{"id":9887,"date":"2025-12-15T16:06:56","date_gmt":"2025-12-15T15:06:56","guid":{"rendered":"https:\/\/ibj.be\/?p=9887"},"modified":"2025-12-16T10:53:02","modified_gmt":"2025-12-16T09:53:02","slug":"first-faq-on-the-cyber-resilience-act","status":"publish","type":"post","link":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/","title":{"rendered":"Premi\u00e8re FAQ sur le Cyber Resilience"},"content":{"rendered":"\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-bb7b81a\" id=\"act-ce-que-les-fabricants-doivent-savoir\" data-block-id=\"bb7b81a\"><style>.stk-bb7b81a {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Act&nbsp;: Ce que les Fabricants Doivent Savoir<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\"><em><em>Les auteurs de ce blog participent au projet CRACY financ\u00e9 par l&rsquo;UE, aidant les PME \u00e0 comprendre et \u00e0 se conformer au Cyber Resilience Act<\/em><\/em>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Le 3 d\u00e9cembre 2025, la Commission europ\u00e9enne a adopt\u00e9 un document de foire aux questions sur le Cyber Resilience Act (CRA) (r\u00e8glement sur la cyberr\u00e9silience), fournissant des clarifications suppl\u00e9mentaires et des exemples sur la mani\u00e8re dont les fabricants doivent aborder les obligations de conformit\u00e9 \u00e0 venir pour leurs produits comportant des \u00e9l\u00e9ments num\u00e9riques (PEN).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Pour une discussion plus g\u00e9n\u00e9rale du contenu et de la port\u00e9e du CRA, veuillez consulter <a href=\"https:\/\/www.timelex.eu\/en\/blog\/european-cyber-resilience-act-shadow-ai-act\">notre pr\u00e9c\u00e9dent article de blog sur le sujet<\/a>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bien que la FAQ aborde une grande vari\u00e9t\u00e9 de sujets dans le r\u00e8glement, les sections sur les obligations des fabricants dans ses chapitres 4 et 5 sont particuli\u00e8rement r\u00e9v\u00e9latrices et, franchement, assez exigeantes. Contrairement \u00e0 une vision concr\u00e8te des obligations d&rsquo;\u00e9valuation des risques du fabricant, l&rsquo;image qui \u00e9merge est celle o\u00f9 les fabricants sont cens\u00e9s fonctionner comme des experts th\u00e9oriques en cybers\u00e9curit\u00e9, avec des obligations particuli\u00e8rement \u00e9tendues en mati\u00e8re d&rsquo;\u00e9valuation des risques et d&rsquo;int\u00e9gration de composants. Les domaines manquants notables sont les informations sur les logiciels libres et open source ainsi que les solutions de traitement de donn\u00e9es \u00e0 distance. Ce manque d&rsquo;informations peut \u00eatre d\u00fb \u00e0 des lignes directrices futures en vertu de l&rsquo;article 26 du CRA (esp\u00e9rons-le) qui sortiront plus tard cette ann\u00e9e ou au d\u00e9but de 2026.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cet article de blog examine trois domaines critiques pour lesquels &nbsp;la FAQ fournit des clarifications importantes :<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Exigences en mati\u00e8re d&rsquo;\u00e9valuation des risques<\/li>\n\n\n\n<li>Exigences essentielles pour les produits comportant des \u00e9l\u00e9ments num\u00e9riques<\/li>\n\n\n\n<li>Obligations en mati\u00e8re de gestion des vuln\u00e9rabilit\u00e9s<\/li>\n<\/ol>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-b75a3b1\" id=\"evaluation-des-risques-un-travail-considerable\" data-block-id=\"b75a3b1\"><style>.stk-b75a3b1 {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">\u00c9valuation des Risques : Un Travail Consid\u00e9rable<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ pr\u00e9cise que les exigences d&rsquo;\u00e9valuation des risques du CRA sont compl\u00e8tes et exigeantes, mais sans imposer un cadre contraignant. Les fabricants doivent effectuer des \u00e9valuations approfondies couvrant l&rsquo;identification, l&rsquo;analyse et l&rsquo;\u00e9valuation des risques, ainsi que le traitement des risques tout au long du cycle de vie complet (c&rsquo;est-\u00e0-dire de la conception et du d\u00e9veloppement \u00e0 la production, la livraison et la maintenance).<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Il n&rsquo;y a pas de cadre universel. La FAQ met l&rsquo;accent sur la mod\u00e9lisation des menaces sp\u00e9cifique au contexte. Les fabricants doivent adapter leurs \u00e9valuations des risques \u00e0 la situation sp\u00e9cifique dans laquelle leur produit sera utilis\u00e9. Un produit destin\u00e9 \u00e0 une infrastructure critique et exploit\u00e9 par du personnel form\u00e9 dans un environnement d&rsquo;usine pr\u00e9sente un profil de risque tr\u00e8s diff\u00e9rent de la m\u00eame technologie d\u00e9ploy\u00e9e comme bien de consommation dans les foyers. Cette sensibilit\u00e9 au contexte est logique en th\u00e9orie mais ajoute des couches de complexit\u00e9 en pratique.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-9462cab\" id=\"le-fardeau-de-l-utilisation-et-de-la-mauvaise-utilisation-previsibles\" data-block-id=\"9462cab\"><style>.stk-9462cab {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Le Fardeau de l&rsquo;Utilisation et de la Mauvaise Utilisation Pr\u00e9visibles<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">L&rsquo;aspect peut-\u00eatre le plus frappant des exigences d&rsquo;\u00e9valuation des risques concerne \u00ab l&rsquo;usage pr\u00e9vu \u00bb et \u00ab l&rsquo;utilisation ou la mauvaise utilisation raisonnablement pr\u00e9visible \u00bb. M\u00eame s&rsquo;il s&rsquo;agit de concepts issus d&rsquo;autres l\u00e9gislations d&rsquo;harmonisation de l&rsquo;UE, ils posent des d\u00e9fis particuliers dans le contexte du CRA, o\u00f9 le r\u00e8glement s&rsquo;applique \u00e0 une grande vari\u00e9t\u00e9 de technologies, allant des plus petits syst\u00e8mes informatiques aux plus grands syst\u00e8mes OT. Dans ce contexte, la FAQ n&rsquo;att\u00e9nue pas leur application mais impose plut\u00f4t un fardeau particuli\u00e8rement lourd aux fabricants, en particulier ceux qui produisent des composants susceptibles d&rsquo;\u00eatre int\u00e9gr\u00e9s dans d&rsquo;autres produits.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Les fabricants doivent consid\u00e9rer \u00e0 la fois l&rsquo;int\u00e9gration en aval et les sc\u00e9narios d&rsquo;utilisation finale. Si votre produit peut \u00eatre incorpor\u00e9 comme composant dans le produit d&rsquo;un autre fabricant, vous devez r\u00e9fl\u00e9chir aux risques pertinents li\u00e9s \u00e0 diff\u00e9rents types d&rsquo;int\u00e9gration. La FAQ demande essentiellement aux fabricants de composants d&rsquo;envisager toutes les utilisations possibles de leur puce, module ou composant. Cela place le seuil de ce qui est \u00ab raisonnable \u00bb assez haut. Il s&rsquo;agit d&rsquo;une charge analytique importante qui peut \u00eatre difficile pour les PME mais aussi pour les fabricants de composants polyvalents avec de larges applications potentielles.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ va encore plus loin. Certaines modifications par les utilisateurs sont caract\u00e9ris\u00e9es comme \u00ab utilisation raisonnablement pr\u00e9visible \u00bb. Les fabricants doivent identifier explicitement les risques associ\u00e9s aux modifications par les utilisateurs, mettre en \u0153uvre des mesures de traitement et fournir aux utilisateurs des informations et instructions appropri\u00e9es sur ces possibilit\u00e9s de modification.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ s&rsquo;\u00e9tend m\u00eame \u00e0 la mauvaise utilisation raisonnablement pr\u00e9visible, offrant l&rsquo;exemple du piratage \u00e9thique par les utilisateurs. Les fabricants sont cens\u00e9s communiquer les risques li\u00e9s \u00e0 de tels sc\u00e9narios. Les implications sont quelque peu surprenantes : les fabricants peuvent effectivement devoir fournir des \u00e9valuations des risques pour des sc\u00e9narios o\u00f9 les utilisateurs d\u00e9montent ou examinent d\u00e9lib\u00e9r\u00e9ment leurs produits. Cela repr\u00e9sente une expansion consid\u00e9rable de la pens\u00e9e traditionnelle en mati\u00e8re de s\u00e9curit\u00e9 des produits.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-6d7d77a\" id=\"predire-l-avenir\" data-block-id=\"6d7d77a\"><style>.stk-6d7d77a {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Pr\u00e9dire l&rsquo;Avenir<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Comme si les exigences existantes n&rsquo;\u00e9taient pas assez contraignantes, la FAQ sugg\u00e8re que les fabricants pourraient envisager des projections raisonnables quant \u00e0 l\u2019\u00e9volution du paysage des menaces et \u00e0 la mani\u00e8re dont celles-ci pourraient impacter l\u2019\u00e9valuation des risques tout au long du cycle de vie du produit. &nbsp;Cette obligation tourn\u00e9e vers l&rsquo;avenir demande aux fabricants non seulement d&rsquo;\u00e9valuer les risques actuels, mais d&rsquo;anticiper comment les cybermenaces pourraient \u00e9voluer au cours des ann\u00e9es pendant lesquelles leur produit reste en service. Il n&rsquo;est pas clair jusqu&rsquo;o\u00f9 il faut aller. Il serait possible de penser que cela pourrait se r\u00e9sumer \u00e0 une phrase standard affirmant que l&rsquo;informatique quantique et l&rsquo;IA pourraient perturber chaque partie de la cybers\u00e9curit\u00e9 telle que nous la connaissons. Cependant, adopter une v\u00e9ritable perspective tourn\u00e9e vers l\u2019avenir dans l\u2019\u00e9valuation des risques sera probablement bien plus exigeant.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ souligne \u00e9galement que l&rsquo;utilisation de normes harmonis\u00e9es ne garantit pas la conformit\u00e9 compl\u00e8te aux obligations d&rsquo;\u00e9valuation des risques. Bien que les normes harmonis\u00e9es fournissent une pr\u00e9somption de conformit\u00e9, les fabricants conservent la responsabilit\u00e9 ultime de s&rsquo;assurer que leur \u00e9valuation des risques est compl\u00e8te et pr\u00e9cise. C&rsquo;est un autre domaine o\u00f9 la FAQ clarifie que les fabricants ne peuvent pas simplement s&rsquo;appuyer sur des cadres \u00e9tablis mais doivent exercer un jugement et une expertise ind\u00e9pendants.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-d937269\" id=\"exigences-essentielles-un-certain-soulagement-quelques-surprises\" data-block-id=\"d937269\"><style>.stk-d937269 {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Exigences Essentielles : Un Certain Soulagement, Quelques Surprises<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ fournit des clarifications importantes sur le moment o\u00f9 les fabricants doivent traiter les vuln\u00e9rabilit\u00e9s dans leurs PEN.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-9c40d09\" id=\"la-norme-d-exploitabilite\" data-block-id=\"9c40d09\"><style>.stk-9c40d09 {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">La Norme d&rsquo;Exploitabilit\u00e9<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Les fabricants doivent rendre les PEN disponibles sans vuln\u00e9rabilit\u00e9s exploitables connues. Cependant, la FAQ offre un certain soulagement : les vuln\u00e9rabilit\u00e9s qui n&rsquo;existent que dans des conditions th\u00e9oriques, comme les environnements de laboratoire ou les simulations, ou dans des situations qui ne se produiraient pas dans l&rsquo;environnement op\u00e9rationnel r\u00e9el du produit, ne d\u00e9clenchent pas cette obligation. Elles ne sont pas \u00ab exploitables \u00bb. Cela dit, compte tenu de l&rsquo;interpr\u00e9tation extensive de \u00ab l&rsquo;utilisation et la mauvaise utilisation raisonnablement pr\u00e9visibles \u00bb discut\u00e9e ci-dessus, l&rsquo;environnement op\u00e9rationnel peut s\u2019av\u00e9rer plus vaste que ce que les fabricants pourraient supposer au premier abord.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ clarifie \u00e9galement que les fabricants ne sont pas tenus de corriger les vuln\u00e9rabilit\u00e9s nouvellement d\u00e9couvertes dans la fen\u00eatre entre la mise sur le march\u00e9 d&rsquo;un produit et son arriv\u00e9e chez l&rsquo;utilisateur final. Ce serait par exemple le cas lorsqu&rsquo;un produit est en rayon dans un magasin, avant d&rsquo;\u00eatre achet\u00e9. Cependant, les obligations de gestion des vuln\u00e9rabilit\u00e9s s&rsquo;appliquent pendant la p\u00e9riode de support une fois que le produit est mis en service.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-e193169\" id=\"securite-par-defaut-et-integration-de-composants\" data-block-id=\"e193169\"><style>.stk-e193169 {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">S\u00e9curit\u00e9 par D\u00e9faut et Int\u00e9gration de Composants<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Une clarification importante concerne l&rsquo;exigence \u00ab s\u00e9curit\u00e9 par d\u00e9faut \u00bb. Cette obligation s&rsquo;applique uniquement aux composants mis sur le march\u00e9 s\u00e9par\u00e9ment, et non \u00e0 la mani\u00e8re dont ces composants sont ult\u00e9rieurement configur\u00e9s ou d\u00e9ploy\u00e9s par les fabricants int\u00e9grateurs.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cela cr\u00e9e une dynamique de march\u00e9 int\u00e9ressante. Il sera plus facile d&rsquo;assembler des produits et d&rsquo;int\u00e9grer des composants en dehors de l&rsquo;UE, puis de ne placer que le PEN final sur le march\u00e9 europ\u00e9en. Selon cette approche, les composants individuels n&rsquo;ont pas besoin de satisfaire aux exigences essentielles, y compris la s\u00e9curit\u00e9 par d\u00e9faut, tant que le produit final y r\u00e9pond. Le fardeau est donc transf\u00e9r\u00e9 \u00e0 l&rsquo;int\u00e9grateur final. Cela peut influencer les strat\u00e9gies de cha\u00eene d&rsquo;approvisionnement et le moment o\u00f9, dans le processus de production, la conformit\u00e9 \u00e0 l&rsquo;UE devient critique.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">En relation avec cela, la FAQ confirme que les fabricants int\u00e9grateurs ne sont pas tenus de s&rsquo;assurer que tous les composants utilis\u00e9s dans leurs produits r\u00e9pondent ind\u00e9pendamment \u00e0 chaque exigence essentielle. La responsabilit\u00e9 du fabricant prend effet lorsqu&rsquo;il met le produit sur le march\u00e9. Les fabricants devront effectuer une \u00e9valuation de diligence raisonnable des composants pour s&rsquo;assurer que le PEN final est conforme aux exigences essentielles.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-bbd0a32\" id=\"gestion-des-vulnerabilites-une-approche-basee-sur-les-risques\" data-block-id=\"bbd0a32\"><style>.stk-bbd0a32 {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Gestion des Vuln\u00e9rabilit\u00e9s : Une Approche Bas\u00e9e sur les Risques<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ adopte une approche pragmatique et bas\u00e9e sur les risques de la gestion des vuln\u00e9rabilit\u00e9s qui sera une bonne nouvelle pour de nombreux fabricants.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-9daec5d\" id=\"toutes-les-vulnerabilites-ne-necessitent-pas-un-correctif\" data-block-id=\"9daec5d\"><style>.stk-9daec5d {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Toutes les Vuln\u00e9rabilit\u00e9s ne N\u00e9cessitent pas un Correctif<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ indique que les fabricants ne sont pas tenus de fournir un correctif pour toutes les vuln\u00e9rabilit\u00e9s d\u00e9couvertes. Selon les niveaux \u00ab d&rsquo;exploitabilit\u00e9 \u00bb, il peut ne pas \u00eatre n\u00e9cessaire de mettre en \u0153uvre une mise \u00e0 jour distincte s&rsquo;il n&rsquo;y a pas de risque r\u00e9el que la vuln\u00e9rabilit\u00e9 soit exploit\u00e9e en pratique. Elle indique que chaque vuln\u00e9rabilit\u00e9 d\u00e9couverte doit \u00eatre corrig\u00e9e d&rsquo;une mani\u00e8re ou d&rsquo;une autre, mais qu&rsquo;un correctif n&rsquo;est pas toujours la solution la plus appropri\u00e9e. Dans les cas \u00e0 tr\u00e8s faible risque, la FAQ indique que documenter la vuln\u00e9rabilit\u00e9 et fournir des recommandations aux utilisateurs peut suffire en termes de rem\u00e9diation. Cette approche bas\u00e9e sur les risques de la rem\u00e9diation est un outil bienvenu pour les fabricants.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">De m\u00eame, les rappels de produits en raison de vuln\u00e9rabilit\u00e9s non corrigibles devraient \u00eatre exceptionnels, requis uniquement lorsque la vuln\u00e9rabilit\u00e9 pr\u00e9sente un risque tr\u00e8s important de compromission. Cela s&rsquo;aligne avec le principe que toutes les vuln\u00e9rabilit\u00e9s n&rsquo;exigent pas la r\u00e9ponse la plus extr\u00eame.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-d3616f0\" id=\"complexite-de-l-integration\" data-block-id=\"d3616f0\"><style>.stk-d3616f0 {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Complexit\u00e9 de l&rsquo;Int\u00e9gration<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">Une clarification particuli\u00e8rement importante concerne les produits qui int\u00e8grent des composants qui n&rsquo;ont pas \u00e9t\u00e9 initialement mis sur le march\u00e9 de l&rsquo;UE, ou des composants mis sur le march\u00e9 avant que le CRA ne devienne applicable. Dans ces cas, le fabricant int\u00e9grateur est charg\u00e9 de traiter lui-m\u00eame les vuln\u00e9rabilit\u00e9s de ces composants. Le fabricant de composants n&rsquo;a aucune obligation d&rsquo;aider, car il n&rsquo;entre pas dans le champ d&rsquo;application du CRA. Ce m\u00eame principe s&rsquo;applique lorsque la p\u00e9riode de support d&rsquo;un composant est termin\u00e9e mais que la p\u00e9riode de support du produit int\u00e9gr\u00e9 se poursuit.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Cela cr\u00e9e une responsabilit\u00e9 substantielle pour les fabricants int\u00e9grateurs. Ils doivent effectuer une diligence raisonnable lors de la s\u00e9lection des composants et \u00eatre pr\u00eats \u00e0 assumer la gestion des vuln\u00e9rabilit\u00e9s \u00e0 long terme pour les composants dont les fabricants d&rsquo;origine ne les prennent peut-\u00eatre plus en charge.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-7fc3378\" id=\"obligations-de-signalement\" data-block-id=\"7fc3378\"><style>.stk-7fc3378 {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Obligations de Signalement<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ clarifie les exigences de notification lorsque des vuln\u00e9rabilit\u00e9s sont d\u00e9couvertes dans des composants int\u00e9gr\u00e9s. S&rsquo;il existe une vuln\u00e9rabilit\u00e9 activement exploit\u00e9e dans un composant, le fabricant du PEN et le fabricant du composant doivent tous deux fournir une notification. Cependant, si une vuln\u00e9rabilit\u00e9 existe mais n&rsquo;est pas activement exploit\u00e9e, le fabricant int\u00e9grateur doit notifier le fabricant du composant mais n&rsquo;est pas tenu de notifier les utilisateurs finaux.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Aucune Exigence de Balayage ActifUn domaine o\u00f9 la FAQ offre un soulagement : les fabricants n&rsquo;ont aucune obligation d&rsquo;effectuer une surveillance continue des vuln\u00e9rabilit\u00e9s ou de les rechercher activement. Bien que les fabricants doivent g\u00e9rer les vuln\u00e9rabilit\u00e9s de mani\u00e8re responsable lorsqu&rsquo;ils en prennent connaissance, il n&rsquo;y a aucune obligation de maintenir une surveillance constante des probl\u00e8mes de s\u00e9curit\u00e9 potentiels.<\/p>\n\n\n\n<div class=\"wp-block-stackable-heading stk-block-heading stk-block-heading--v2 stk-block stk-8d7cc0c\" id=\"perspectives-d-avenir\" data-block-id=\"8d7cc0c\"><style>.stk-8d7cc0c {margin-bottom:15px !important;}<\/style><h4 class=\"stk-block-heading__text\">Perspectives d&rsquo;Avenir<\/h4><\/div>\n\n\n\n<p class=\"wp-block-paragraph\">La FAQ pr\u00e9cise que les fabricants font face \u00e0 des obligations substantielles tout au long du cycle de vie du produit. Le fardeau est particuli\u00e8rement lourd pendant la phase de conception et de d\u00e9veloppement, avec ses exigences d&rsquo;\u00e9valuation des risques exigeantes, mais comme le souligne la FAQ, les obligations pendant la p\u00e9riode de maintenance et de support sont tout aussi importantes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Ce n&rsquo;est que le d\u00e9but des efforts de la Commission en mati\u00e8re de lignes directrices. L&rsquo;article 26 du CRA impose des lignes directrices suppl\u00e9mentaires sur plusieurs sujets, notamment la port\u00e9e du r\u00e8glement avec un accent particulier sur les solutions de traitement de donn\u00e9es \u00e0 distance et les logiciels libres et open source, l&rsquo;application des p\u00e9riodes de support pour des cat\u00e9gories de produits particuli\u00e8res, des orientations pour les fabricants soumis \u00e0 la fois au CRA et \u00e0 d&rsquo;autres l\u00e9gislations d&rsquo;harmonisation de l&rsquo;UE, et le concept de modification substantielle.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Bien que cette FAQ aborde l&rsquo;interaction avec d&rsquo;autres l\u00e9gislations d&rsquo;harmonisation dans une certaine mesure, des lacunes subsistent. Par exemple, les fabricants travaillant \u00e0 la fois sous le R\u00e8glement Machines et le CRA b\u00e9n\u00e9ficieraient de lignes directrices plus claires sur la mani\u00e8re d&rsquo;aligner les exigences de documentation technique et d&rsquo;\u00e9valuation des risques dans les deux cadres.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Les fabricants doivent commencer \u00e0 se pr\u00e9parer d\u00e8s maintenant \u00e0 ces exigences contraignantes, en particulier s&rsquo;ils produisent des composants susceptibles d&rsquo;\u00eatre int\u00e9gr\u00e9s dans d&rsquo;autres produits ou s&rsquo;ils int\u00e8grent eux-m\u00eames des composants tiers. L&rsquo;\u00e9poque de la cybers\u00e9curit\u00e9 comme une r\u00e9flexion apr\u00e8s coup est d\u00e9finitivement r\u00e9volue sous le r\u00e9gime du CRA.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Auteurs<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><a href=\"https:\/\/www.timelex.eu\/nl\/team\/wout-platteau\">Wout Platteau<\/a> et <a href=\"https:\/\/www.timelex.eu\/fr\/team\/pedro-demolder\">Pedro Demolder<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>The authors of this blog are participating in the EU-funded project CRACY, helping SMEs understand and comply with the Cyber Resilience Act.<\/p>\n<p>On 3 December 2025, the European Commission has adopted a frequently asked questions document on the Cyber Resilience Act (CRA), providing further clarification and examples on how manufacturers should approach the forthcoming compliance obligations for their products with digital elements (PDEs).<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[62],"tags":[],"class_list":["post-9887","post","type-post","status-publish","format-standard","hentry","category-partnerblog-fr"],"blocksy_meta":[],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v28.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Premi\u00e8re FAQ sur le Cyber Resilience - IBJ - IJE<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Premi\u00e8re FAQ sur le Cyber Resilience - IBJ - IJE\" \/>\n<meta property=\"og:description\" content=\"The authors of this blog are participating in the EU-funded project CRACY, helping SMEs understand and comply with the Cyber Resilience Act. On 3 December 2025, the European Commission has adopted a frequently asked questions document on the Cyber Resilience Act (CRA), providing further clarification and examples on how manufacturers should approach the forthcoming compliance obligations for their products with digital elements (PDEs).\" \/>\n<meta property=\"og:url\" content=\"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/\" \/>\n<meta property=\"og:site_name\" content=\"IBJ - IJE\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-15T15:06:56+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-16T09:53:02+00:00\" \/>\n<meta name=\"author\" content=\"Patricia De Bruyn\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"\u00c9crit par\" \/>\n\t<meta name=\"twitter:data1\" content=\"Patricia De Bruyn\" \/>\n\t<meta name=\"twitter:label2\" content=\"Dur\u00e9e de lecture estim\u00e9e\" \/>\n\t<meta name=\"twitter:data2\" content=\"11 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/partnerblog-fr\\\/first-faq-on-the-cyber-resilience-act\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/partnerblog-fr\\\/first-faq-on-the-cyber-resilience-act\\\/\"},\"author\":{\"name\":\"Patricia De Bruyn\",\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#\\\/schema\\\/person\\\/b5e9ddc0ee98d880a4c9b775bef2277a\"},\"headline\":\"Premi\u00e8re FAQ sur le Cyber Resilience\",\"datePublished\":\"2025-12-15T15:06:56+00:00\",\"dateModified\":\"2025-12-16T09:53:02+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/partnerblog-fr\\\/first-faq-on-the-cyber-resilience-act\\\/\"},\"wordCount\":2469,\"publisher\":{\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#organization\"},\"articleSection\":[\"Partnerblog\"],\"inLanguage\":\"fr-FR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/partnerblog-fr\\\/first-faq-on-the-cyber-resilience-act\\\/\",\"url\":\"https:\\\/\\\/ibj.be\\\/fr\\\/partnerblog-fr\\\/first-faq-on-the-cyber-resilience-act\\\/\",\"name\":\"Premi\u00e8re FAQ sur le Cyber Resilience - IBJ - IJE\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#website\"},\"datePublished\":\"2025-12-15T15:06:56+00:00\",\"dateModified\":\"2025-12-16T09:53:02+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/partnerblog-fr\\\/first-faq-on-the-cyber-resilience-act\\\/#breadcrumb\"},\"inLanguage\":\"fr-FR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/ibj.be\\\/fr\\\/partnerblog-fr\\\/first-faq-on-the-cyber-resilience-act\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/partnerblog-fr\\\/first-faq-on-the-cyber-resilience-act\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\\\/\\\/ibj.be\\\/fr\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Premi\u00e8re FAQ sur le Cyber Resilience\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#website\",\"url\":\"https:\\\/\\\/ibj.be\\\/fr\\\/\",\"name\":\"IBJ - IJE\",\"description\":\"\",\"publisher\":{\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/ibj.be\\\/fr\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"fr-FR\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#organization\",\"name\":\"IBJ - IJE\",\"url\":\"https:\\\/\\\/ibj.be\\\/fr\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/ibj.be\\\/wp-content\\\/uploads\\\/2024\\\/06\\\/ibj-ije-logo-color.svg\",\"contentUrl\":\"https:\\\/\\\/ibj.be\\\/wp-content\\\/uploads\\\/2024\\\/06\\\/ibj-ije-logo-color.svg\",\"width\":288,\"height\":121,\"caption\":\"IBJ - IJE\"},\"image\":{\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.linkedin.com\\\/company\\\/10961968\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/ibj.be\\\/fr\\\/#\\\/schema\\\/person\\\/b5e9ddc0ee98d880a4c9b775bef2277a\",\"name\":\"Patricia De Bruyn\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"fr-FR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/764054f6aae57a8103496851b040b9c7a90b28922c87b7fec3479759f49afa9e?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/764054f6aae57a8103496851b040b9c7a90b28922c87b7fec3479759f49afa9e?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/764054f6aae57a8103496851b040b9c7a90b28922c87b7fec3479759f49afa9e?s=96&d=mm&r=g\",\"caption\":\"Patricia De Bruyn\"}}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Premi\u00e8re FAQ sur le Cyber Resilience - IBJ - IJE","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/","og_locale":"fr_FR","og_type":"article","og_title":"Premi\u00e8re FAQ sur le Cyber Resilience - IBJ - IJE","og_description":"The authors of this blog are participating in the EU-funded project CRACY, helping SMEs understand and comply with the Cyber Resilience Act. On 3 December 2025, the European Commission has adopted a frequently asked questions document on the Cyber Resilience Act (CRA), providing further clarification and examples on how manufacturers should approach the forthcoming compliance obligations for their products with digital elements (PDEs).","og_url":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/","og_site_name":"IBJ - IJE","article_published_time":"2025-12-15T15:06:56+00:00","article_modified_time":"2025-12-16T09:53:02+00:00","author":"Patricia De Bruyn","twitter_card":"summary_large_image","twitter_misc":{"\u00c9crit par":"Patricia De Bruyn","Dur\u00e9e de lecture estim\u00e9e":"11 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/#article","isPartOf":{"@id":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/"},"author":{"name":"Patricia De Bruyn","@id":"https:\/\/ibj.be\/fr\/#\/schema\/person\/b5e9ddc0ee98d880a4c9b775bef2277a"},"headline":"Premi\u00e8re FAQ sur le Cyber Resilience","datePublished":"2025-12-15T15:06:56+00:00","dateModified":"2025-12-16T09:53:02+00:00","mainEntityOfPage":{"@id":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/"},"wordCount":2469,"publisher":{"@id":"https:\/\/ibj.be\/fr\/#organization"},"articleSection":["Partnerblog"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/","url":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/","name":"Premi\u00e8re FAQ sur le Cyber Resilience - IBJ - IJE","isPartOf":{"@id":"https:\/\/ibj.be\/fr\/#website"},"datePublished":"2025-12-15T15:06:56+00:00","dateModified":"2025-12-16T09:53:02+00:00","breadcrumb":{"@id":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/ibj.be\/fr\/partnerblog-fr\/first-faq-on-the-cyber-resilience-act\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/ibj.be\/fr\/"},{"@type":"ListItem","position":2,"name":"Premi\u00e8re FAQ sur le Cyber Resilience"}]},{"@type":"WebSite","@id":"https:\/\/ibj.be\/fr\/#website","url":"https:\/\/ibj.be\/fr\/","name":"IBJ - IJE","description":"","publisher":{"@id":"https:\/\/ibj.be\/fr\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/ibj.be\/fr\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Organization","@id":"https:\/\/ibj.be\/fr\/#organization","name":"IBJ - IJE","url":"https:\/\/ibj.be\/fr\/","logo":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/ibj.be\/fr\/#\/schema\/logo\/image\/","url":"https:\/\/ibj.be\/wp-content\/uploads\/2024\/06\/ibj-ije-logo-color.svg","contentUrl":"https:\/\/ibj.be\/wp-content\/uploads\/2024\/06\/ibj-ije-logo-color.svg","width":288,"height":121,"caption":"IBJ - IJE"},"image":{"@id":"https:\/\/ibj.be\/fr\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.linkedin.com\/company\/10961968\/"]},{"@type":"Person","@id":"https:\/\/ibj.be\/fr\/#\/schema\/person\/b5e9ddc0ee98d880a4c9b775bef2277a","name":"Patricia De Bruyn","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/secure.gravatar.com\/avatar\/764054f6aae57a8103496851b040b9c7a90b28922c87b7fec3479759f49afa9e?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/764054f6aae57a8103496851b040b9c7a90b28922c87b7fec3479759f49afa9e?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/764054f6aae57a8103496851b040b9c7a90b28922c87b7fec3479759f49afa9e?s=96&d=mm&r=g","caption":"Patricia De Bruyn"}}]}},"jetpack_featured_media_url":"","_links":{"self":[{"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/posts\/9887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/comments?post=9887"}],"version-history":[{"count":4,"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/posts\/9887\/revisions"}],"predecessor-version":[{"id":9902,"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/posts\/9887\/revisions\/9902"}],"wp:attachment":[{"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/media?parent=9887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/categories?post=9887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ibj.be\/fr\/wp-json\/wp\/v2\/tags?post=9887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}