Le 17 janvier 2025 marque un tournant historique pour le secteur financier européen. Le règlement DORA (Digital Operational Resilience Act) est entré pleinement en application, imposant aux banques, assurances et
60–65 % : très technique, expert / 70–75 % : business spécialisé / 80–85 % : business accessible / 90 %+ : vulgarisation grand public
Les 7 points : Key Takeaway :
Le 10 décembre 2024, le règlement européen 2024/2847 — plus connu sous le nom de Cyber Resilience Act (CRA) — est entré en vigueur.
Ce texte de 860 pages ne se contente pas d’ajouter une contrainte réglementaire supplémentaire. Il transforme structurellement les conditions d’accès au marché européen pour tout produit numérique.
Pour les dirigeants, les investisseurs et les administrateurs, le CRA n’est pas un sujet IT.
C’est un enjeu stratégique de gouvernance, de valorisation et de compétitivité.
La cybercriminalité représente un coût mondial estimé à 1 200 milliards de dollars en 2026. L’Union européenne a tiré un constat simple :
Les produits connectés arrivent sur le marché avec des vulnérabilités connues.
La sécurité est souvent ajoutée après coup.
Les acheteurs ne disposent d’aucun standard fiable pour évaluer le niveau de sécurité d’un produit.
Le CRA corrige deux failles structurelles :
L’absence d’obligation de sécurité dès la conception.
L’absence de transparence sur la chaîne d’approvisionnement logicielle.
En d’autres termes :
la sécurité n’est plus un argument marketing. Elle devient une condition d’accès au marché.
Le règlement s’applique à tout produit comportant des éléments numériques commercialisé dans l’UE :
Objets connectés
Équipements industriels
Logiciels embarqués
Applications mobiles commerciales
Composants logiciels intégrés
Sont visés :
Fabricants
Importateurs
Distributeurs
Toute entreprise rebrandant ou modifiant substantiellement un produit
⚠️ Un distributeur qui modifie un produit devient juridiquement fabricant.
Les logiciels open source non commerciaux sont exemptés.
Mais dès qu’une activité commerciale est associée, les obligations s’appliquent.
Le CRA impose deux principes structurants :
La sécurité doit être intégrée dès la conception.
Le produit doit être livré dans une configuration sécurisée.
Concrètement :
SBOM obligatoire (Software Bill of Materials)
Programme continu de gestion des vulnérabilités
Notification en 24h des vulnérabilités exploitées
Correctif sous 14 jours en cas de vulnérabilité critique
Support de sécurité minimum de 5 ans
Mécanisme de réinitialisation sécurisé obligatoire
Le produit numérique devient une responsabilité juridique permanente sur toute sa durée de vie.
Le CRA distingue trois niveaux :
Produits standards (auto-évaluation)
Produits importants (classe I & II – évaluation renforcée)
Produits critiques (certification par organisme tiers)
Sans marquage CE conforme CRA, un produit ne pourra plus être commercialisé après le 11 décembre 2027.
👉 Cela signifie que toute roadmap produit 2026-2027 doit intégrer la conformité CRA dès maintenant.
Le CRA ne pose pas seulement un problème de conformité.
Il modifie l’équation stratégique.
Les cycles de développement devront intégrer :
SBOM
Documentation technique
Tests de sécurité formalisés
Évaluation externe pour certaines classes
Résultat :
les roadmaps purement “agiles” sans phase de sécurisation formelle ne sont plus viables.
En 2026-2027 :
Toute due diligence tech sérieuse intégrera la conformité CRA.
Un produit non conforme peut devenir juridiquement invendable en UE.
Les passifs réglementaires pèseront sur les valorisations.
Un investisseur demandera désormais :
Où en êtes-vous sur la SBOM ?
Avez-vous un programme formalisé de gestion des vulnérabilités ?
Votre cycle de support est-il aligné avec les 5 ans minimum ?
Le CRA devient un sujet de risk pricing.
Support obligatoire de 5 ans minimum.
Cela force :
Les startups hardware à revoir leur politique produit.
Les scale-ups IoT à provisionner des coûts long terme.
Les éditeurs hybrides (on-prem + cloud) à maintenir des équipes sécurité plus longtemps.
Le modèle “lancer et passer au produit suivant” devient juridiquement risqué.
Le CRA prévoit :
15 M€ ou 2,5% du CA mondial (exigences essentielles)
10 M€ ou 2% (obligations organisationnelles)
5 M€ ou 1% (infractions administratives)
Mais le vrai risque est ailleurs :
Interdiction de commercialisation
Retrait du marché
Rappel produit
Pour une scale-up, cela peut être existentiel.
11 septembre 2026 → obligations de signalement
11 décembre 2027 → conformité obligatoire pour tout nouveau produit
En pratique, la mise en conformité prend 12 à 24 mois.
Ce qui signifie que 2026 est l’année critique de préparation.
Le CRA ne vit pas isolé.
Il s’articule avec :
NIS2 (résilience des opérateurs)
DORA (résilience financière)
RGPD (protection des données)
Un produit numérique destiné au secteur bancaire devra satisfaire :
CRA + DORA + RGPD simultanément.
La conformité devient un exercice de gouvernance intégré.
Un conseil d’administration devrait désormais poser cinq questions :
Nos produits entrent-ils dans le périmètre CRA ?
Avons-nous une SBOM complète et maintenue ?
Avons-nous budgété 5 ans de support sécurité ?
Notre roadmap 2026-2027 intègre-t-elle la conformité ?
La conformité CRA est-elle intégrée à notre stratégie d’investissement ?
Si la réponse est floue, le risque est réel.
Oui, les coûts existent.
Pour une PME tech :
50 000 à 300 000 € d’investissement initial (estimation sectorielle)
15 à 30% de coûts récurrents annuels
Mais à l’inverse :
Moins d’incidents
Moins de crises réputationnelles
Meilleure crédibilité investisseurs
Accès harmonisé au marché européen
Le marquage CE CRA devient un signal de robustesse stratégique.
Les produits exemptés incluent les dispositifs médicaux régulés par le règlement MDR, les véhicules régis par les règlementations automobiles, les équipements d’aviation civile, les équipements marins, et les logiciels libres développés sans activité commerciale. Les logiciels développés exclusivement pour usage interne par une administration publique sont également exclus.
Les produits commercialisés avant le 11 décembre 2027 ne sont soumis au CRA que s’ils font l’objet d’une modification substantielle après cette date. Une simple mise à jour corrective ne constitue pas une modification substantielle. En revanche, les obligations de signalement des vulnérabilités s’appliquent à tous les produits, y compris ceux déjà sur le marché.
Une certification ISO 27001 démontre la maturité du système de management de la sécurité de l’information d’une organisation. Elle ne garantit pas la conformité au CRA qui impose des exigences spécifiques aux produits : SBOM, marquage CE, notification d’incidents dans des délais stricts, support de sécurité minimal de cinq ans. Les deux référentiels se complètent mais ne se substituent pas.
Le coût varie significativement selon la complexité des produits et la maturité existante. Les estimations sectorielles situent l’investissement initial entre 50 000 et 300 000 euros pour une PME, incluant l’outillage, la formation, la documentation et les éventuels audits externes. Les coûts récurrents annuels de maintien en conformité représentent 15 à 30% de l’investissement initial.
Les services fournis exclusivement en mode SaaS ne relèvent pas du CRA mais de la directive NIS2. En revanche, les composants logiciels téléchargeables ou installables localement, même s’ils interagissent avec des services cloud, sont soumis au CRA. La frontière dépend de la nature du produit : un logiciel client connecté à un service cloud relève du CRA pour sa partie client.
💰 1 200 milliards de dollars : Coût mondial estimé de la cybercriminalité en 2026 (Source : Projections sectorielles 2026)
⚖️ 15 millions d’euros ou 2,5% : Amende maximale pour non-conformité aux exigences essentielles du CRA (Source : Règlement UE 2024/2847)
📅 11 septembre 2026 : Date d’entrée en vigueur des obligations de signalement des vulnérabilités (Source : Commission européenne)
🔒 5 ans minimum : Durée obligatoire de support de sécurité pour tous les produits numériques (Source : Cyber Resilience Act, Annexe I)
Le Cyber Resilience Act redéfinit les conditions d’exercice pour les entreprises technologiques opérant sur le marché européen. Au-delà de la conformité réglementaire, il impose une transformation profonde des pratiques de développement, des modèles économiques et de la gouvernance des risques.
Les organisations qui anticipent cette évolution disposent d’un avantage concurrentiel déterminant. Celles qui la subissent font face à des risques d’exclusion de marché et de sanctions financières substantielles. Pour les dirigeants et investisseurs, la question n’est plus de savoir si le CRA impactera leur activité, mais comment transformer cette contrainte en levier stratégique.
La fenêtre d’action se réduit rapidement. Les sept mois séparant février 2026 de la première échéance de septembre imposent une mobilisation immédiate. Les 18 mois restants jusqu’à l’application complète en décembre 2027 exigent une planification rigoureuse et des investissements conséquents. Dans un environnement réglementaire européen de plus en plus exigeant, la cybersécurité cesse d’être une fonction technique pour devenir un impératif stratégique de premier ordre.
A lire également :
NIS2 : la gouvernance opérationnelle comme réponse stratégique au risque cyber
La gouvernance technologique : de l’angle mort stratégique au devoir fiduciaire
Pourquoi les investisseurs deviennent beaucoup plus exigeants sur la cyber sécurité depuis NIS2
Advisor , Investisseur et Consultant auprès des dirigeants d'entreprise - Fondateur de GOWeeZ !
Le Cyber Resilience Act marque une rupture silencieuse mais profonde. Pour la première fois, l’Union européenne ne régule pas uniquement les usages numériques, mais la conception même des produits. Ce texte oblige les dirigeants à intégrer la cybersécurité non plus comme un coût IT, mais comme un actif stratégique. Dans les années à venir, la conformité CRA sera un filtre naturel entre les entreprises capables de structurer leur croissance et celles qui subiront le cadre réglementaire. Anticiper, structurer, gouverner : voilà l’enjeu réel.
