Accueil de l'Académie
Blogs
Qu'est-ce que l'ARC ? Introduction aux exigences de la loi sur la cyber-résilience
Fait partie de la collection ISO 27001
Fait partie de la collection NIS2

Qu'est-ce que l'ARC ? Introduction aux exigences de la loi sur la cyber-résilience

Collection ISO 27001
Qu'est-ce que l'ARC ? Introduction aux exigences de la loi sur la cyber-résilience
Collection NIS2
Qu'est-ce que l'ARC ? Introduction aux exigences de la loi sur la cyber-résilience
Cyberday blog
Qu'est-ce que l'ARC ? Introduction aux exigences de la loi sur la cyber-résilience

La loi sur la cyber-résilience (CRA) est un règlement de l'UE qui fixe des exigences obligatoires en matière de cybersécurité pour les produits numériques et les dispositifs connectés mis sur le marché de l'UE. Son objectif est de combler le fossé qui existe lorsque de nombreux produits sont livrés avec peu ou pas de sécurité intégrée, laissant les utilisateurs exposés à l'exploitation.

L'ARC s'applique à l'ensemble du cycle de vie des produits, , depuis le développement et la conception jusqu'à la surveillance, la maintenance et les mises à jour après la mise sur le marché. Elle vise directement les fabricants, les importateurs et les distributeurs, en transférant la responsabilité de la cybersécurité à ceux qui mettent des produits numériques sur le marché. L'ARC se distingue ainsi de réglementations telles que le GDPR ou le NIS2, qui se concentrent sur la protection des données et la sécurité au niveau des services.

Que signifie CRA ?

CRA est l'acronyme de Cyber Resilience Act, un règlement européen contraignant adopté en 2024. Il vise à garantir que tous les matériels et logiciels comportant des éléments numériques sont dotés d'une cybersécurité intégrée et que les vendeurs restent responsables de la sécurité des produits au fil du temps. Il établit un ensemble de règles harmonisées dans toute l'UE, remplaçant les approches nationales fragmentées.

Quelles sont les exigences de l'ARC ?

L'ARC introduit des obligations en matière de cybersécurité tout au long du cycle de vie des produits, avec un mélange de contrôles avant et après la mise sur le marché. Les principales exigences de l'ARC sont les suivantes

  • Sécurité dès la conception et par défaut: Les produits doivent minimiser les vulnérabilités et être sécurisés dès leur sortie de l'emballage, avec des configurations par défaut solides.
  • Traitement des vulnérabilités: Les fabricants doivent mettre en place des processus clairs pour recevoir, évaluer et corriger les vulnérabilités, y compris la coordination avec les chercheurs en sécurité.
  • Mises à jour de sécurité: Un soutien continu est nécessaire pour le cycle de vie prévu du produit, y compris la fourniture de correctifs en temps voulu.
  • Rapport d'incident: Les vulnérabilités exploitées et les incidents de sécurité doivent être signalés à l'ENISA dans les 24 heures.
  • Documentation technique: Comprend une évaluation des risques, une évaluation de la conformité et une déclaration de conformité.
  • Surveillance après la mise sur le marché: Les fournisseurs doivent suivre les menaces émergentes et le comportement des produits après la vente et prendre les mesures qui s'imposent.
  • Marquage CE pour la cybersécurité: Les produits doivent porter un marquage CE confirmant leur conformité aux normes de cybersécurité de l'ARC.
  • Évaluations de conformité:
    • Classe I (produits standard): Auto-évaluation autorisée.
    • Classe II (produits critiques): Des audits par des tiers sont requis (par exemple, systèmes d'exploitation, gestionnaires de mots de passe, pare-feu).

Exemples de classification des produits de l'ARC

L'ARC introduit deux catégories de produits basées sur le risque de cybersécurité :

  • Classe I (produits standard): Criticité moindre. Auto-évaluation autorisée.
  • Classe II (produits critiques): Risque plus élevé. Une évaluation de la conformité par un tiers est requise.

Vous trouverez ci-dessous des exemples de classifications pour aider les organisations à comprendre où se situent leurs produits :

Type de produit Exemple Classe d'ARC probable Notes
Consommateurs IdO Ampoule intelligente Classe I Faible impact en cas de compromission, sauf si elle fait partie de systèmes critiques
Produits portables Fitness tracker Classe I Généralement non critiques, mais à vérifier si elles sont liées à la santé
Industriel PLC (automate programmable) Classe II Contrôle direct des infrastructures critiques
Systèmes d'exploitation Linux embarqué pour les routeurs Classe II Risque d'exploitation élevé, partie du cœur du réseau
Outils du développeur Outils de pipeline CI/CD Classe II S'il est exploité, il peut affecter plusieurs systèmes
Applications de productivité Applications de prise de notes ou de calendrier Classe I Faible criticité, mais doit néanmoins répondre à toutes les exigences de base de l'ARC
Logiciel de sécurité Gestionnaire de mots de passe, pare-feu, antivirus Classe II Spécifiquement répertoriés comme critiques par l'ARC
Outils de communication Application de vidéoconférence Classe I ou II Dépend du cryptage, de la sensibilité des données et des cas d'utilisation
Véhicules connectés Logiciel pour véhicules Exclus Couvert par un règlement européen distinct sur l'automobile
Dispositifs de santé Pompe à insuline intelligente Exclus Couvert par le règlement sur les dispositifs médicaux (MDR)

Conseil: même les produits de classe I doivent satisfaire à toutes les exigences de base de l'ARC, mais le processus d'évaluation est plus simple. Les produits critiques de classe II nécessitent des mesures de conformité plus rigoureuses.

Commencez votre essai gratuit de 14 jours

Commencez votre essai gratuit dès aujourd'hui. Aucune carte de crédit n'est requise. Accès complet, risque zéro. Annulez à tout moment.

Commencer un essai gratuit

Comment l'ARC améliore la sécurité des produits et pourquoi c'est important

La loi sur la cyberrésilience améliore la sécurité des produits en faisant de la cybersécurité une responsabilité intégrée tout au long du cycle de vie des produits. Elle exige des fabricants qu'ils adoptent des pratiques sécurisées dès la conception et par défaut, qu'ils gèrent systématiquement les vulnérabilités et qu'ils réagissent rapidement aux incidents de sécurité. Ces obligations réduisent les risques que des produits non sécurisés parviennent aux utilisateurs et contribuent à empêcher que des failles isolées ne se transforment en risques d'exploitation à grande échelle.

En transférant la responsabilité aux fabricants, aux importateurs et aux distributeurs, l'ARC garantit que la sécurité n'est plus facultative ou différée, mais qu'elle fait partie intégrante de la qualité du produit et de la conformité légale.

Les organisations qui se conforment à l'ARC bénéficient des avantages suivants

  • Moins de vulnérabilités grâce à des pratiques de développement et de test structurées
  • Réponse plus rapide aux incidents grâce au traitement et au signalement obligatoires des vulnérabilités
  • Renforcement de la confiance des fournisseurs et de la chaîne d'approvisionnement, en particulier dans les secteurs réglementés
  • Clarté réglementaire grâce à une norme de conformité unifiée à l'échelle de l'UE
  • Avantage commercial, car les produits sécurisés et conformes à l'ARC deviennent plus attrayants pour les acheteurs B2B et les clients du secteur public.

Dans l'ensemble, l'ARC relève le niveau de cybersécurité des produits numériques et crée à la fois une responsabilité juridique et une opportunité concurrentielle.

Comparaisons au niveau mondial

L'ARC partage des objectifs avec d'autres cadres mondiaux, mais diffère dans son champ d'application et sa mise en œuvre :

Région Droit Focus Comparaison avec l'ARC
ÉTATS-UNIS Loi sur l'amélioration de la cybersécurité de l'IdO Marchés publics uniquement L'ARC est plus large et obligatoire pour tous les produits numériques
ROYAUME-UNI Loi sur la sécurité des produits et des infrastructures de télécommunications (PSTI) Axé sur l'IdO grand public L'ARC comprend les produits industriels et les logiciels
Mondial ISO/IEC 27001 / 62443 / 30111 Volontaire ou spécifique à un secteur L'ARC impose des contrôles du cycle de vie pour tous les

Meilleures pratiques et défis communs de l'ARC

Meilleures pratiques des premiers utilisateurs :

  • Intégrer le codage sécurisé dans le cycle de développement durable
  • Automatisation de l'analyse et du triage des vulnérabilités
  • Mise en place d'équipes de réponse aux incidents de sécurité des produits (PSIRT)
  • Création de modèles de documentation technique réutilisables
  • En utilisant des plateformes telles que Cyberday pour attribuer des responsabilités et recueillir des preuves

Défis communs:

  • Modernisation de produits plus anciens sans base de sécurité
  • Budgétisation des correctifs et de l'assistance à long terme
  • Comprendre le chevauchement avec le marquage CE et la directive relative aux équipements hertziens
  • Gestion de plusieurs processus d'évaluation de la conformité
L'ARC en action

FAQ

L'ARC est-il obligatoire ?

Oui. L'ARC est un règlement européen contraignant. Une fois la mise en application commencée, la conformité est obligatoire pour tous les produits concernés mis sur le marché de l'UE.

Pourquoi l'ARC est-elle importante ?

L'ARC responsabilise juridiquement les vendeurs de produits et comble une lacune de longue date dans la réglementation de la cybersécurité pour les dispositifs connectés et les logiciels. Elle contribue à réduire les risques liés aux produits non sécurisés à l'échelle de l'UE et garantit que les vendeurs mettent en place des mesures de sécurité dès le départ.

Qui doit se conformer à l'ARC ?

L'ARC s'applique à :

  • Fabricants, importateurs et distributeurs de produits numériques
  • Produits avec éléments numériquesy compris :
    • Dispositifs IoT
    • Applications mobiles et de bureau
    • Systèmes embarqués
    • Systèmes d'exploitation
    • Logiciel de contrôle industriel

Exclus : Produits déjà couverts par des lois sectorielles spécifiques de l'UE (par exemple, les dispositifs médicaux, l'automobile, l'aviation).

Quand la CRA est-elle en vigueur ?

L'ARC est entrée en vigueur le 10 décembre 2024. Dates clés :

  • Septembre 2025: L'ENISA reçoit les plans nationaux de mise en œuvre.
  • Septembre 2026: les obligations de déclaration d'incidents deviennent exécutoires.
  • Décembre 2027: toutes les obligations s'appliquent. Après cette date, tous les produits du champ d'application doivent être conformes à l'ARC.

L'ARC est-elle soutenue dans le cadre de Cyberday?

Oui. L'ARC est disponible pour travailler dans Cyberday. La plateforme comprend :

  • Tâches et contrôles spécifiques à l'ARC
  • Développement sécurisé et soutien à la mise à jour
  • Modèles de documentation technique
  • Flux de travail pour la réponse aux vulnérabilités et aux incidents
  • Mises à jour permanentes au fur et à mesure de l'évolution des orientations
Rédigé par
Tuomas Pitkänen
2.6.2025
@
LinkedIn

Contenu de l'article

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Autres contenus similaires de Academy

Blogs

Qu'est-ce qu'un vCISO ? Comprendre le rôle du RSSI virtuel

Qu'est-ce qu'un vCISO, qu'est-ce qu'il fait, et pourquoi le modèle du CISO virtuel se développe rapidement parmi les entreprises et les consultants en cybersécurité.
12.6.2025

Qu'est-ce qu'un cadre modulaire de cybersécurité et pourquoi est-il essentiel pour les consultants ?

Les cadres modulaires de cybersécurité facilitent la gestion de la conformité et aident les consultants à évoluer plus rapidement, à remporter plus de contrats et à générer des revenus récurrents.
12.6.2025

Panne de l'application Cyberday le mardi 10/6/2025 : Explication et suivi

Ce message passe en revue les détails de l'incident récent qui a provoqué des interruptions de service lors du Cyberday du 10.6.2025, ainsi que les mesures d'atténuation précoces qui s'y rapportent.
11.6.2025

Commencez dès aujourd'hui

Commencez gratuitement, dans votre environnement familier des équipes.
Si vous avez d'abord des questions, prenez rendez-vous avec nous.

Commencer un essai gratuit de 14 jours
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapport
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsDocuments de politique dynamiqueGestion de la vie privée
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoBibliothèque de contenuBulletinLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité