Stream

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats à l'échelle de l'entreprise
Horizon

CLM

Gestion du cycle de vie des certificats : découverte, gouvernance et automatisation
Parler à un expert Voir toutes les intégrations

Cas d'usage

Certificats serveur TLS

Sécurisez le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous vos certificats

Certificats DevOps

Automatisez pour les pipelines CI/CD

Chiffrement d'e-mails

S/MIME pour la messagerie d'entreprise
Voir tous les cas d'usage

Secteurs

Banque & Finance

Secteur public

Santé

Énergie & Utilities

Aérospatial & Défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations européennes en cybersécurité

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique et services de confiance

RGPD

Protection des données et vie privée

Cyber Resilience Act

Règlement européen sur la sécurité des produits
Voir toutes les réglementations
Parler à un expert

Apprendre

Guides

43 articles

Guides PKI et tutoriels approfondis

Glossaire

50+ termes

Terminologie PKI et cryptographie

Centre d'apprentissage

Vidéos et ressources pédagogiques

Livres blancs

Ressources techniques détaillées

Outils & Analyses

Crypto Decoder

Gratuit

Décodez et validez des certificats

Blog & Analyses

Tendances et analyses cybersécurité

Actualités

Actualités et annonces de l'entreprise

Événements & Communauté

Webinaires

Sessions animées par nos experts PKI

Événements & Conférences

Retrouvez-nous partout dans le monde

Kit média

Logos et ressources de marque
Contacter le commercial Explorer toutes les ressources
Article de blog

Se préparer au Cyber Resilience Act (CRA) de l'UE

24 février 2026
9 min de lecture

Publié le

24 février 2026

La surface d'attaque exploitable par des acteurs malveillants a connu une croissance exponentielle. Rien qu'en 2024, les pertes liées à la cybercriminalité déclarées aux États-Unis ont dépassé 16 milliards de dollars, principalement portées par l'exploitation de vulnérabilités et les rançongiciels visant les systèmes connectés. 

Parallèlement, les défaillances de la chaîne d'approvisionnement logicielle sont devenues un risque mondial critique, avec une hausse de 36 % en un an des vulnérabilités à haut risque. Pour combattre cette vulnérabilité systémique, l'Union européenne a adopté le Cyber Resilience Act (CRA), une réglementation majeure qui établit un cadre de cybersécurité unifié et obligatoire couvrant l'ensemble du cycle de vie des produits.

À propos du Cyber Resilience Act (CRA)

Le changement de paradigme fondamental introduit par le CRA est le transfert légal de la responsabilité en matière de cybersécurité : elle passe de l'utilisateur final aux opérateurs économiques : fabricants, importateurs et distributeurs. La réglementation impose à ces entités :

  • D'intégrer la sécurité dès la conception (security by design) : la cybersécurité doit être prise en compte à chaque étape du cycle de vie d'un produit. Les fabricants ne peuvent légalement plus commercialiser de produits présentant des vulnérabilités exploitables connues et doivent imposer une configuration « secure by default ».
  • De conduire des évaluations de conformité. Avant la mise sur le marché européen, les fabricants doivent évaluer et documenter formellement leur conformité, ce qui se traduit par l'apposition du marquage CE.
  • D'assurer une remédiation rapide des vulnérabilités : en surveillant, signalant et corrigeant activement les vulnérabilités et les incidents graves tout au long de la période de support définie pour le produit.

Les sanctions financières en cas de non-respect de ces obligations sont sévères. Une violation des exigences fondamentales de cybersécurité ou des obligations de notification peut entraîner des amendes administratives pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial de l'organisation, le montant le plus élevé étant retenu. En outre, les autorités de surveillance du marché disposent du pouvoir d'ordonner des rappels obligatoires de produits ou d'interdire totalement la commercialisation de produits non conformes sur le marché européen.

Définitions essentielles

Cyber Resilience Act definitions

Champ d'application

La portée juridictionnelle du CRA est volontairement étendue et lourde de conséquences pour la conception des infrastructures à l'échelle mondiale.

Périmètre des produits

Le CRA s'applique à pratiquement tout matériel ou logiciel connecté distribué commercialement au sein de l'UE. Toutefois, l'inclusion des « solutions de traitement de données à distance » élargit considérablement le filet.

Prenons l'exemple d'un fabricant produisant des capteurs industriels connectés. Non seulement le matériel du capteur et le firmware embarqué doivent se conformer au CRA, mais le tableau de bord cloud et l'API backend nécessaires à la configuration et à la supervision de ces capteurs entrent eux aussi pleinement dans le périmètre. Les sites web qui se limitent à fournir des informations marketing sont exemptés, mais les services cloud backend essentiels au fonctionnement d'un appareil sont strictement réglementés.

Les exceptions sont étroites et généralement limitées aux secteurs déjà encadrés par des réglementations strictes en matière de sécurité, comme les dispositifs médicaux, l'aviation et les produits de défense nationale.

Périmètre opérationnel

La réglementation s'applique aux « opérateurs économiques » qui mettent des produits sur le marché, indépendamment du lieu où ces entités ont leur siège. 

Cela signifie qu'un éditeur logiciel basé aux États-Unis ou un fabricant d'électronique en Asie doit assurer une conformité totale dès lors que ses produits sont utilisés au sein de l'Espace économique européen (EEE). 

Les importateurs et les distributeurs partagent cette charge : ils sont légalement tenus de vérifier que le fabricant a réalisé les évaluations de conformité nécessaires et apposé le marquage CE avant de faciliter la vente.

Reprenez le contrôle de votre infrastructure PKI

Découvrez comment Evertrust simplifie la gestion de vos certificats.

Démarrer

Calendrier de mise en œuvre

Le CRA est officiellement entré en vigueur le 10 décembre 2024, déclenchant une période de transition échelonnée. Les responsables d'infrastructures doivent aligner leurs feuilles de route produit sur les échéances critiques suivantes :

Cyber Resilience Act implementation timeline

  • Début 2026 : la Commission européenne publiera les lignes directrices officielles d'application.
  • 11 juin 2026 : entrée en vigueur des dispositions encadrant la notification et le fonctionnement des organismes d'évaluation de la conformité.
  • 11 septembre 2026 : application immédiate de l'article 14. Les obligations de notification pour les vulnérabilités activement exploitées et les incidents graves entrent en vigueur via la plateforme de signalement unique de l'ENISA.
  • 11 décembre 2027 : application complète du CRA. Tous les produits concernés devront démontrer une conformité vérifiable et porter le marquage CE pour entrer sur le marché européen ou y rester.

Le creuset de la notification : les échéances de l'article 14

Le défi opérationnel le plus immédiat pour les RSSI est l'activation, le 11 septembre 2026, des obligations de notification de l'article 14. Celles-ci s'appliquent à tous les produits dans le périmètre, y compris ceux déjà commercialisés. Lorsqu'un fabricant identifie une vulnérabilité activement exploitée ou un incident de sécurité grave, il doit notifier son Computer Security Incident Response Team (CSIRT) national ainsi que l'ENISA via un portail centralisé.

La cadence requise est extrêmement exigeante et impose des workflows de réponse à incident hautement automatisés :

  1. Sous 24 heures : transmettre une notification d'alerte précoce détaillant le produit affecté et les territoires impactés connus.
  2. Sous 72 heures : fournir une notification de vulnérabilité, incluant la nature de l'exploit et les actions correctives immédiates.
  3. Sous 14 jours : remettre un rapport final détaillé confirmant le déploiement d'une mesure corrective définitive ou d'un correctif.

La convergence des crises : la réduction de la durée de vie des certificats

Vient compliquer le mandat du CRA en matière de connectivité continue et sécurisée un bouleversement majeur de la sécurité web fondamentale. Le CA/Browser Forum a imposé une réduction radicale de la durée de vie des certificats TLS publics.

  • 15 mars 2026 (bientôt) : la validité maximale tombe à 200 jours.
  • 15 mars 2027 : la validité maximale tombe à 100 jours.
  • 15 mars 2029 : la validité maximale s'effondre à seulement 47 jours.

Le CRA exige que les équipements distants se reconnectent régulièrement pour recevoir des mises à jour de sécurité critiques. Si une organisation s'appuie sur un suivi manuel par tableur, le passage à des renouvellements de 47 jours garantit l'erreur humaine. Un certificat TLS backend expiré coupe la connexion à l'équipement de terrain, provoquant une interruption immédiate. 

Les enjeux financiers sont colossaux : les analystes estiment qu'une panne grave liée à un certificat peut coûter jusqu'à 15 millions de dollars par événement aux entreprises modernes, soit entre 5 600 et 16 670 dollars par minute d'indisponibilité. La gestion manuelle des certificats est fondamentalement incompatible avec les exigences de disponibilité et de patching automatisé du CRA.

Comment garantir la conformité ?

Pour respecter les échéances de 2026 et 2027, les équipes d'ingénierie et d'infrastructure doivent passer d'une sécurité réactive à une conformité continue, appliquée cryptographiquement.

1. Mettre en place un inventaire cryptographique continu

Cela inclut l'identification de tous les actifs cryptographiques, des certificats TLS des serveurs web aux clés embarquées dans les objets connectés. Compte tenu de l'arrivée prochaine des certificats à 47 jours, le suivi manuel peut être remplacé par des plateformes automatisées de Certificate Lifecycle Management (CLM) capables d'assurer la découverte continue, le renouvellement automatisé et la révocation en temps réel.

Envie d’approfondir la gestion des certificats ?

Explorez nos ressources sur les bonnes pratiques PKI.

Centre éducatif

2. Auditer la chaîne d'approvisionnement logicielle et générer des SBOM exploitables 

Le CRA exige la création et la tenue à jour d'un SBOM lisible par machine. Toutefois, générer une liste statique ne suffit pas. Les normes émergentes alignées sur le CRA, comme la TR-03183-2 du BSI allemand, exigent explicitement que les SBOM soient sécurisés par des sommes de contrôle cryptographiques et des signatures numériques afin de prouver l'intégrité des données.

3. Opérationnaliser la fenêtre de remédiation à 14 jours 

Les équipes de sécurité doivent concevoir et soumettre à des tests de charge des pipelines de réponse à incident capables de respecter les échéances de notification ENISA à 24 heures, 72 heures et 14 jours. Cela requiert une intégration étroite entre la threat intelligence, les pipelines CI/CD et les plateformes de gestion des équipements pour isoler rapidement les systèmes compromis et déployer les correctifs.

Répondre aux exigences du CRA avec la PKI et le CLM

Si le CRA est neutre sur le plan technologique, concevoir une solution qui satisfait à ses exigences essentielles repose largement sur une infrastructure à clé publique robuste et hautement automatisée.

  • Imposer une authentification sécurisée (exigence I2d) : 

Le CRA exige l'élimination des mots de passe par défaut et impose des contrôles d'accès robustes. En injectant un certificat IDevID (Initial Device Identity) unique dans une racine de confiance matérielle (comme un TPM ou un élément sécurisé) lors de la fabrication, les équipements bénéficient d'une authentification adossée à un certificat, cryptographiquement sécurisée, dès la mise sous tension.

  • Sécuriser les données en transit (exigence I2e) : 

La réglementation exige un chiffrement à l'état de l'art pour la transmission des données. Une PKI automatisée dynamique garantit que toutes les communications entre équipements et cloud s'appuient sur du TLS 1.3 fortement authentifié ou sur des protocoles MQTT sécurisés, empêchant toute interception.

  • Garantir l'intégrité des mises à jour (exigence II7) : 

Le CRA impose des mécanismes pour distribuer de manière sécurisée les correctifs de vulnérabilités. Cela rend nécessaire un code signing strict, piloté par politique. En signant numériquement toutes les mises à jour de firmware et en validant ces signatures sur l'équipement avant exécution, les fabricants empêchent les acteurs malveillants de détourner le mécanisme de mise à jour pour injecter des logiciels malveillants.

  • Atténuation rapide des incidents : 

En cas de compromission grave nécessitant une résolution ENISA à 14 jours, une plateforme automatisée de Certificate Lifecycle Management (CLM) permet aux administrateurs de localiser et révoquer instantanément les certificats des équipements compromis, coupant leur accès au réseau de l'entreprise, tout en déployant en parallèle des mises à jour fraîchement signées pour sécuriser le reste du parc.

Conclusion

Le Cyber Resilience Act modifie durablement l'économie et l'ingénierie des produits numériques. La sécurité ne peut plus être ajoutée en fin de cycle de développement ; elle doit être vérifiable cryptographiquement, de la conception au démantèlement.

En s'appuyant sur une infrastructure à clé publique mature, du code signing automatisé et un Certificate Lifecycle Management de niveau entreprise, les organisations peuvent répondre aux exigences pointues du CRA en matière d'identité, d'intégrité et de réponse rapide aux vulnérabilités. La bascule vers ces cadres automatisés ne se contente pas de garantir la conformité et d'éviter des amendes dévastatrices : elle transforme la résilience organisationnelle en avantage concurrentiel distinctif sur un marché mondial fortement réglementé.

Cet article vous a-t-il été utile ?
Retour au blog

Sommaire

Restez informé

Recevez nos dernières analyses PKI directement dans votre boîte mail.

En vous inscrivant, vous acceptez de recevoir nos communications.

Articles similaires

Evertrust PQC

Are European enterprises ready for Post-Quantum Cryptography (PQC) migration? The gaps and the path forward

September 10, 2025
1 min

Explore why PQC adoption lags in Europe, the real blockers, and how to achieve quantum-safe security.

Read more
Evertrust PQC

NIST Releases New Post-Quantum Cryptography Standards

September 10, 2025
1 min

Discover NIST’s new Post-Quantum Cryptography standards (FIPS 203, 204, 205) and how Evertrust is preparing to integrate them for enhanced cybersecurity.

Read more
Evertrust ACME

ACME Clients on Linux

February 12, 2024
1 min

The ACME protocol is a network protocol designed to automate the process of domain validation, deliverance and renewal of X.509 certificates. The process is set up between an ACME server and an ACME client.

Read more

Prêt à reprendre le contrôle de vos certificats ?

Échangez avec nos experts et découvrez comment Evertrust peut vous aider à mettre en place les meilleures pratiques en matière de PKI et de gestion du cycle de vie des certificats.

Parler à un expert