ARC
ARC

Loi sur la cyber-résilience

Le marquage CE pour les logiciels — car les grille-pain connectés ne devraient pas pouvoir être piratés

La loi sur la cyber-résilience (CRA) instaure des exigences obligatoires en matière de cybersécurité pour les produits comportant des éléments numériques, qu'il s'agisse d'appareils domestiques intelligents ou de logiciels d'entreprise. Pour la première fois, l'UE exige que les produits numériques soient conçus de manière sécurisée, maintenus tout au long de leur cycle de vie et accompagnés d'une nomenclature logicielle (SBOM). On peut y voir l'équivalent du marquage CE pour les logiciels : si un produit se connecte à un réseau, il doit être sécurisé.

Champ d'application

Tous les produits comportant des éléments numériques mis sur le marché de l'UE — matériel et logiciels pouvant se connecter à un appareil ou à un réseau, directement ou indirectement. Cela inclut les appareils IoT, les systèmes d'exploitation, les applications mobiles, les micrologiciels, et même des composants tels que les bibliothèques et les SDK.

Couverture géographique

Réglementation européenne ayant un effet direct. Elle s'applique à tout produit mis sur le marché de l'UE, quel que soit le lieu d'établissement du fabricant.

En vigueur depuis

10 décembre 2024 (obligations de déclaration à partir de septembre 2026, application intégrale à partir de décembre 2027)

Objectif

Afin de garantir que les produits comportant des éléments numériques soient mis sur le marché de l'UE avec moins de vulnérabilités et que les fabricants prennent la sécurité au sérieux tout au long du cycle de vie du produit. Car commercialiser un appareil connecté avec le mot de passe par défaut « admin » ne devrait pas constituer un modèle économique.

Accéder à votre rôle:

Fabricant

Vous développez ou avez développé un produit comportant des éléments numériques et vous le commercialisez sous votre propre nom ou votre propre marque. Que vous ayez écrit chaque ligne de code vous-même ou que vous ayez sous-traité le développement, si votre nom figure sur le produit, vous en êtes le fabricant. Cela concerne aussi bien les fabricants de matériel (appareils IoT, routeurs) que les éditeurs de logiciels.

Vos obligations

  • Concevoir des produits en intégrant la sécurité dès le départ — aucune vulnérabilité exploitable connue au moment de la mise sur le marché (art. 13)
  • Réaliser une évaluation des risques liés à la cybersécurité et la consigner dans la documentation technique (art. 13.2)
  • Fournir une liste des composants logiciels (SBOM) indiquant au minimum les dépendances de premier niveau (art. 13.5, annexe I.2)
  • Gérer efficacement les vulnérabilités tout au long de la durée de vie prévue du produit (minimum 5 ans) (art. 13.6)
  • Signaler à l'ENISA, dans un délai de 24 heures, les vulnérabilités faisant l'objet d'une exploitation active (art. 14)
  • S'assurer que le produit a fait l'objet d'une évaluation de la conformité et porte le marquage CE avant de le mettre sur le marché (articles 24 à 28)
  • Fournir des mises à jour de sécurité pendant toute la durée de prise en charge du produit — gratuitement (annexe I, partie II)
  • Informer les utilisateurs des caractéristiques de sécurité et leur fournir des instructions pour une utilisation en toute sécurité (annexe I, partie II)

Articles phares

Art. 13 — Obligations du fabricantArt. 14 — Signalement des vulnérabilitésArt. 24 — Évaluation de la conformitéAnnexe I — Exigences essentiellesAnnexe III — Produits essentiels
Conseil de pro

Commencez dès maintenant à mettre en place votre SBOM. Même un simple inventaire des dépendances réalisé à l'aide d'outils standard (CycloneDX, SPDX) vaut mieux que de se retrouver débordé en 2027. Et tant que vous y êtes, passez en revue vos configurations par défaut : « sécurisé par défaut » signifie que l'utilisateur ne devrait pas avoir besoin d'un doctorat pour être en sécurité.

Importateur

Vous commercialisez sur le marché de l'UE des produits provenant de fabricants non européens. C'est à vous qu'il incombe de veiller au respect des règles : si le fabricant ne satisfait pas aux exigences de la CRA, le produit ne doit pas franchir la frontière avec votre nom figurant sur les documents d'importation.

Vos obligations

  • Ne mettre sur le marché que des produits qui satisfont aux exigences essentielles en matière de cybersécurité (art. 15.1)
  • Vérifier que le fabricant a procédé à l'évaluation de la conformité (art. 15.2)
  • S'assurer que le produit porte le marquage CE et qu'il est accompagné de la documentation requise (art. 15.3)
  • S'assurer que le fabricant a mis en place une procédure de gestion des vulnérabilités (art. 15.4)
  • Conservez une copie de la déclaration de conformité UE pendant 10 ans (art. 15.7)
  • Informer le fabricant et l'autorité de surveillance du marché de tout problème de conformité (art. 15, paragraphe 5)

Articles phares

Art. 15 — Obligations de l'importateurArt. 24 — Évaluation de la conformitéArt. 28 — Marquage CE
Conseil de pro

Élaborez un questionnaire de qualification des fournisseurs qui couvre les éléments essentiels en matière de gestion des composants électroniques (CRA) : statut de l'évaluation de la conformité, disponibilité de la liste des composants (SBOM), processus de gestion des vulnérabilités et durée prévue du support. Mieux vaut rejeter un produit non conforme dès le départ que de devoir le rappeler par la suite.

Distributeur

Vous commercialisez des produits comportant des éléments numériques sans en être le fabricant ni l'importateur. Vous faites partie de la chaîne d'approvisionnement : vous êtes revendeur, plateforme de vente en ligne ou partenaire de distribution. L'ARC attend de vous que vous fassiez preuve d'une diligence raisonnable avant de mettre un produit en vente (qu'il soit physique ou numérique).

Vos obligations

  • Vérifiez que le produit porte le marquage CE et est accompagné de la documentation requise (art. 16.1)
  • Ne mettez pas à disposition un produit dont vous savez ou devriez savoir qu'il n'est pas conforme (art. 16.2)
  • Veiller à ce que le stockage et le transport ne compromettent pas la conformité du produit (art. 16.3)
  • Informer le fabricant et l'autorité de surveillance du marché de tout problème de conformité (art. 16, paragraphe 4)
  • Coopérer avec les autorités de surveillance du marché lorsqu'elles en font la demande (art. 16, paragraphe 5)

Articles phares

Art. 16 — Obligations du distributeurArt. 28 — Marquage CE
Conseil de pro

Si vous gérez une plateforme de vente de logiciels, intégrez des contrôles de conformité dans votre processus de mise en ligne. Un simple filtre du type « Ce produit est-il accompagné de la documentation de l'ARC ? » permet à tout le monde de gagner du temps.

Comment Euregas peut vous aider

Outils disponibles

  • Registre des produits — répertorier les produits du catalogue comportant des éléments numériques, suivre leur statut de conformité
  • Gestion des SBOM — téléchargement, analyse et suivi des nomenclatures logicielles
  • Suivi des vulnérabilités — surveiller et gérer les vulnérabilités signalées par produit
  • Évaluation de la conformité — note automatisée de l'état de préparation à la conformité, basée sur les exigences de la CRA

Fonctionnalités assistées par l'IA

  • Recherche sémantique dans les articles et les annexes de la CRA
  • Étapes préremplies par l'IA pour les dossiers de conformité liés à l'ACR
Remarque

Le module CRA en est encore à ses débuts. Les outils de base sont disponibles pour le catalogage des produits et la gestion des SBOM. L'intégration de l'IA (par exemple, l'analyse automatisée des vulnérabilités, l'évaluation des risques liés aux dépendances des SBOM) est prévue pour les prochaines versions.

Tous les exemples sont fictifs et ne servent qu'à des fins d'illustration.