Par /
Actualité » Cyber Resilience Act

Cyber Resilience Act : ce que tout industriel doit savoir avant 2027

Depuis fin 2024, un nouveau règlement européen s’impose progressivement aux fabricants d’équipements industriels connectés : le Cyber Resilience Act (CRA). D’ici décembre 2027, tous les automates, robots, IHM, capteurs intelligents et systèmes SCADA commercialisés en Europe devront répondre à des exigences de cybersécurité inédites — sous peine de sanctions pouvant atteindre 15 millions d’euros.

👉 Pourtant, sur le terrain, peu d’industriels en ont encore entendu parler. Cet article vous donne les clés pour comprendre ce qui change, ce qui est obligatoire, et comment vous y préparer.

Pourquoi un tel règlement, et pourquoi maintenant ?

L’industrie est aujourd’hui l’une des cibles privilégiées des cyberattaques en Europe. Lignes de production paralysées, données process volées, rançongiciels sur des automates : ces incidents, autrefois rares, sont devenus quasi-quotidiens. La cause principale ? Des équipements conçus sans exigences de sécurité minimales, connectés à des réseaux industriels de plus en plus ouverts.

Jusqu’ici, aucune réglementation européenne n’imposait de niveau de sécurité intrinsèque au produit lui-même. La directive NIS2 oblige les exploitants à sécuriser leurs systèmes. Mais qui contrôlait la sécurité des automates, des IHM ou des passerelles OT/IT vendus par les fabricants ? Personne.

👉 Le CRA comble cette lacune. Il s’intègre dans un ensemble réglementaire cohérent aux côtés de NIS2 et du Règlement Machine, et cible directement la sécurité des produits mis sur le marché.

Concrètement, quels produits industriels sont visés ?

Le CRA s’applique à tout produit comportant des éléments numériques capables de se connecter à un réseau ou à un autre appareil. Dans le monde de l’automatisme et de la robotique, cela couvre :

  • Automates programmables (PLC/API) — dès lors qu’ils disposent d’une interface réseau (Ethernet, Wi-Fi, bus de terrain IP)
  • Systèmes SCADA et DCS — logiciels et équipements de supervision
  • IHM et IPC industriels — interfaces opérateur connectées
  • Capteurs intelligents et équipements IIoT — tout ce qui remonte des données vers un réseau
  • Contrôleurs de robots et cobots — embarquant un OS et des interfaces réseau
  • Passerelles OT/IT — équipements de communication entre réseau terrain et réseau d’entreprise
  • Logiciels embarqués et firmware — y compris les runtimes de programmation (type CODESYS/IEC 61131-3)

En résumé : si votre équipement a une prise réseau ou une interface de communication, il est probablement dans le scope du CRA.

Les trois grandes obligations à retenir

1. La sécurité dès la conception (Security by Design)

Fini le temps où la cybersécurité était une option ajoutée en fin de développement. Le CRA impose que la sécurité soit intégrée dès la phase de conception, avec une évaluation des risques documentée, maintenue et mise à jour sur toute la durée de vie du produit.

👉 Pour un fabricant d’automates, cela signifie concrètement : revoir les processus de développement, renforcer les mécanismes d’authentification, supprimer les mots de passe par défaut, durcir les interfaces réseau.

2. Le support actif et les correctifs de sécurité

Les fabricants devront assurer la surveillance des vulnérabilités et déployer gratuitement des correctifs de sécurité pendant au moins 5 ans après la mise sur le marché. Pour des équipements industriels dont la durée de vie dépasse souvent 10 ou 15 ans, cette obligation peut être encore plus longue.

👉 C’est un changement de paradigme majeur : la vente d’un automate ou d’une IHM ne se termine plus le jour de la livraison.

3. Le signalement des incidents et vulnérabilités

À partir du 11 septembre 2026, les fabricants devront notifier toute vulnérabilité activement exploitée et tout incident de sécurité grave :

  • En 24 heures pour un avertissement préliminaire
  • En 72 heures pour la notification complète

👉 Ces notifications se font via la plateforme unique de l’ENISA (Agence européenne pour la cybersécurité), qui les transmet automatiquement au CERT-FR de l’ANSSI pour la France.

Le calendrier à ne pas manquer

DateCe qui se passe
10 décembre 2024Entrée en vigueur — période de préparation
11 septembre 2026Obligation de signalement des vulnérabilités et incidents
11 décembre 2027Application complète — interdiction de commercialiser des produits non conformes

La mise en conformité d’un produit existant demande en moyenne 9 à 18 mois de travail. Les fabricants qui n’ont pas encore commencé doivent s’y mettre maintenant.

Ce que ça change selon votre rôle

👉 Vous êtes fabricant d’équipements industriels

Vous êtes en première ligne. Vous devez :

  • Réaliser un inventaire de vos produits et les classer par niveau de risque
  • Intégrer les exigences CRA dans vos processus de développement
  • Produire un SBOM (inventaire des composants logiciels) pour chaque produit
  • Mettre en place une politique de gestion des vulnérabilités
  • Apprêter votre documentation technique pour le marquage CE étendu

👉 Vous êtes intégrateur ou installateur

Vous n’êtes pas directement fabricant, mais vos clients vont vous interroger.

Dès 2027, ils ne pourront légalement plus acheter ni intégrer des équipements non conformes. Votre rôle sera d’orienter les bons choix de produits et d’alerter sur les risques liés aux équipements anciens ou non conformes.

👉 Vous exploitez un parc d’équipements industriels (PME/ETI)

Le CRA ne s’applique pas directement à vous en tant qu’exploitant — c’est NIS2 qui vous concerne.

Mais le CRA va améliorer la sécurité de base des produits que vous achetez. En attendant 2027, votre parc existant reste sous votre responsabilité : l’audit de vos systèmes OT est une priorité.

FAQ — Cyber Resilience Act

L’offre d’accompagnement INDUS4TECH

Nous intervenons à l’intersection de l’automatisme industriel et de la réglementation numérique. Avec plus de 25 ans d’expérience terrain en automatisme, robotique et systèmes de contrôle-commande, nous parlons le même langage que vos équipes techniques — et nous maîtrisons le cadre réglementaire.

Nos prestations CRA pour l’industrie

  • Audit de conformité CRA Inventaire de vos produits et équipements connectés, classification par niveau de risque, identification des écarts par rapport aux exigences CRA et NIS2, rapport de recommandations priorisées.
  • Accompagnement fabricants Intégration du CRA dans vos processus de développement produit, revue des pratiques security by design, mise en place de la gestion des vulnérabilités (politique CVD, SBOM, processus de notification), préparation du dossier technique pour le marquage CE.
  • Formation et sensibilisation Sessions de formation interne pour vos équipes de développement, production et direction : comprendre le CRA, les obligations concrètes, les impacts sur vos produits et vos achats. Format modulaire, adapté à votre niveau de maturité.
  • Veille réglementaire et conseil Suivi de l’évolution des textes (lignes directrices Commission européenne, actes délégués, normes harmonisées), conseil sur la stratégie de mise en conformité, interface avec les organismes notifiés et l’ANSSI.
Vous avez des équipements industriels connectés et vous ne savez pas par où commencer ?

Contactez-nous directement pour un premier échange. Nous évaluerons ensemble votre exposition au CRA et les priorités à traiter avant septembre 2026.

Retour en haut