Cyber Resilience Act : ce que chaque PME vendant des produits numériques en Europe doit savoir avant 2027
Cyber Resilience Act : ce que chaque PME vendant des produits numériques en Europe doit savoir avant 2027
Vous vendez un logiciel ou un objet connecté en Europe ? Vous êtes concerné.
Depuis décembre 2024, le Cyber Resilience Act (CRA) est entré en vigueur dans l'Union européenne. Ce règlement impose des exigences de cybersécurité à tout produit comportant des éléments numériques vendu sur le marché européen — logiciels, objets connectés, composants matériels avec firmware. Les obligations de signalement d'incidents s'appliquent dès septembre 2026. La conformité complète est exigée pour décembre 2027.
Et voilà le problème : la plupart des PME qui développent ou revendent ces produits n'en ont jamais entendu parler. Selon Cybermalveillance, 80 % des TPE-PME ne sont pas préparées aux nouvelles réglementations cyber en 2025. Le CRA vient s'ajouter à NIS2 et au RGPD dans un empilement réglementaire que peu de dirigeants ont le temps de décrypter. Si vous ne savez pas encore si NIS2 s'applique à votre entreprise, le CRA risque de vous prendre doublement au dépourvu.
---
Qu'est-ce que le Cyber Resilience Act, concrètement ?
Le CRA est un règlement européen — pas une directive, donc directement applicable sans transposition nationale. Il cible les fabricants, importateurs et distributeurs de produits avec des éléments numériques. En clair : si votre PME développe un logiciel SaaS, vend des routeurs, distribue des caméras IP ou intègre des composants IoT dans vos solutions, vous êtes dans le périmètre.
Les exigences principales couvrent la sécurité par conception (secure by design), la gestion des vulnérabilités pendant tout le cycle de vie du produit, la documentation technique et le signalement des vulnérabilités activement exploitées sous 24 heures. Ce n'est pas un label volontaire. C'est une obligation légale avec des amendes pouvant atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires mondial. Pour une PME qui réalise 5 millions d'euros de CA, cela représente jusqu'à 125 000 € — sans compter la perte de marché si vos produits sont retirés de la vente.
---
Pourquoi les PME sont-elles les plus exposées ?
Les grands groupes ont des équipes conformité dédiées. Ils ont commencé à préparer le CRA dès 2023. Les PME, elles, découvrent le sujet maintenant — à 18 mois de l'échéance. Le décalage est brutal.
67 % des fournisseurs ont perdu des contrats en 2024 parce qu'ils ne répondaient pas aux exigences de cybersécurité de leurs donneurs d'ordres (Marsh McLennan). Cette tendance va s'accélérer : vos clients grands comptes vont exiger la preuve de conformité CRA avant de renouveler. Et 1 PME sur 3 a été touchée par une cyberattaque en 2024 (BizTech Magazine), avec un coût moyen par incident de 345 000 $ (Atlantic Digital). Le coût réel d'un incident dépasse largement la rançon quand on additionne l'arrêt d'activité, la notification CNIL, la perte de clients et la remédiation technique. Le CRA part d'un constat simple : les produits non sécurisés sont le vecteur d'entrée principal.
---
CRA, NIS2, RGPD : comment s'y retrouver dans l'empilement réglementaire ?
Vous n'êtes pas le seul à être perdu. 64 % des PME françaises ne savent pas ce qu'est NIS2, alors même que la Loi Résilience attendue mi-2026 pourrait concerner 15 000 à 18 000 entités en France. Le CRA vient compléter — pas remplacer — ce dispositif. Voici comment les trois textes s'articulent :
| RGPD | NIS2 | CRA | |
|---|---|---|---|
| Cible | Données personnelles | Entités essentielles et importantes | Produits numériques |
| Qui est concerné | Tout organisme traitant des données UE | Secteurs critiques, fournisseurs de la chaîne | Fabricants, importateurs, distributeurs |
| Obligation clé | Protection des données | Sécurité des réseaux et systèmes | Sécurité du produit sur tout son cycle de vie |
| Amendes max | 20 M€ ou 4 % CA | 10 M€ ou 2 % CA | 15 M€ ou 2,5 % CA |
| Responsabilité dirigeant | Oui | Oui, personnelle | Oui |
| Échéance | En vigueur | Transposition mi-2026 | Conformité complète déc. 2027 |
La bonne nouvelle : ces cadres se recoupent largement. Vous n'avez pas besoin de trois projets séparés si vous structurez correctement votre approche. Un socle commun — inventaire des actifs, gestion des vulnérabilités, plans d'incident, documentation — couvre 70 % des exigences des trois textes.
---
Quelles sont les obligations concrètes du CRA pour votre PME ?
Arrêtons le jargon juridique. Voici ce que le CRA vous demande en pratique, selon que vous êtes fabricant de logiciel ou distributeur/revendeur.
Si vous développez un logiciel ou un produit connecté :
- Évaluation des risques cyber dès la conception
- Pas de vulnérabilités connues au moment de la mise sur le marché
- Configuration sécurisée par défaut (mots de passe uniques, chiffrement, mises à jour automatiques)
- Gestion des vulnérabilités pendant au moins 5 ans après la commercialisation
- Signalement à l'ENISA sous 24 heures en cas de vulnérabilité activement exploitée
- Documentation technique et déclaration de conformité UE
Si vous importez ou distribuez :
- Vérification que le fabricant a rempli ses obligations
- Conservation de la documentation pendant 10 ans
- Retrait du marché si le produit est non conforme
Faites le point sur votre posture actuelle avec le quiz cybersécurité — c'est gratuit et cela prend 3 minutes.
---
Le vrai coût de la non-conformité : bien au-delà des amendes
L'amende CRA maximale de 15 M€ fait les gros titres, mais le risque commercial est plus immédiat. Vos clients grands comptes — surtout ceux soumis à NIS2 — ont l'obligation légale de sécuriser leur chaîne d'approvisionnement. Un fournisseur non conforme CRA devient un risque juridique pour son client. La conséquence : vous perdez le contrat.
En parallèle, les assureurs durcissent leurs critères. 41 % des demandes de cyber-assurance sont refusées (MoneyGeek), principalement pour des contrôles de base manquants. Sans assurance cyber, un incident à 345 000 $ sort directement de votre trésorerie. Et les attaques ne ralentissent pas : les cyberattaques ont augmenté de 49 % au premier semestre 2025 (Identity Week). Comprendre pourquoi les demandes sont refusées et quels contrôles les assureurs exigent vraiment n'est plus optionnel — c'est une question de survie économique.
---
Comment se préparer au CRA quand on est une PME avec des ressources limitées ?
Vous n'avez pas besoin d'embaucher un RSSI à 80 000 €/an ni de déployer un programme de conformité à 50 000 €. Vous avez besoin d'une approche structurée et proportionnée.
Phase 1 — Inventaire (semaine 1) :
Listez tous vos produits avec des éléments numériques. Logiciels, firmware, objets connectés. Identifiez votre rôle : fabricant, importateur ou distributeur. Classifiez chaque produit selon les catégories CRA (par défaut, important classe I ou II, critique).
Phase 2 — Analyse d'écart (semaines 2-3) :
Comparez vos pratiques actuelles aux exigences CRA. Gestion des vulnérabilités en place ? Processus de mise à jour sécurisé ? Documentation technique à jour ? La checklist cybersécurité vous donne une base solide pour cette évaluation.
Phase 3 — Remédiation (semaines 4-12) :
Comblez les écarts par ordre de criticité. Commencez par le signalement des vulnérabilités (obligation dès septembre 2026) et la sécurité par défaut.
---
Combien ça coûte de se mettre en conformité ?
Parlons chiffres. Un MSP traditionnel vous facture 100 à 250 €/utilisateur/mois pour de l'infogérance de base — sans conformité incluse. Les plateformes de conformité type Vanta ou Drata coûtent 7 500 à 50 000 €/an — et ne gèrent pas votre IT opérationnel. Vous vous retrouvez à payer deux factures pour deux silos qui ne communiquent pas.
Utilisez le calculateur de coûts IT pour voir ce que vous dépensez réellement aujourd'hui.
L'approche Fusion AI est différente : votre conformité est le sous-produit naturel de votre bonne gestion IT. Quand vos systèmes sont inventoriés, patchés, surveillés et documentés en continu, vous cochez naturellement les cases CRA, NIS2 et ISO 27001. Pas besoin de deux outils. Un agent IA qui gère votre IT opérationnel génère automatiquement la documentation et les preuves de conformité. Connexion en 45 minutes. Premier rapport en 48h. Conformité complète en 30 jours. Consultez nos tarifs pour comparer.
---
Quel lien entre CRA et ISO 27001 ?
Si vous visez — ou avez déjà — ISO 27001, vous avez une longueur d'avance. Le système de management de la sécurité de l'information (SMSI) d'ISO 27001 couvre une partie significative des exigences CRA : gestion des risques, gestion des vulnérabilités, contrôle des accès, documentation.
Mais ISO 27001 est un cadre organisationnel. Le CRA est un cadre produit. Vous pouvez être certifié ISO 27001 pour votre entreprise et avoir des produits non conformes CRA. L'inverse est aussi vrai : un produit conforme CRA ne garantit pas que votre organisation respecte ISO 27001. Les deux se complètent.
Pour les PME qui n'ont ni l'un ni l'autre, commencer par un socle commun est la stratégie la plus rentable. Évaluez votre maturité avec le quiz ISO 27001 et identifiez les recoupements avec le CRA. L'automatisation de la conformité réduit la facture d'un facteur 5 par rapport à un audit manuel traditionnel — un avantage décisif quand chaque euro compte.
---
Le calendrier CRA : les dates à retenir
Ne vous laissez pas surprendre par l'échéance. Le CRA a un calendrier progressif :
- Décembre 2024 : entrée en vigueur du règlement
- Septembre 2026 : obligation de signalement des vulnérabilités activement exploitées (24h à l'ENISA)
- Décembre 2027 : conformité complète obligatoire pour tous les produits mis sur le marché
Septembre 2026, c'est dans 5 mois. Avez-vous un processus de signalement d'incident en place ? Savez-vous qui contacter, quel formulaire remplir, dans quel délai ? Si la réponse est non, consultez la checklist Incident Response et commencez par là. L'obligation de signalement sous 24 heures est la première à tomber — et c'est celle qui expose le plus les PME non préparées. Pour NIS2 aussi, la règle des 24 heures est un piège pour les PME qui n'ont pas de processus formalisé.
---
Dormir tranquille dans un monde de réglementation permanente
Le CRA n'est pas le dernier texte. Après NIS2 et le CRA viendront d'autres exigences — l'AI Act est déjà là, le Data Act arrive. La question n'est pas "comment se conformer au CRA" mais "comment construire une base IT qui absorbe chaque nouveau texte sans projet de crise".
La réponse est structurelle : inventaire à jour, correctifs appliqués, accès contrôlés, incidents documentés, preuves générées automatiquement. Quand cette base existe, chaque nouveau règlement devient une case à cocher, pas un projet à 6 chiffres. C'est exactement ce que l'agent IA de Fusion AI fait au quotidien : il gère votre IT et produit votre conformité comme effet de bord.
La sérénité réglementaire n'est pas un luxe. C'est le résultat d'une infrastructure bien gérée.
---
Prêt à savoir où vous en êtes ?
Le Cyber Resilience Act n'attend pas que vous soyez prêt. L'obligation de signalement arrive en septembre 2026. La conformité complète en décembre 2027.
Lancez votre scan de sécurité gratuit maintenant. En 45 minutes, vous savez exactement où vous en êtes — CRA, NIS2, ISO 27001 — et ce qu'il faut corriger en priorité. Sans engagement, sans jargon, sans commercial.
Parce que la conformité ne devrait pas être un projet. Elle devrait être le sous-produit naturel de votre bonne gestion IT.