Cyber Resilience Act : ce que le 11 septembre 2026 signifie pour les fabricants de produits numériques
À partir du 11 septembre 2026 s'appliquent les premières obligations contraignantes du CRA. Ce que la notification des vulnérabilités activement exploitées, la SBOM et la sécurité dès la conception signifient concrètement pour les fabricants, importateurs et distributeurs.
Dans à peine trois mois, un règlement devient réalité opérationnelle. À partir du 11 septembre 2026 prennent effet les premières obligations contraignantes du Cyber Resilience Act (règlement (UE) 2024/2847), précisément celles qui supposent le plus de processus : la notification des vulnérabilités activement exploitées et des incidents de sécurité graves. Les autres obligations de produit et de conformité suivent avec l’application complète le 11 décembre 2027.
Quiconque fabrique, importe ou distribue dans l’UE des produits comportant des éléments numériques ne devrait donc pas traiter septembre comme une date lointaine, mais comme le jour où une voie de notification opérationnelle doit exister.
Ce qui commence le 11 septembre 2026
Le CRA oblige les fabricants à notifier une vulnérabilité activement exploitée ou un incident de sécurité grave selon une procédure échelonnée. Un premier avertissement précoce part dans les 24 heures vers le CSIRT compétent et vers l’ENISA, une notification plus détaillée suit dans les 72 heures, un rapport final plus tard. Le tout passe par une plateforme de notification européenne centralisée.
La distinction avec NIS2 est importante : là, une entité concernée notifie des incidents survenus dans sa propre exploitation. Avec le CRA, le fabricant notifie une vulnérabilité dans son produit, quel que soit le client chez qui elle est exploitée. Les deux régimes peuvent s’appliquer en même temps, et ils exigent des voies de notification distinctes.
Ce qui s’ajoute d’ici décembre 2027
L’obligation de notification n’est que la première brique. Avec l’application complète, le CRA exige une sécurité démontrable sur l’ensemble du cycle de vie du produit :
- Sécurité dès la conception : la sécurité fait partie du développement, et non d’un ajout ultérieur. Cela inclut des réglages par défaut sécurisés et une surface d’attaque maintenue aussi réduite que possible.
- Nomenclature logicielle (SBOM) : les fabricants doivent connaître et documenter les composants et dépendances qu’ils intègrent. Sans cette nomenclature, une nouvelle vulnérabilité laisse sans réponse une question simple : mon produit est-il concerné ?
- Gestion des vulnérabilités et mises à jour : les mises à jour de sécurité doivent être fournies pendant au moins cinq ans, ou pendant la durée de vie attendue du produit si celle-ci est plus courte.
- Marquage CE : à partir de décembre 2027, les produits comportant des éléments numériques ne pourront plus être mis sur le marché de l’UE sans conformité au CRA.
Il n’existe pas d’exception pour les petites et moyennes entreprises. Quiconque fabrique ou importe des produits concernés relève du règlement, quelle que soit sa taille.
Ce que cela signifie en pratique
L’obligation de notification à partir de septembre est, sur le plan organisationnel, plus exigeante que ne le laisse penser le court délai. Vingt-quatre heures jusqu’à l’avertissement précoce ne laissent pas le temps de commencer par clarifier une responsabilité. Il faut au préalable un responsable désigné, un processus documenté et la capacité technique de détecter un incident en temps utile, tout simplement.
C’est précisément ici que se rejoignent deux sujets souvent traités séparément : la détection (surveillance et posture de sécurité) et la preuve (une trace traçable de qui a notifié quoi et quand). Quiconque a déjà bâti les deux pour NIS2 ou ISO 27001 peut s’appuyer dessus. Dans notre module Datargo Monitor, ce schéma de surveillance continue et de preuve auditable est intégré, mais l’exigence réglementaire vaut indépendamment de l’outil : sans détection fiable, tout délai de notification tourne à vide.
Ce qui est judicieux dès maintenant
Trois étapes valent la peine avant septembre : premièrement, clarifier lesquels de ses propres produits comptent comme « produits comportant des éléments numériques » et tombent ainsi dans le champ d’application. Deuxièmement, mettre en place le processus de notification des vulnérabilités activement exploitées, avec une responsabilité claire et les délais de 24 heures, 72 heures et rapport final. Troisièmement, commencer à constituer une SBOM, car elle est la condition pour pouvoir dire, le cas échéant, si l’on est concerné.
Le 11 septembre 2026 ne marque pas la fin de la préparation, mais le début de l’obligation. Le travail qui se cache derrière, détection et documentation, ne se rattrape pas en 24 heures.