Depuis le 11 juin 2026, l’Union européenne a entamé la mise en place des organismes chargés de contrôler la conformité des produits couverts par le Cyber Resilience Act. Une étape encore largement invisible pour les fabricants. Les suivantes le seront beaucoup moins.
Le CRA, adopté en octobre 2024, introduit un cadre harmonisé imposant des exigences de cybersécurité à la plupart des produits comportant des éléments numériques : logiciels, équipements connectés, matériels informatiques. Sa principale rupture tient à l’extension de la responsabilité du fabricant au-delà de la vente.
Concrètement, éditeurs de logiciels, constructeurs d’équipements et fabricants d’objets connectés devront surveiller les vulnérabilités découvertes après commercialisation et fournir des correctifs pendant toute la période d’assistance du produit. Cinq ans minimum. Les mises à jour de sécurité et la documentation technique, elles, devront rester accessibles pendant dix ans après la mise sur le marché.
Cette obligation de suivi post-commercialisation compte parmi les évolutions les plus structurantes du texte, loin devant les simples exigences de conformité au moment du lancement.
Le calendrier se déploie par paliers, et chacun change la donne différemment pour les organisations concernées. Le 11 septembre 2026, l’obligation de notification entre en vigueur : tout fabricant devra signaler à l’ENISA et au CSIRT compétent, sous 24 heures, toute vulnérabilité activement exploitée affectant son produit.
Cette obligation pèse sur l’éditeur, pas sur l’entreprise utilisatrice. Mais pour le RSSI d’une organisation qui ne publie pas de logiciel, l’échéance n’est pas neutre pour autant. Elle ouvre un flux d’alertes amont sur les failles exploitées chez ses fournisseurs, et fait de la rapidité de signalement un critère contractuel à part entière.
Encore faut-il pouvoir exploiter ce signal. Une alerte CRA reçue le jour même n’a de valeur que si l’organisation dispose d’un inventaire à jour de ses produits numériques en service et de leurs fournisseurs. Sans cette cartographie, impossible de savoir si l’on est concerné.
Intégrer le flux des signalements CRA dans le processus de gestion des correctifs revient, pour le RSSI comme pour le DSI, à raccorder la priorisation interne au rythme réel de la menace plutôt qu’au calendrier de publication des éditeurs. C’est un chantier de gouvernance autant qu’un chantier technique, et il doit être engagé avant l’échéance de septembre, pas après.