CRA | Le Cyber Resilience Act

Le Cyber Resilience Act : Un tournant majeur pour la sécurité numérique en Europe

La loi sur la cyber-résilience (Cyber Resilience Act - CRA) est le nouveau règlement de l'Union européenne qui renforce les exigences en matière de cybersécurité pour tous les produits numériques et services connectés mis sur le marché de l'UE.

Un cadre réglementaire sans précédent

En effet, face à la multiplication des cybermenaces et des incidents de sécurité affectant les consommateurs et les entreprises, l'Union Européenne a adopté une approche proactive et ambitieuse. Par ailleurs, le Cyber Resilience Act s'inscrit dans cette stratégie de renforcement de la confiance numérique et de protection des citoyens européens.
Ainsi, l'objectif est clair : réduire les risques de cybersécurité en Europe et protéger les consommateurs ainsi que les entreprises.

QUI EST CONCERNÉ ?

Les fabricants de produits numériques et connectés
Les fournisseurs de services numériques
Les distributeurs et revendeurs
Les importateurs de produits numériques dans l'UE

chronologie d'une nouvelle règlementation

CONCRÊTEMENT, QUELLES SONT LES EXIGENCES ?

Le Cyber Resilience Act (CRA) est le nouveau règlement européen qui durcit les exigences en matière de cybersécurité pour tous les produits numériques et services connectés commercialisés dans l'UE.

Découvrez quelles sont ces nouvelles obligations et comment elles transforment le paysage réglementaire Européen :

Gestion des vulnérabilités
Configuration sécurisée
Mise à jour de sécurité
Contrôle d'accès
Confidentialité
Intégrité
Minimisation des données

Sur quels standards peut-on s'appuyer ?

PARTIE PROCESS, ANALYSE DE RISQUES
ET GESTION DES VULNÉRABILITÉS

L'IEC 62443-4-1
prEN 40000-1-1 (standard horizontal à venir)
prEN 40000-1-2 (standard horizontal à venir)
prEN 40000-1-3 (standard horizontal à venir)

PARTIE EXIGENCES TECHNIQUES DE SÉCURITÉ

En attendant les standards harmonisés (attendus pour fin 2026), une utilisation des standards existants est préconisée :

L'IEC 62443-4-2 avec une bonne couverture des exigences
L'ETSI EN 303 645 avec une bonne couverture des exigences
L'EN 18031 avec une couverture moindre

QUELS SONT LES PRODUITS CONCERNÉS ?

La présente directive s'applique à l'ensemble des produits et services numériques commercialisés au sein de l'Union européenne. Elle établit un cadre réglementaire unifié visant à encadrer les offres numériques proposées sur le marché de l'UE, indépendamment de leur nature ou de leur domaine d'application.

Les logiciels
Le matériel
Les services cloud
Les objets connectés
Les systèmes connectés

classification des produits

		Catégorie par défaut - auto-évaluation Exemple : puces mémoire, applications mobiles, enceintes intelligentes, jeux vidéo...
		Produits importants : application des normes/évaluation par un tiers Exemple : systèmes d'exploitation, antivirus, routeurs, pare-feu
		Produits critiques : évaluation par un tiers (et potentiellement certification à l’avenir) Exemple : cartes à puce, éléments sécurisés, compteurs intelligents...
		Logiciels libres et open source (FOSS) : auto-évaluation (sauf s'ils sont catégorisés comme « produits critiques ») Exemple : frameworks de développement web, systèmes d'exploitation, systèmes de gestion de bases de données

nos services cybersécurité

CLASSIFIER VOS PRODUITS : Déterminer précisément l'applicabilité réglementaire et la classification de vos produits en fonction des cadres normatifs applicables. Cette étape fondatrice garantit que vous appliquez les bonnes exigences dès le départ et évite les erreurs de conformité coûteuses.
FORMER : nous vous proposons des formations dispensées par des professionnels, sur la cybersécurité des dispositifs médicaux ou systèmes industriels, le Cyber Resilience Act, ou encore les pentests. Téléchargez notre catalogue de formations 2026 pour en savoir plus.
STRUCTURER VOTRE ÉVALUATION : Mettre à jour ou créer une méthodologie complète et documentée d'évaluation des risques produits, adaptée à votre secteur d'activité et à vos spécificités. Une approche structurée permet d'identifier systématiquement les dangers et d'évaluer les risques de manière objective et traçable.
IDENTIFIER LES ÉCARTS : Effectuer une analyse approfondie des écarts entre votre situation actuelle et les exigences de la norme sélectionnée. Cette évaluation comparative met en lumière les non-conformités, leur criticité et les domaines prioritaires d'amélioration pour atteindre la conformité totale.
PLANIFIER VOTRE TRANSITION : Élaborer une feuille de route de conformité réaliste et progressive, avec des jalons clairs, des responsabilités définies et des ressources allouées. Un plan structuré facilite le pilotage du projet et assure une mise en conformité maîtrisée dans les délais impartis.
VALIDER LA CONFORMITÉ : Évaluer formellement et exhaustivement la conformité de vos produits aux exigences des Autorités de Régulation Compétentes. Cette validation finale démontre votre engagement envers la qualité et la sécurité, et constitue la preuve documentée de votre conformité réglementaire.

FEUILLE DE ROUTE CRA - LES ÉTAPES VERS LA CONFORMITÉ

pourquoi choisir le lcie ?

Leader sur l'IEC 62443
_{Position de leader sur l’évaluation et la
certification des standards en cybersécurité des produits à l’IECEE :
IEC 62443, ETSI EN 303 645, EN 18031}

Des experts à votre écoute
_{Plusieurs centaines d’analyse de risques cybersécurité déjà réalisées.}

Une équipe engagée
_{Notre équipe participe activement
au TS 65 WG 09 pour la rédaction des standards.}

Rejoignez le mouvement CRA et propulsez votre activité sur le devant de la scène européenne ! Une réglementation gagnante pour des produits qui se démarquent.

Formulaire de contact

Prénom *

Nom *

Email *

Téléphone

Société *

Fonction

Région/Pays *

Nature de la demande *

Comment pouvons-nous vous aider ? *

Acceptez-vous de recevoir les communications marketing du LCIE Bureau Veritas ? * Oui Non

Conditions d'utilisation * En cliquant sur le bouton « Envoyer », j’accepte les conditions d’utilisation de Bureau Veritas et de ses filiales, leur traitement de mes données personnelles ainsi que leur transfert en France et dans le monde entier, afin de répondre à ma demande.

Données personnelles *
Je comprends et j’accepte que Bureau Veritas et ses filiales utilisent mes données personnelles pour me fournir des informations supplémentaires et des offres commerciales concernant ses services, événements, et son actualité réglementaire.

Comments

IEC 62443 / Réseaux – Produits Industriels

Lire

UNECE / VÉHICULES CONNECTÉS

Lire

OWASP

Lire

Cookie	Durée	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.