Partnerblog
Act : Ce que les Fabricants Doivent Savoir
Les auteurs de ce blog participent au projet CRACY financé par l’UE, aidant les PME à comprendre et à se conformer au Cyber Resilience Act.
Le 3 décembre 2025, la Commission européenne a adopté un document de foire aux questions sur le Cyber Resilience Act (CRA) (règlement sur la cyberrésilience), fournissant des clarifications supplémentaires et des exemples sur la manière dont les fabricants doivent aborder les obligations de conformité à venir pour leurs produits comportant des éléments numériques (PEN).
Pour une discussion plus générale du contenu et de la portée du CRA, veuillez consulter notre précédent article de blog sur le sujet.
Bien que la FAQ aborde une grande variété de sujets dans le règlement, les sections sur les obligations des fabricants dans ses chapitres 4 et 5 sont particulièrement révélatrices et, franchement, assez exigeantes. Contrairement à une vision concrète des obligations d’évaluation des risques du fabricant, l’image qui émerge est celle où les fabricants sont censés fonctionner comme des experts théoriques en cybersécurité, avec des obligations particulièrement étendues en matière d’évaluation des risques et d’intégration de composants. Les domaines manquants notables sont les informations sur les logiciels libres et open source ainsi que les solutions de traitement de données à distance. Ce manque d’informations peut être dû à des lignes directrices futures en vertu de l’article 26 du CRA (espérons-le) qui sortiront plus tard cette année ou au début de 2026.
Cet article de blog examine trois domaines critiques pour lesquels la FAQ fournit des clarifications importantes :
- Exigences en matière d’évaluation des risques
- Exigences essentielles pour les produits comportant des éléments numériques
- Obligations en matière de gestion des vulnérabilités
Évaluation des Risques : Un Travail Considérable
La FAQ précise que les exigences d’évaluation des risques du CRA sont complètes et exigeantes, mais sans imposer un cadre contraignant. Les fabricants doivent effectuer des évaluations approfondies couvrant l’identification, l’analyse et l’évaluation des risques, ainsi que le traitement des risques tout au long du cycle de vie complet (c’est-à-dire de la conception et du développement à la production, la livraison et la maintenance).
Il n’y a pas de cadre universel. La FAQ met l’accent sur la modélisation des menaces spécifique au contexte. Les fabricants doivent adapter leurs évaluations des risques à la situation spécifique dans laquelle leur produit sera utilisé. Un produit destiné à une infrastructure critique et exploité par du personnel formé dans un environnement d’usine présente un profil de risque très différent de la même technologie déployée comme bien de consommation dans les foyers. Cette sensibilité au contexte est logique en théorie mais ajoute des couches de complexité en pratique.
Le Fardeau de l’Utilisation et de la Mauvaise Utilisation Prévisibles
L’aspect peut-être le plus frappant des exigences d’évaluation des risques concerne « l’usage prévu » et « l’utilisation ou la mauvaise utilisation raisonnablement prévisible ». Même s’il s’agit de concepts issus d’autres législations d’harmonisation de l’UE, ils posent des défis particuliers dans le contexte du CRA, où le règlement s’applique à une grande variété de technologies, allant des plus petits systèmes informatiques aux plus grands systèmes OT. Dans ce contexte, la FAQ n’atténue pas leur application mais impose plutôt un fardeau particulièrement lourd aux fabricants, en particulier ceux qui produisent des composants susceptibles d’être intégrés dans d’autres produits.
Les fabricants doivent considérer à la fois l’intégration en aval et les scénarios d’utilisation finale. Si votre produit peut être incorporé comme composant dans le produit d’un autre fabricant, vous devez réfléchir aux risques pertinents liés à différents types d’intégration. La FAQ demande essentiellement aux fabricants de composants d’envisager toutes les utilisations possibles de leur puce, module ou composant. Cela place le seuil de ce qui est « raisonnable » assez haut. Il s’agit d’une charge analytique importante qui peut être difficile pour les PME mais aussi pour les fabricants de composants polyvalents avec de larges applications potentielles.
La FAQ va encore plus loin. Certaines modifications par les utilisateurs sont caractérisées comme « utilisation raisonnablement prévisible ». Les fabricants doivent identifier explicitement les risques associés aux modifications par les utilisateurs, mettre en œuvre des mesures de traitement et fournir aux utilisateurs des informations et instructions appropriées sur ces possibilités de modification.
La FAQ s’étend même à la mauvaise utilisation raisonnablement prévisible, offrant l’exemple du piratage éthique par les utilisateurs. Les fabricants sont censés communiquer les risques liés à de tels scénarios. Les implications sont quelque peu surprenantes : les fabricants peuvent effectivement devoir fournir des évaluations des risques pour des scénarios où les utilisateurs démontent ou examinent délibérément leurs produits. Cela représente une expansion considérable de la pensée traditionnelle en matière de sécurité des produits.
Prédire l’Avenir
Comme si les exigences existantes n’étaient pas assez contraignantes, la FAQ suggère que les fabricants pourraient envisager des projections raisonnables quant à l’évolution du paysage des menaces et à la manière dont celles-ci pourraient impacter l’évaluation des risques tout au long du cycle de vie du produit. Cette obligation tournée vers l’avenir demande aux fabricants non seulement d’évaluer les risques actuels, mais d’anticiper comment les cybermenaces pourraient évoluer au cours des années pendant lesquelles leur produit reste en service. Il n’est pas clair jusqu’où il faut aller. Il serait possible de penser que cela pourrait se résumer à une phrase standard affirmant que l’informatique quantique et l’IA pourraient perturber chaque partie de la cybersécurité telle que nous la connaissons. Cependant, adopter une véritable perspective tournée vers l’avenir dans l’évaluation des risques sera probablement bien plus exigeant.
La FAQ souligne également que l’utilisation de normes harmonisées ne garantit pas la conformité complète aux obligations d’évaluation des risques. Bien que les normes harmonisées fournissent une présomption de conformité, les fabricants conservent la responsabilité ultime de s’assurer que leur évaluation des risques est complète et précise. C’est un autre domaine où la FAQ clarifie que les fabricants ne peuvent pas simplement s’appuyer sur des cadres établis mais doivent exercer un jugement et une expertise indépendants.
Exigences Essentielles : Un Certain Soulagement, Quelques Surprises
La FAQ fournit des clarifications importantes sur le moment où les fabricants doivent traiter les vulnérabilités dans leurs PEN.
La Norme d’Exploitabilité
Les fabricants doivent rendre les PEN disponibles sans vulnérabilités exploitables connues. Cependant, la FAQ offre un certain soulagement : les vulnérabilités qui n’existent que dans des conditions théoriques, comme les environnements de laboratoire ou les simulations, ou dans des situations qui ne se produiraient pas dans l’environnement opérationnel réel du produit, ne déclenchent pas cette obligation. Elles ne sont pas « exploitables ». Cela dit, compte tenu de l’interprétation extensive de « l’utilisation et la mauvaise utilisation raisonnablement prévisibles » discutée ci-dessus, l’environnement opérationnel peut s’avérer plus vaste que ce que les fabricants pourraient supposer au premier abord.
La FAQ clarifie également que les fabricants ne sont pas tenus de corriger les vulnérabilités nouvellement découvertes dans la fenêtre entre la mise sur le marché d’un produit et son arrivée chez l’utilisateur final. Ce serait par exemple le cas lorsqu’un produit est en rayon dans un magasin, avant d’être acheté. Cependant, les obligations de gestion des vulnérabilités s’appliquent pendant la période de support une fois que le produit est mis en service.
Sécurité par Défaut et Intégration de Composants
Une clarification importante concerne l’exigence « sécurité par défaut ». Cette obligation s’applique uniquement aux composants mis sur le marché séparément, et non à la manière dont ces composants sont ultérieurement configurés ou déployés par les fabricants intégrateurs.
Cela crée une dynamique de marché intéressante. Il sera plus facile d’assembler des produits et d’intégrer des composants en dehors de l’UE, puis de ne placer que le PEN final sur le marché européen. Selon cette approche, les composants individuels n’ont pas besoin de satisfaire aux exigences essentielles, y compris la sécurité par défaut, tant que le produit final y répond. Le fardeau est donc transféré à l’intégrateur final. Cela peut influencer les stratégies de chaîne d’approvisionnement et le moment où, dans le processus de production, la conformité à l’UE devient critique.
En relation avec cela, la FAQ confirme que les fabricants intégrateurs ne sont pas tenus de s’assurer que tous les composants utilisés dans leurs produits répondent indépendamment à chaque exigence essentielle. La responsabilité du fabricant prend effet lorsqu’il met le produit sur le marché. Les fabricants devront effectuer une évaluation de diligence raisonnable des composants pour s’assurer que le PEN final est conforme aux exigences essentielles.
Gestion des Vulnérabilités : Une Approche Basée sur les Risques
La FAQ adopte une approche pragmatique et basée sur les risques de la gestion des vulnérabilités qui sera une bonne nouvelle pour de nombreux fabricants.
Toutes les Vulnérabilités ne Nécessitent pas un Correctif
La FAQ indique que les fabricants ne sont pas tenus de fournir un correctif pour toutes les vulnérabilités découvertes. Selon les niveaux « d’exploitabilité », il peut ne pas être nécessaire de mettre en œuvre une mise à jour distincte s’il n’y a pas de risque réel que la vulnérabilité soit exploitée en pratique. Elle indique que chaque vulnérabilité découverte doit être corrigée d’une manière ou d’une autre, mais qu’un correctif n’est pas toujours la solution la plus appropriée. Dans les cas à très faible risque, la FAQ indique que documenter la vulnérabilité et fournir des recommandations aux utilisateurs peut suffire en termes de remédiation. Cette approche basée sur les risques de la remédiation est un outil bienvenu pour les fabricants.
De même, les rappels de produits en raison de vulnérabilités non corrigibles devraient être exceptionnels, requis uniquement lorsque la vulnérabilité présente un risque très important de compromission. Cela s’aligne avec le principe que toutes les vulnérabilités n’exigent pas la réponse la plus extrême.
Complexité de l’Intégration
Une clarification particulièrement importante concerne les produits qui intègrent des composants qui n’ont pas été initialement mis sur le marché de l’UE, ou des composants mis sur le marché avant que le CRA ne devienne applicable. Dans ces cas, le fabricant intégrateur est chargé de traiter lui-même les vulnérabilités de ces composants. Le fabricant de composants n’a aucune obligation d’aider, car il n’entre pas dans le champ d’application du CRA. Ce même principe s’applique lorsque la période de support d’un composant est terminée mais que la période de support du produit intégré se poursuit.
Cela crée une responsabilité substantielle pour les fabricants intégrateurs. Ils doivent effectuer une diligence raisonnable lors de la sélection des composants et être prêts à assumer la gestion des vulnérabilités à long terme pour les composants dont les fabricants d’origine ne les prennent peut-être plus en charge.
Obligations de Signalement
La FAQ clarifie les exigences de notification lorsque des vulnérabilités sont découvertes dans des composants intégrés. S’il existe une vulnérabilité activement exploitée dans un composant, le fabricant du PEN et le fabricant du composant doivent tous deux fournir une notification. Cependant, si une vulnérabilité existe mais n’est pas activement exploitée, le fabricant intégrateur doit notifier le fabricant du composant mais n’est pas tenu de notifier les utilisateurs finaux.
Aucune Exigence de Balayage ActifUn domaine où la FAQ offre un soulagement : les fabricants n’ont aucune obligation d’effectuer une surveillance continue des vulnérabilités ou de les rechercher activement. Bien que les fabricants doivent gérer les vulnérabilités de manière responsable lorsqu’ils en prennent connaissance, il n’y a aucune obligation de maintenir une surveillance constante des problèmes de sécurité potentiels.
Perspectives d’Avenir
La FAQ précise que les fabricants font face à des obligations substantielles tout au long du cycle de vie du produit. Le fardeau est particulièrement lourd pendant la phase de conception et de développement, avec ses exigences d’évaluation des risques exigeantes, mais comme le souligne la FAQ, les obligations pendant la période de maintenance et de support sont tout aussi importantes.
Ce n’est que le début des efforts de la Commission en matière de lignes directrices. L’article 26 du CRA impose des lignes directrices supplémentaires sur plusieurs sujets, notamment la portée du règlement avec un accent particulier sur les solutions de traitement de données à distance et les logiciels libres et open source, l’application des périodes de support pour des catégories de produits particulières, des orientations pour les fabricants soumis à la fois au CRA et à d’autres législations d’harmonisation de l’UE, et le concept de modification substantielle.
Bien que cette FAQ aborde l’interaction avec d’autres législations d’harmonisation dans une certaine mesure, des lacunes subsistent. Par exemple, les fabricants travaillant à la fois sous le Règlement Machines et le CRA bénéficieraient de lignes directrices plus claires sur la manière d’aligner les exigences de documentation technique et d’évaluation des risques dans les deux cadres.
Les fabricants doivent commencer à se préparer dès maintenant à ces exigences contraignantes, en particulier s’ils produisent des composants susceptibles d’être intégrés dans d’autres produits ou s’ils intègrent eux-mêmes des composants tiers. L’époque de la cybersécurité comme une réflexion après coup est définitivement révolue sous le régime du CRA.
Auteurs
