Cyber Resilience Act : les fabricants d’objets connectés face à un changement de paradigme
Publié le 22/06/2026Article co-rédigé avec les experts de TEKIN
Pendant longtemps, la cybersécurité a été perçue comme une affaire de systèmes d’information. Les entreprises protégeaient leurs serveurs, sensibilisaient leurs collaborateurs aux mots de passe et aux e-mails frauduleux, et considéraient le sujet comme relevant principalement des équipes informatiques.
Mais dans un monde où les objets connectés se multiplient, cette approche montre aujourd’hui ses limites.
Capteurs industriels, équipements intelligents, systèmes embarqués, infrastructures connectées… Les produits eux-mêmes deviennent des vecteurs potentiels d’attaque.
Face à cette évolution, l’Europe a décidé de changer d’approche.
Avec le Cyber Resilience Act (CRA), un règlement européen qui entrera pleinement en application en décembre 2027, la cybersécurité ne sera plus seulement une question d’usage ou de comportement. Elle deviendra une caractéristique intrinsèque du produit.
Et ce changement pourrait bien redéfinir la responsabilité des fabricants.
DU RISQUE CYBER AU RISQUE PRODUIT : UNE ÉVOLUTION INÉVITABLE
Si l’on parle autant de cybersécurité aujourd’hui, c’est parce que le contexte a radicalement changé.
Il y a vingt ans, les données étaient principalement manipulées par des humains derrière leurs ordinateurs. Aujourd’hui, elles sont collectées, échangées et exploitées par des millions d’objets connectés.
Montres intelligentes, systèmes de gestion de bâtiments, équipements industriels ou dispositifs médicaux : chaque objet connecté constitue désormais une porte d’entrée potentielle vers un système d’information.
Pour Tekin, spécialiste des systèmes embarqués et de l’IoT, cette évolution impose de revoir notre manière d’aborder le risque cyber.
« Aujourd’hui, ce n’est plus suffisant de dire aux humains : faites attention à ce que vous faites. Il faut aussi que les objets eux-mêmes soient développés, configurés et utilisés de manière sécurisée. »
Le risque cyber a évolué : l’enjeu n’est plus seulement de protéger les utilisateurs, mais également les produits qu’ils utilisent.
LE CYBER RESILIENCE ACT : QUAND LA CYBERSÉCURITÉ DEVIENT UNE CONDITION DE MISE SUR LE MARCHÉ
C’est précisément l’objectif du Cyber Resilience Act.
Le règlement vise l’ensemble des produits comportant des éléments numériques : objets connectés, systèmes embarqués, logiciels associés ou encore applications permettant leur fonctionnement.
Sa philosophie est simple : les fabricants devront démontrer que leurs produits intègrent un niveau de cybersécurité adapté tout au long de leur cycle de vie.
Concrètement, cela implique :
- une conception sécurisée dès l’origine (security by design) ;
- un suivi continu des vulnérabilités ;
- des mises à jour de sécurité adaptées ;
- une capacité à réagir et informer en cas d’incident.
Mais derrière ces exigences se cache un changement majeur.
« Le CRA remet en cause le marquage CE du produit. Une entreprise qui n’a pas fait l’effort d’analyser la cybersécurité de son produit ne devrait plus pouvoir le commercialiser à partir de décembre 2027. »
Autrement dit, la cybersécurité n’est plus seulement une bonne pratique. Elle devient un prérequis réglementaire.
Les sanctions prévues en cas de non-conformité peuvent atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial.
SECURITY BY DESIGN : PENSER LA SÉCURITÉ DÈS LA CONCEPTION
Pour beaucoup d’entreprises, le principal défi sera culturel.
Pendant des années, la cybersécurité a souvent été traitée en fin de projet, lorsqu’un produit était déjà développé.
Le CRA pousse à adopter une logique inverse.
L’objectif n’est pas de créer des produits inviolables – ce qui n’existe pas – mais d’éviter les vulnérabilités les plus évidentes.
Tekin prend un exemple très concret :
« Si un port USB ne sert plus une fois le produit déployé, il faut le désactiver. Mieux encore : il ne devrait même pas être accessible si son utilisation n’est pas nécessaire. »
Même logique pour les mots de passe par défaut, les interfaces de maintenance laissées ouvertes ou les composants logiciels comportant des failles connues.
Autant d’éléments qui peuvent sembler anecdotiques mais qui constituent souvent les premières portes d’entrée exploitées lors d’une attaque.
La cybersécurité devient alors une question de conception au même titre que la performance, la fiabilité ou la consommation énergétique.
UNE RÉVOLUTION AUSSI ORGANISATIONNELLE QUE TECHNIQUE
L’une des idées reçues les plus fréquentes consiste à penser qu’il suffira de modifier quelques lignes de code ou d’ajouter une couche de protection supplémentaire.
En réalité, le CRA va bien au-delà.
Le règlement introduit une logique de suivi dans le temps.
Les fabricants devront être capables d’identifier les vulnérabilités, de surveiller leurs produits, d’organiser les mises à jour et de réagir en cas d’incident.
« Jusqu’à présent, beaucoup de réglementations consistaient à démontrer qu’un produit était conforme à un instant donné. Avec le CRA, il faut aussi être capable de prouver que l’on continue à le suivre après sa mise sur le marché. »
Cette exigence transforme profondément les pratiques industrielles.
La cybersécurité n’est plus uniquement un sujet technique.
Elle devient également une question d’organisation, de gouvernance et de gestion du cycle de vie produit.
LES ENTREPRISES SONT-ELLES RÉELLEMENT PRÊTES ?
À écouter les acteurs du terrain, la réponse est encore largement négative.
Non pas parce que les industriels refusent le sujet.
Mais parce que beaucoup peinent encore à mesurer son ampleur.
« Les entreprises n’ont pas conscience du sujet. Ou alors elles ne savent pas par quel bout le prendre. »
Cette difficulté est renforcée par une perception souvent binaire de la cybersécurité : être protégé ou ne pas l’être.
Or cette vision est trompeuse.
Pour Tekin, la vraie question n’est pas d’empêcher toute attaque – un objectif irréaliste – mais de développer sa capacité à y faire face.
« Aujourd’hui, la question n’est plus : comment éviter toutes les attaques ? La question est : comment se relever lorsqu’une attaque survient ? »
C’est précisément la notion de cyber-résilience qui donne son nom au règlement européen.
UNE CONTRAINTE RÉGLEMENTAIRE… OU UN AVANTAGE COMPÉTITIF ?
Comme toute nouvelle réglementation, le CRA est parfois perçu comme une charge supplémentaire pour les entreprises.
Pourtant, certains y voient déjà une opportunité.
D’abord parce qu’il pourrait contribuer à assainir le marché en écartant les produits les moins robustes.
Ensuite parce qu’il renforce la valeur des produits conçus selon des standards élevés de qualité et de sécurité.
Les collectivités, les industriels et les grands donneurs d’ordre intègrent déjà ces critères dans leurs réflexions.
« La cybersécurité est en train de devenir un critère de choix, au même titre que la performance ou la consommation énergétique. »
Dans un contexte où la confiance devient un facteur clé de compétitivité, la robustesse cyber pourrait rapidement devenir un argument commercial à part entière.
ET DEMAIN ?
Le Cyber Resilience Act n’impose pas seulement de nouvelles obligations.
Il traduit une évolution plus profonde de notre rapport aux objets connectés.
Hier, un produit était jugé sur ses performances, son coût ou sa fiabilité.
Demain, sa capacité à résister aux cyberattaques pourrait peser tout autant dans la décision d’achat.
La question n’est donc plus de savoir si la cybersécurité fait partie du produit.
Elle est déjà devenue l’une de ses caractéristiques essentielles.
Reste à savoir quelles entreprises choisiront d’anticiper cette évolution… et lesquelles attendront décembre 2027 pour s’y intéresser.
Un article par Smart Power et TEKIN
Envie de vous former au Cyber Resilience Act avec Tekin ?