CRA et intelligence artificielle

Article

Par: Jean-Michel Besnard

Dans un premier volet, nous rappelons que le Cyber Resilience Act, ou CRA, marque une évolution majeure du cadre européen de cybersécurité : il ne vise plus seulement les organisations ou les infrastructures critiques, mais la sécurité intrinsèque des produits numériques eux-mêmes.

Cette logique prend une dimension particulière avec l’intelligence artificielle. Les entreprises qui développent ou déploient des solutions d’IA concentrent aujourd’hui une grande partie de leur attention sur l’AI Act. C’est une priorité légitime, mais qui ne couvre pas, à elle seule, l’ensemble des exigences de conformité et de cybersécurité applicables aux solutions intégrant de l’IA.

Le CRA (Règlement (UE) 2024/2847) impose des exigences de cybersécurité aux produits comportant des éléments numériques mis sur le marché européen. Là où l’AI Act encadre les risques propres aux systèmes d’IA, le CRA s’intéresse au produit numérique qui les embarque, les exécute ou les rend accessibles.

L’enjeu est structurant : lorsqu’une IA est intégrée dans un produit numérique, elle ne sera plus seulement évaluée sous l’angle de la gouvernance, de la transparence ou de la supervision humaine. Elle devra également être sécurisée, documentée, maintenue et surveillée comme un composant cyber du produit.

Le CRA ne régule pas l’IA : il régule les produits qui l’embarquent

Le CRA ne vise pas l’intelligence artificielle en tant que technologie autonome. Il vise les produits comportant des éléments numériques, c’est-à-dire les logiciels, matériels ou composants numériques mis à disposition sur le marché européen.

Une solution d’IA peut donc entrer dans le champ du CRA lorsqu’elle est intégrée à un produit numérique ou lorsqu’elle constitue une fonctionnalité essentielle de ce produit.

Cela peut concerner, par exemple, un logiciel métier intégrant un moteur d’IA, une solution de cybersécurité utilisant du machine learning, un système industriel recourant à l’IA pour l’aide à la décision, un dispositif connecté embarquant de l’analyse automatisée ou encore une plateforme logicielle dont certaines fonctionnalités reposent sur un traitement IA distant.

À l’inverse, le CRA ne signifie pas que toute utilisation interne de l’IA par une entreprise serait automatiquement concernée. Le point central reste celui du produit numérique mis à disposition sur le marché, de sa place dans la chaîne de valeur et du rôle de l’opérateur économique 
concerné : fabricant, importateur ou distributeur.

Deux règlements, deux questions complémentaires

L’AI Act et le CRA ne se substituent pas l’un à l’autre. Ils répondent à deux questions distinctes :

  • L’AI Act demande : le système d’IA est-il fiable, maîtrisé et acceptable au regard des risques qu’il crée ?
  • Le CRA demande : le produit numérique qui l’embarque est-il suffisamment sécurisé pour être mis sur le marché ?

Cette distinction est essentielle. L’AI Act traite notamment de la qualité des données, de la supervision humaine, de la transparence, de l’exactitude, de la robustesse et des risques liés à l’usage du système d’IA.

Le CRA, lui, traite de la cybersécurité du produit : sécurité dès la conception, gestion des vulnérabilités, mises à jour de sécurité, documentation technique, maîtrise des composants tiers et suivi post-commercialisation.

Les traiter séparément, sans articulation commune, peut créer des incohérences dans la gouvernance de conformité et de sécurité. L’enjeu n’est donc pas de conduire deux chantiers parallèles, mais de construire une trajectoire intégrée entre conformité IA et cybersécurité produit.

Un enjeu commercial, pas seulement réglementaire

Le CRA va progressivement faire entrer la cybersécurité produit au cœur des décisions d’achat. Les clients ne se limiteront plus aux seules fonctionnalités de la solution ; ils attendront des garanties sur sa sécurité, sa maintenabilité et sa conformité.

Une solution IA ne sera donc plus évaluée uniquement sur ses performances fonctionnelles ou la pertinence de ses résultats. Elle sera également évaluée sur sa capacité à être sécurisée, maintenue, documentée et auditée.

Pour les entreprises qui sauront le démontrer, le CRA deviendra un avantage concurrentiel. Il permettra de rassurer les clients, de réduire les frictions dans les cycles d’achat, de faciliter les réponses aux appels d’offres et de renforcer la confiance des parties prenantes.

La cybersécurité produit ne sera plus seulement une exigence technique. Elle deviendra un facteur de différenciation commerciale.

Le calendrier impose d’anticiper

L’application complète du CRA interviendra le 11 décembre 2027. À cette date, les exigences essentielles de cybersécurité, l’évaluation de conformité et le marquage CE (« Conformité Européenne ») deviendront des éléments structurants pour les produits concernés.

Mais la première échéance opérationnelle arrive plus tôt. À compter du 11 septembre 2026, les fabricants devront notifier les vulnérabilités activement exploitées et les incidents graves ayant un impact sur la sécurité des produits comportant des éléments numériques.

La conformité CRA suppose d’adapter les produits, les processus internes, la documentation de conformité, les dispositifs de support et la capacité à détecter, qualifier, corriger et notifier les vulnérabilités.

Pour les produits intégrant de l’IA, cette préparation implique également de maîtriser les composants logiciels, les dépendances, les mécanismes de mise à jour, les interfaces et les éléments techniques permettant de démontrer la sécurité du produit.

Notre conviction

Le CRA déplace la cybersécurité de la fin de projet vers la conception, et la responsabilité de l’utilisateur vers le fournisseur.

Pour les produits intégrant de l’IA, cette évolution est majeure. Le modèle, le code, les données d’exploitation, les composants et les dépendances logicielles deviennent des éléments de preuve.

Les organisations qui anticipent dès maintenant ne se contenteront pas de répondre à une obligation réglementaire. Elles pourront transformer la cybersécurité produit en un véritable actif commercial, facteur de confiance, de différenciation et d’accélération des ventes.

Grant Thornton accompagne les éditeurs, fabricants et intégrateurs dans la qualification de leurs produits intégrant de l’IA, l’analyse d’applicabilité CRA / AI Act et la structuration d’une trajectoire de conformité pragmatique, orientée sécurité produit et mise sur le marché.