Dans moins de cinq mois, tout fabricant d’équipement connecté commercialisé dans l’Union européenne devra notifier ses vulnérabilités exploitées sous 24 heures. Les amendes pourrons atteindre jusqu’à 15 millions d’euros.
Pour les industriels, la fenêtre de mise en conformité se referme et la plupart des firmwares actuellement en production ne sont pas prêts.
Le CRA, en bref : ce que change le règlement (UE) 2024/2847
Adopté en décembre 2024, le Cyber Resilience Act (CRA) est le premier règlement européen à imposer des exigences de cybersécurité obligatoires à l’ensemble des « produits comportant des éléments numériques » vendus sur le marché de l’UE. Concrètement : tout équipement matériel ou logiciel capable de communiquer avec un réseau, capteurs industriels, automates, passerelles IoT, compteurs communicants, équipements de poste électrique, contrôleurs embarqués entre dans son champ d’application.
Un produit intégrant des éléments numériques devra être conforme au Cyber Resilience Act (CRA), sans quoi il ne pourra pas obtenir le marquage CE.
Le règlement s’applique aux fabricants, mais aussi aux importateurs et distributeurs. Il classe les produits en trois niveaux de criticité qui déterminent la procédure d’évaluation de conformité applicable :
- produits « par défaut »,
- produits « importants » (classes I et II),
- et produits « critiques »
Les équipements les plus sensibles (microprocesseurs résistants aux falsifications, modules de sécurité matériels) devront passer par une certification européenne obligatoire.
Trois échéances
11
Juin
2026
Désignation des organismes d’évaluation de la conformité (CAB). À partir de cette date, les fabricants peuvent soumettre leurs produits importants et critiques à évaluation.
11 septembre 2026
Entrée en vigueur des obligations de notification : toute vulnérabilité activement exploitée doit être signalée à l’ENISA dans les 24 heures, avec rapport complet sous 72 heures et rapport final sous 14 jours. La transmission au CERT-FR de l’ANSSI est automatique.
11 décembre 2027
Application complète. Marquage CE étendu obligatoire, exigences essentielles applicables, gestion des vulnérabilités sur 5 ans minimum.
Les quatre obligations qui vont transformer votre cycle produit
Au-delà du calendrier, le CRA introduit quatre obligations opérationnelles qui touchent directement les équipes R&D, qualité et cybersécurité des fabricants.
Le SBOM devient un livrable réglementaire
Le Software Bill of Materials, la nomenclature exhaustive des composants logiciels, dépendances et versions présentes dans un firmware, passe du statut de bonne pratique à celui de pièce du dossier de conformité. Sans SBOM à jour, impossible de démontrer la maîtrise de votre chaîne d’approvisionnement logicielle, ni de tracer rapidement l’exposition d’un parc déployé en cas de vulnérabilité critique sur un composant open source.
La gestion des vulnérabilités s’étend sur toute la durée de vie
Les fabricants doivent assurer le suivi, la correction et la communication des vulnérabilités pendant toute la durée de support du produit, ou au minimum cinq ans après sa mise sur le marché.
Cette obligation s’applique aux produits existants déjà en circulation au moment de l’entrée en application du règlement, ce qui pose un défi majeur pour les industriels ayant un parc installé important d’équipements à cycles de vie longs.
La notification sous 24 heures change le rythme opérationnel
Disposer d’un processus de détection et de notification capable de tenir les délais de l’article 14 ( 24h, 72h, 14 jours) exige une analyse continue du parc. Les approches ponctuelles, audit annuel ou pentest avant lancement, ne suffisent plus. Il faut surveiller en temps réel l’exposition de chaque firmware à de nouvelles CVE publiées.
Au delà de cette obligation, il en va de la réputation de votre marque !
ZeroDayClock dresse un constat alarmant, en 2026 il faut un peu plus de 48h pour passer de la découverte d’une vulnérabilité à son exploitation active. De même avec les Zero Day. Avec l’intelligence artificielle et la sofistication des solutions des attaquants, en 2027 on passera sous l’heure.
La sécurité dès la conception devient l’exigence par défaut
L’annexe I du règlement impose la mise sur le marché de produits sans vulnérabilités exploitées connues, une configuration de sécurité par défaut, la protection de la confidentialité et de l’intégrité des données, et la fourniture de mises à jour pour corriger les failles. Ces principes doivent être intégrés dans le pipeline de développement et non pas seulement vérifiés en fin de cycle.
Le coût de la non-conformité : pas seulement financier
Les sanctions financières du CRA atteignent 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial, retenu le montant le plus élevé. Mais pour la plupart des industriels, l’enjeu n’est pas l’amende : c’est le pouvoir donné aux régulateurs d’ordonner le rappel ou le retrait du marché d’un produit non conforme. Dans des secteurs où un lancement produit représente plusieurs années d’investissement R&D, cette sanction est généralement plus dommageable que n’importe quelle pénalité financière.
Pour les fabricants qui découvrent le règlement maintenant, le calendrier reste tenable mais serré : il faut compter 3 à 6 mois pour mettre en place les artefacts de base : politique CVD, SBOM, processus 24h, et beaucoup plus pour ré-architecturer un produit existant.
Exein Analyzer : l’outil opérationnel de la conformité CRA
Exein Analyzer est une plateforme d’analyse statique binaire de firmware conçue pour répondre aux exigences techniques du CRA.
Elle fonctionne sans accès au code source, sans agent installé sur l’équipement, sans SDK à intégrer. Le binaire compilé suffit.
EXEIN ANALYZER
Génération automatique du SBOM
Exein Analyzer s’intègre nativement aux principaux outils de build embarqué et scanne automatiquement chaque nouvelle image générée.
Le SBOM produit liste l’ensemble des composants tiers et open source détectés dans le firmware, avec leurs versions. Il devient une sortie de votre CI/CD, prêt à être versionné et exporté pour vos partenaires, auditeurs et dossiers de conformité.
Détection des CVE en temps réel et alertes
La plateforme croise en continu votre SBOM avec les bases publiques de vulnérabilités (NVD, CVE List). Lorsqu’une nouvelle CVE affecte un composant présent dans vos firmwares déployés, vous êtes alerté, avec une priorisation par criticité et exploitation.
C’est un des points qui vous permet de respecter le délai de notification de 24 heures imposé par l’article 14 du CRA.
Contrôles de conformité réglementaire
Au-delà du SBOM et des CVE, Exein Analyzer vérifie les exigences essentielles de l’annexe I : mots de passe codés en dur, certificats cryptographiques compromis, paramètres de compilation non sécurisés (stack canaries, ASLR, NX), configurations par défaut faibles. Le rapport sort directement exploitable pour vos évaluations de conformité.
L’outil couvre Linux embarqué, RTOS, Docker, UEFI, Android et U-Boot, soit l’ensemble des environnements rencontrés dans l’IoT industriel et les équipements embarqués modernes.
Par où commencer
Trois actions immédiates, indépendamment de votre niveau de maturité vis à vis de la CRA :
- Inventaire de vos firmwares : Quels produits, quelles versions, quels composants tiers utilisés ? Sans cette cartographie de départ, la démarche de mise en conformité est impossible.
- Premier scan d’évaluation : Un audit du binaire de vos firmwares représentatifs permet de mesurer l’écart avec les exigences essentielles et de prioriser les actions.
- Mise en place du processus de notification 24h : Désignation d’un référent CVD, ouverture du compte sur la Single Reporting Platform de l’ENISA, formalisation du processus interne.