La loi européenne sur la cyber-résilience (CRA) fixe des normes de cybersécurité obligatoires pour presque tous les produits matériels ou logiciels qui se connectent à un réseau. Il s'agit en quelque sorte du "label CE pour la sécurité" : avant qu'un produit contenant des éléments numériques puisse être vendu dans l'UE, le fabricant doit prouver qu'il a été conçu de manière sécurisée, qu'il est livré sans vulnérabilités exploitables connues et qu'il peut être maintenu en sécurité tout au long de sa durée de vie. 

Vue d'ensemble de l'ARC

L'ARC est un règlement européen (règlement (UE) 2024/2847) qui est entré en vigueur le 10 décembre 2024 et s'appliquera intégralement à partir du 11 décembre 2027. En tant que règlement, il est directement contraignant dans chaque État membre sans transposition nationale.

Objectif : combler les lacunes en matière de sécurité des produits connectés en transférant la responsabilité aux opérateurs économiques qui en tirent profit.

Champ d'application : Tous les "produits comportant des éléments numériques" (matériel, logiciels et leurs composants de traitement de données à distance) mis sur le marché de l'UE, à moins qu'ils ne soient couverts par un autre régime sectoriel spécifique tel que les dispositifs médicaux ou la réception par type des véhicules automobiles. Les logiciels libres fournis gratuitement et non commercialisés sont exclus du champ d'application.

Autorité : Les autorités de surveillance du marché de chaque État membre vérifieront le respect de la réglementation. En cas de non-respect, des rappels peuvent être effectués et des amendes peuvent être infligées, pouvant aller jusqu'à 15 millions d'euros ou 2 % du chiffre d'affaires mondial.

En savoir plus : Qu'est-ce que la loi sur la cyber-résilience ?

Quelles sont les principales exigences de l'ARC ?

La loi sur la cyber-résilience définit des attentes claires en matière de sécurité et de conformité pour toute entreprise qui met des produits numériques sur le marché de l'UE. Ces exigences portent sur la conception des produits, la documentation, les responsabilités de la chaîne d'approvisionnement et la notification des incidents.

Comprendre comment ces obligations sont regroupées vous aide à planifier le travail de mise en œuvre, à répartir les responsabilités et à éviter d'oublier des exigences lors des audits. Vous trouverez ci-dessous une répartition pratique des principales catégories d'obligations de l'ARC, en suivant la structure utilisée dans le règlement officiel.

Vous trouverez le texte juridique complet sur le site officiel de l'UE.

1. Conception, développement et production sécurisés (annexe I, partie I)

• Livrer le produit sans vulnérabilités exploitables connues.
• Fournir une configuration sécurisée par défaut et permettre une réinitialisation d'usine sécurisée.
• Protéger la confidentialité et l'intégrité des données en transit et au repos (par exemple, cryptage, contrôles d'intégrité).
• Mettre en œuvre une authentification et un contrôle d'accès robustes.
• Limiter la surface d'attaque et inclure des techniques d'atténuation de l'exploitation.
• Enregistrer les événements liés à la sécurité et permettre aux utilisateurs d'effacer leurs données personnelles en toute sécurité.

2. Traitement des vulnérabilités et soutien au cycle de vie (annexe I, partie II)

• Maintenir un processus interne de gestion de la vulnérabilité appuyé par une évaluation des risques.
• Traiter les vulnérabilités signalées "sans délai excessif" et fournir des mises à jour de sécurité pendant la période de soutien déclarée.
• Publier un point de contact et une politique de divulgation coordonnée des vulnérabilités (CVD).
• Dans les 24 heures suivant la découverte d'une vulnérabilité ou d'un incident activement exploité, notifier l'ENISA via la base de données européenne sur les vulnérabilités et fournir des informations sur les mesures d'atténuation aux utilisateurs.

3. Documentation technique et évaluation de la conformité (annexe II + articles 23 à 29)

• Produire un dossier technique fondé sur les risques, comprenant un modèle de menace, des preuves de développement sécurisé et une nomenclature logicielle.
• Les produits à risque peuvent faire l'objet d'une auto-évaluation ; les produits "importants" de classe I/II (par exemple, les pare-feu, les fournisseurs d'identité) doivent faire l'objet d'une certification par une tierce partie.
• Apposer le marquage CE et établir une déclaration de conformité de l'UE une fois l'évaluation réussie.

4. Obligations des opérateurs économiques (articles 13-20)

• Fabricants: effectuer l'évaluation, conserver la documentation pendant 10 ans, fournir des mises à jour pendant au moins la période de soutien déclarée dans le document de référence de l'UE et coopérer avec les autorités.
• Importateurs: vérifiez que le produit porte la marque CE et que la documentation et les mises à jour sont disponibles.
• Distributeurs: s'assurer que l'étiquetage et le marquage CE sont intacts et interrompre les ventes en cas de suspicion de non-conformité.

5. Surveillance du marché et notification des incidents (articles 30 à 35)

• Tenir un registre des incidents et des vulnérabilités ; fournir des SBOM aux autorités sur demande.
• Signaler toute exploitation d'une vulnérabilité non corrigée dans les 24 heures et fournir un rapport d'incident final dans les deux semaines.

Les exigences sont-elles obligatoires pour tous ?

L'ARC est vaste mais pas universel. Elle est obligatoire pour les organisations concernées, mais facultative pour les autres.

• Couverture complète: Toute organisation qui place un produit contenant des éléments numériques sur le marché de l'UE à des fins commerciales, quelle que soit sa taille ou sa localisation.
• Exemptions importantes:
  • Logiciel libre fourni gratuitement et non monétisé.
  • Les EDP sont déjà réglementés par des lois sectorielles plus strictes (dispositifs médicaux, aviation, automobile, portefeuilles d'identité électronique qualifiés, etc.)
  • Pièces de rechange pour les produits existants.
• Un régime allégé: Les "responsables des logiciels libres" qui apportent un soutien durable aux composants OSS destinés à un usage commercial sont soumis à des obligations réduites (attestation de sécurité au lieu d'une procédure complète d'évaluation des risques).

En savoir plus : À qui s'applique la loi sur la cyber-résilience ?

Défis courants pour satisfaire aux exigences de l'ARC

1. Générer un SBOM précis. De nombreuses équipes utilisent plusieurs gestionnaires de paquets et dépôts privés, ce qui rend difficile l'établissement de listes de dépendances complètes.
2. Divulgation coordonnée des vulnérabilités. La mise en place d'un processus public, d'un canal d'admission sécurisé et d'un processus de réponse en 24 heures est une nouveauté pour de nombreuses PME.
3. Engagement de mise à jour à long terme. Déclarer une période de support signifie budgéter plus de trois ans de correctifs, y compris pour les anciennes versions de Major.
4. Collecte de preuves. Les développeurs doivent conserver les modèles de menace, les résultats des tests et les enregistrements de codage sécurisé pour le dossier technique.
5. Détermination de la classe. Le fait de décider si un produit relève de la catégorie "par défaut", "important I" ou "important II" modifie l'itinéraire et les délais de l'évaluation de la conformité.

Comment Cyberday aide à répondre aux exigences de l'ARC

Cyberday transforme la conformité à l'ARC en tâches gérables. Toutes les exigences du cadre sont traduites en contrôles et en politiques exploitables. Avec Cyberday , il est facile de gérer la multi-conformité, avec des tableaux de bord qui montrent l'état actuel de la conformité de l'ARC avec NIS2, ISO 27001 ou tout autre cadre ou règlement qui pourrait être important pour vous.

Vous avez besoin d'aligner votre feuille de route, votre ingénierie de sécurité et vos équipes juridiques ? Cyberday fournit la structure, les modèles et les contrôles automatisés dont vous avez besoin pour une mise en conformité efficace et étayée par des preuves.

Commencez votre essai gratuit Cyberday aujourd'hui !