctions

L'objectif des sanctions est de dissuader les manquements au règlement CRA et d'inciter les acteurs économiques à investir dans la cybersécurité pour protéger efficacement leurs produits connectés et les données de leurs clients.

Il est important de noter que les modalités précises de mise en œuvre des sanctions peuvent varier d'un État membre à l'autre. Les acteurs économiques concernées doivent donc se référer à la législation nationale.

En plus des sanctions réglementaires, les acteurs économiques non conformes au règlement CRA peuvent également s'exposer à des risques importants pour leur réputation et leurs activités en cas de vulnérabilité majeure. La perte de confiance des clients et les dommages à l'image de marque peuvent avoir des conséquences financières considérables.

Comment se préparer au règlement CRA ?

L'entrée en application du règlement CRA est prévue pour décembre 2027. De nombreuses entreprises devront donc se mettre en conformité en renforçant leurs mesures de cybersécurité.

Le règlement CRA représente une avancée majeure pour la cybersécurité en Europe et devrait contribuer à mieux protéger les infrastructures et les services essentiels des cyberattaques.

Voici un guide pratique pour vous aider à vous préparer le règlement CRA :

Évaluer votre situation

Identifier si votre organisation relève du champ d'application du règlement CRA

Le règlement vise les opérateurs économiques qui fabriquent, importent ou distribuent des objets connectés.

Réaliser une analyse approfondie de vos risques cybersécurité

Identifiez vos actifs critiques, les menaces potentielles auxquelles ils sont exposés et les vulnérabilités existantes.
Cette analyse vous permettra de définir les priorités en matière de mise en œuvre des mesures de sécurité.

Faire réaliser mon analyse de risque par les experts ZIWIT

Mettre en place les mesures de sécurité nécessaires

Appliquer les exigences de base du règlement CRA

Cela comprend la mise en place de mesures de gestion des risques, de sécurité, de protection des données et de gestions des incidents que ce soit pour vos produits mais aussi, pour votre structure
Vous pouvez vous référer aux annexes du règlements et aux guides pratiques publiés par les autorités compétentes pour obtenir des orientations détaillées

Renforcer vos mesures de sécurité existantes

Évaluez si vos pratiques actuelles sont conformes aux exigences du règlement CRA
Mettez à jour vos politiques, procédures et technologies de sécurité si nécessaire

Adopter une approche proactive de la gestion des risques

Mettez en place des mécanismes de surveillance et de détection continue pour identifier les cybermenaces et les intrusions potentielles en temps réel.
Implémentez des mesures de protection préventives telles que le contrôle d'accès strict, ou encore la mise à jour régulière des produits.

Renforcer vos capacités de gestion des incidents et des vulnérabilités

Élaborer un plan de réponse aux incidents documenté

Ce plan doit définir les rôles, les responsabilités et les procédures à suivre en cas de cyberattaque.
Il doit également inclure des plans de communication et de restauration des systèmes.

Tester vos vulnérabilités

Réaliser des tests de sécurité réguliers ( audits de configuration ou tests d’intrusion ) pour améliorer en continu votre sécurité

Rechercher des conseils et un soutien expert

N'hésitez pas à solliciter l'aide de consultants et d'experts en cybersécurité

Ces professionnels peuvent vous aider à évaluer vos risques, à mettre en œuvre les mesures de sécurité nécessaires et à se préparer aux audits de conformité.

Restez informés des évolutions réglementaires et des nouvelles cybermenaces

Abonnez-vous aux communications des autorités compétentes et participez aux webinaires et aux formations proposés sur le règlement CRA.

Me faire accompagner par les experts ZIWIT pour ma mise en conformité

Un besoin d’un audit cybersécurité ?

Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.

Votre satisfaction et votre sécurité sont nos priorités.

Contactez-nous !

+33 1 85 09 15 09