Le Cyber Resilience Act (CRA) n'est pas une simple recommandation : c'est une révolution législative européenne. Pour la première fois dans l'histoire de l'UE, la responsabilité de la sécurité informatique pèse légalement sur le fabricant du produit, et non plus sur l'utilisateur final.

Qui est concerné par le CRA ?

Contrairement à ce que son nom pourrait suggérer, le CRA ne s'adresse pas seulement aux grandes entreprises de cybersécurité. Il s'applique à toute organisation qui conçoit, développe ou commercialise des produits comportant des éléments numériques sur le marché européen :

  • Les éditeurs de logiciels (SaaS, applications, firmware)
  • Les fabricants d'objets connectés (IoT)
  • Les constructeurs de matériel informatique
  • Les agences digitales développant des solutions pour leurs clients

Si votre produit se connecte à un réseau, collecte des données ou peut être mis à jour à distance, il est très probablement concerné.

L'obligation du marquage CE cybersécurité

D'ici décembre 2027, tout logiciel ou produit connecté vendu en Europe devra porter le marquage CE. Mais contrairement aux jouets ou aux appareils électroménagers, ce marquage certifiera ici que votre code est :

  • Exempt de vulnérabilités connues au moment de la mise sur le marché
  • Conçu avec une approche "security by design"
  • Accompagné d'un engagement de mises à jour de sécurité sur toute la durée de vie du produit
  • Documenté par un SBOM (Software Bill of Materials) complet

⚠️ Votre produit est-il prêt pour l'audit ?

La mise en conformité technique (SBOM, Security by Design, documentation) prend en moyenne 12 à 18 mois. Avec l'échéance de décembre 2027, il est urgent d'agir. Ne risquez pas l'interdiction de vente de vos produits sur le marché européen.

Obtenir un pré-diagnostic gratuit →

Les deux classes de produits CRA

Le CRA distingue deux catégories de produits selon leur niveau de risque cybersécurité :

Classe I (risque élevé) : navigateurs, gestionnaires de mots de passe, antivirus, VPN, systèmes industriels. Ces produits nécessitent un audit par un organisme tiers notifié.

Classe II (risque critique) : hyperviseurs, SIEM, pare-feux industriels, microprocesseurs. Soumis aux exigences les plus strictes.

Pour les produits hors classification (la majorité), une auto-évaluation est possible — mais elle engage pleinement la responsabilité du fabricant.

Le besoin critique d'un accompagnement expert

La complexité du texte de loi rend l'auto-évaluation extrêmement risquée. Une erreur d'interprétation sur la catégorie de votre produit peut entraîner des amendes allant jusqu'à 15 millions d'euros ou 2,5 % de votre chiffre d'affaires mondial.

Notre service répond précisément à ce besoin en offrant :

  • Analyse des écarts : nous identifions les failles dans votre cycle de développement actuel.
  • Plateforme SaaS : automatisez la génération de vos rapports ENISA et la gestion de vos SBOM.
  • Garantie de conformité : nous vous accompagnons jusqu'à l'obtention de votre marquage CE.

Sécurisez votre avenir en Europe

Rejoignez les entreprises qui utilisent déjà notre plateforme SaaS pour automatiser leur conformité CRA et se concentrer sur leur cœur de métier.

Demander une démonstration →