Retour aux Insights
Security 8 min de lecture

Le Cyber Resilience Act (CRA) : échéances, implications pour PME et collectivités, et feuille de route 2026–2027

Le Cyber Resilience Act (CRA) est désormais en vigueur. Première échéance ferme : 11 septembre 2026 ; conformité complète : 11 décembre 2027 — ce que cela implique pour les PME, les collectivités et toute organisation, avec une feuille de route.

Iulian — CyberBuild
Founder & lead engineer
25 juin 2026
Le Cyber Resilience Act (CRA) : échéances, implications pour PME et collectivités, et feuille de route 2026–2027

En bref

Le Cyber Resilience Act (CRA, Règlement (UE) 2024/2847) est désormais en vigueur. Il fixe des règles de cybersécurité obligatoires pour presque tout produit comportant des éléments numériques vendu dans l'UE — matériel, logiciel, firmware et services connectés. Il est entré en vigueur le 10 décembre 2024 et s'applique par étapes, avec une première échéance ferme le 11 septembre 2026 et une conformité complète à partir du 11 décembre 2027.

Si votre organisation fabrique, revend ou même se contente d'acheter des produits connectés ou des logiciels, le CRA vous concerne. Voici l'essentiel, par date et par type d'organisation.

Les échéances qui comptent

| Date | Ce qui s'applique | | --- | --- | | 10 déc. 2024 | Entrée en vigueur du CRA | | 11 juin 2026 | Règles pour les organismes d'évaluation de la conformité ; désignation des autorités | | 11 sep. 2026 | Début des obligations de signalement — les fabricants signalent les vulnérabilités activement exploitées et les incidents graves | | 11 déc. 2027 | Conformité complète — toutes les exigences essentielles, évaluation de la conformité et marquage CE |

À partir du 11 septembre 2026, un fabricant qui a connaissance d'une vulnérabilité activement exploitée ou d'un incident grave doit envoyer :

  • une alerte précoce sous 24 heures,
  • une notification plus complète sous 72 heures,
  • un rapport final sous 14 jours (vulnérabilités, une fois un correctif disponible) ou sous un mois (incidents graves),

au CSIRT national et à l'ENISA, via la plateforme unique de signalement du CRA. Cela s'applique même aux produits déjà sur le marché — les produits existants ne sont pas exemptés de signalement.

Qui est concerné

Le CRA couvre les produits comportant des éléments numériques : IoT et matériel connecté, routeurs et appareils intelligents, logiciels autonomes et firmware, ainsi que les solutions de traitement à distance (cloud et applications web liées à un produit).

Les rôles impliquent des obligations différentes :

  • Les fabricants portent les obligations principales : sécurité dès la conception, gestion des vulnérabilités, mises à jour de sécurité, documentation technique, évaluation de la conformité et marquage CE.
  • Les importateurs et distributeurs doivent vérifier la conformité avant la vente, refuser les produits non conformes et coopérer avec les autorités.
  • Les gestionnaires d'open-source et les développeurs open-source non commerciaux sont exemptés des amendes administratives.

Environ 90 % des produits relèvent d'une classe par défaut où le fabricant procède à une auto-évaluation. Le reste est « important » ou « critique », avec une évaluation plus stricte — les produits critiques nécessitent un audit externe.

Les sanctions

  • Jusqu'à 15 millions € ou 2,5 % du chiffre d'affaires annuel mondial pour non-respect des exigences essentielles.
  • Jusqu'à 10 millions € ou 2 % pour informations incorrectes ou incomplètes.
  • Jusqu'à 5 millions € ou 1 % pour défaut de coopération avec les autorités.

Ce que cela implique pour les PME

Le CRA atteint une PME de deux manières :

Si vous construisez ou vendez quelque chose de numérique — un produit connecté, un logiciel, un firmware, un SaaS ou une application web mis sur le marché de l'UE — vous êtes probablement un fabricant au sens du CRA. Il vous faudra un développement sécurisé dès la conception, une nomenclature logicielle (SBOM), un processus de gestion des vulnérabilités et de mise à jour, une documentation technique et (à partir de déc. 2027) le marquage CE. L'obligation de signalement commence plus tôt, en septembre 2026.

Si vous ne faites qu'acheter et utiliser des produits connectés et des logiciels, vous n'êtes pas directement obligé, mais le CRA vous aide quand même : à partir de 2027, les produits sur le marché de l'UE devront atteindre un socle minimal. Demandez à vos fournisseurs si leur feuille de route est prête pour le CRA, et faites de la conformité CRA/CE un critère d'achat.

Ce que cela implique pour les collectivités

La plupart des collectivités sont acheteuses, donc le travail concret est dans les achats : exiger des produits conformes au CRA, marqués CE, et demander aux fournisseurs leur calendrier de conformité. Mais une collectivité qui développe ou commande son propre logiciel (portails citoyens, applications) peut être concernée en tant que fabricant. Le CRA va de pair avec NIS2, qui couvre déjà de nombreux organismes publics — traitez-les comme un seul programme, pas deux.

Ce que cela implique pour toute organisation

  • Vous dépendez de produits connectés et de logiciels, que vous les construisiez ou non. Un composant faible est aussi votre risque.
  • La vérification des fournisseurs, un inventaire des actifs et un processus de gestion des vulnérabilités sont désormais des attentes de base, pas des options.

Une feuille de route pratique

Maintenant → mi-2026 — cartographier et classer

  1. Inventoriez chaque produit comportant des éléments numériques que vous fabriquez, revendez ou utilisez.
  2. Déterminez votre rôle pour chacun : fabricant, importateur, distributeur ou utilisateur.
  3. Réalisez une analyse d'écarts par rapport aux exigences essentielles.

Avant le 11 septembre 2026 — prêt à signaler (si vous êtes fabricant) 4. Mettez en place un processus de gestion des vulnérabilités et des incidents avec la cascade 24h / 72h / 14 jours. 5. Configurez la surveillance des vulnérabilités activement exploitées et préparez-vous à déclarer via la plateforme CRA.

2026 → 2027 — concevoir pour la conformité 6. Adoptez la sécurité dès la conception, tenez un SBOM, définissez une politique de mises à jour de sécurité et rédigez la documentation technique. 7. Choisissez la bonne voie de conformité (auto-évaluation, « important » ou audit externe « critique ») et préparez le marquage CE.

Avant le 11 décembre 2027 — conformité complète 8. Tout nouveau produit mis sur le marché de l'UE doit respecter pleinement le CRA.

Vous ne savez pas où vous en êtes ?

Le plus difficile est souvent la première étape : déterminer si le CRA vous considère comme fabricant et quels produits sont concernés. C'est exactement ce que couvre notre appel gratuit de 30 minutes — nous cartographions vos produits, votre rôle et votre échéance la plus proche, et nous vous disons quoi faire en premier.

Cet article est un résumé pratique, pas un conseil juridique. Le texte contraignant est le Règlement (UE) 2024/2847. Les dates et les orientations peuvent évoluer — vérifiez les sources officielles avant d'agir.

Vous voulez la checklist complete ?

Nous vous envoyons une version pratique (RO/EN) utilisee dans des projets reels.

Envie d'en discuter ?

Discussion gratuite de 30 min — sans engagement.

Réserver un appel