À partir de septembre 2026, le Cyber Resilience Act (CRA) imposera de nouvelles obligations de cybersécurité aux fabricants, importateurs et distributeurs de produits numériques connectés, tels que les routeurs, caméras IP, logiciels embarqués, objets connectés, équipements industriels, etc.
Des sanctions pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial de l’entreprise sont prévues en cas de non-conformité.
Le compte à rebours est lancé : la préparation doit commencer dès maintenant.
Cet article vous éclairera sur le champ d’application du CRA, ses exigences clés, son calendrier et les actions prioritaires à engager.
Cyber Resilience Act - Après NIS 2 et DORA, la nouvelle réglementation européenne en matière de cybersécurité qui viendra impacter les acteurs du numérique.
Introduction :
Les objets connectés, les logiciels embarqués et les équipements industriels sont devenus des vecteurs d’attaque de plus en plus prisés par les cybercriminels, avec une croissance continue de la fréquence et de la sophistication des incidents. Récemment, une attaque par rançongiciel ciblant un réseau de capteurs urbains a paralysé une grande ville européenne pendant 48 heures, perturbant les services d’urgence et occasionnant un préjudice estimé à plus de 10 millions d’euros.
Nous observons une progression marquée du niveau de risque associé à ces dispositifs. En effet, en un an, celui-ci a augmenté de plus de 15 %. Les routeurs concentrent à eux seuls plus de la moitié des vulnérabilités critiques, tandis que les caméras IP, équipements solaires et systèmes de point de vente figurent également parmi les produits les plus exposés.
Ces chiffres traduisent une réalité préoccupante, : de nombreux produits numériques sont encore vulnérables par défaut, mis sur le marché sans correctifs de sécurité ni mécanismes de protection intégrés. Jusqu’à récemment, aucun cadre réglementaire européen harmonisé n’imposait d’exigences cybersécurité pour ces produits. Cette fragmentation réglementaire exposait consommateurs, entreprises et infrastructures critiques à des risques majeurs.
C’est dans ce contexte qu’intervient le Cyber Resilience Act (CRA), un règlement européen adopté fin 2024, qui a pour objectif de renforcer la sécurité des produits numériques tout au long de leur cycle de vie en instaurant des obligations claires, uniformes et applicables à l’échelle de l’Union européenne.
Le CRA s’intègre dans une approche cohérente aux côtés du RGPD, de la directive NIS2 et du règlement DORA. À la différence de ces textes, il cible directement la sécurité intrinsèque des produits eux-mêmes, comblant ainsi une lacune majeure du cadre réglementaire européen.
Il s’applique à tous les produits comportant des éléments numériques connectés à un réseau ou à un autre appareil, notamment :
![]()
Calendrier d’application :
Le CRA, en tant que règlement européen à effet direct, est automatiquement applicable dans l’ensemble des États membres de l’Union européenne, sans nécessiter de transposition nationale.
Entré en vigueur en décembre 2024, le CRA prévoit une mise en œuvre progressive. Les obligations principales en matière de cybersécurité s’appliqueront à partir du 11 septembre 2026, avec une application intégrale obligatoire pour tous les produits concernés à compter du 11 septembre 2027.
![]()
Objectifs et exigences du CRA
Au-delà de son positionnement stratégique, le CRA se distingue par des exigences claires, concrètes et structurantes. Il vise à établir un cadre harmonisé, applicable à l’ensemble des produits numériques connectés, en s’appuyant sur quatre objectifs fondamentaux :
- Cybersécurité dès la conception : le CRA impose que tous les produits numériques, (matériels ou logiciels), soient conçus avec des dispositifs de sécurité intégrés dès leur phase de développement, et maintenus tout au long de leur cycle de vie. L’objectif est de faire de la cybersécurité un principe intégré dès l’origine (security by design) et activé par défaut (by default), afin de réduire, dès la mise sur le marché les failles exploitables.
- Responsabilisation des fabricants : le règlement introduit des obligations précises pour les fabricants, qui devront être en capacité de détecter, corriger et notifier efficacement les vulnérabilités de leurs produits. Cela inclut également des exigences relatives à la gestion des mises à jour de sécurité et au suivi post-commercialisation.
- Harmonisation européenne : afin de remédier à la fragmentation actuelle des réglementations nationales, le CRA crée un cadre réglementaire unique applicable à l’ensemble du marché intérieur. Il vise à faciliter la mise en conformité des opérateurs économiques tout en assurant un niveau de cybersécurité cohérent dans l’ensemble de l’Union européenne.
- Transparence pour les utilisateurs : le CRA vise également à renforcer la transparence et l’information à destination des utilisateurs, qu’il s’agisse de consommateurs ou d’entreprises. Les fabricants devront fournir des données claires sur les capacités de sécurité de leurs produits, permettant ainsi aux utilisateurs de faire des choix plus éclairés et de mieux évaluer leurs risques.
Ce règlement impose ainsi aux fabricants, importateurs et distributeurs de se conformer à un ensemble d’obligations techniques et organisationnelles, portant notamment sur :
![]()
En fonction du niveau de criticité du produit, des procédures d’évaluation de la conformité plus ou moins strictes seront exigées, incluant dans certains cas une évaluation par des tiers notifiés.
Anticiper le CRA pour mieux s’y conformer
L’ambition de ce règlement est de favoriser l’émergence d’une véritable culture de la sécurité dès la conception, de renforcer la confiance des utilisateurs et d’assurer un niveau homogène de protection sur l’ensemble du marché européen.
Au-delà de cette orientation stratégique, le règlement introduit un cadre de sanctions particulièrement dissuasif, prévoyant des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial en cas de non-conformité, comme évoqué plus haut. Dans ce contexte, les entreprises concernées doivent se mobiliser dès à présent.
La période de transition jusqu’en septembre 2027 doit être pleinement mise à profit pour adapter les produits, les processus internes et la documentation de conformité, en s’appuyant notamment sur les lignes directrices de la Commission Européenne et de l’ENISA.
Mener un audit dès aujourd’hui permet d’identifier les écarts, de mesurer le niveau de préparation et de structurer un plan d’action adapté aux exigences du CRA. Cette démarche proactive constitue un levier essentiel pour maîtriser les risques, renforcer la gouvernance et démontrer la maturité de l’organisation en matière de cybersécurité.
Les équipes de Grant Thornton, déjà impliquées aux côtés de nombreux acteurs du numérique, accompagnent les entreprises dans leur trajectoire de mise en conformité, en combinant expertise réglementaire, analyse technique et accompagnement opérationnel sur-mesure.
Adopter une posture anticipative, c’est transformer une obligation réglementaire en véritable avantage concurrentiel.
