Le marquage CE, symbole bien connu de conformite aux normes europeennes, s’etend desormais a la cybersecurite. Avec le Cyber Resilience Act (reglement (UE) 2024/2847), tout produit comportant des elements numeriques devra satisfaire a des exigences essentielles de cybersecurite avant de pouvoir porter le marquage CE – et donc d’etre commercialise sur le marche europeen. Pour les product managers et les CTO, ce changement impose une refonte des processus de mise sur le marche.

I. Le marquage CE integre desormais la cybersecurite

Jusqu’au CRA, le marquage CE couvrait la securite physique, la compatibilite electromagnetique, ou encore la conformite environnementale des produits, selon les directives applicables. Un routeur Wi-Fi devait satisfaire aux exigences de la directive RED (2014/53/UE), un jouet connecte a celles de la directive Jouets. Mais aucune de ces reglementations n’imposait de veritable evaluation de la securite logicielle ou de la resistance aux cyberattaques.

Le CRA comble cette lacune. L’article 28 du reglement dispose que le marquage CE appose sur un produit comportant des elements numeriques atteste desormais de la conformite aux exigences essentielles de cybersecurite definies a l’annexe I. Concretement, le marquage CE signifie desormais que :

• le produit a ete concu selon les principes de securite par defaut et des la conception ;
• il ne contient pas de vulnerabilite exploitable connue au moment de la mise sur le marche ;
• les mecanismes d’authentification, de chiffrement et de mise a jour sont conformes ;
• le fabricant a mis en place un processus de gestion des vulnerabilites pour toute la duree de vie du produit.

Autrement dit, le marquage CE devient un certificat de cybersecurite de facto pour tout produit numerique vendu en Europe. Un produit qui ne repond pas a ces exigences ne pourra tout simplement pas etre commercialise.

II. Les procedures d’evaluation de conformite

Le CRA ne traite pas tous les produits de la meme maniere. La procedure d’evaluation de conformite varie en fonction de la classification du produit, selon qu’il est considere comme un produit par defaut, un produit important ou un produit critique.

A. Produits par defaut : l’auto-evaluation (module A)

La grande majorite des produits numeriques – logiciels de bureautique, jeux video, disques durs, applications grand public – relevent de la categorie “par defaut”. Pour ces produits, le fabricant peut realiser lui-meme l’evaluation de conformite selon le module A (controle interne de la production) defini a l’annexe VIII du reglement.

En pratique, l’auto-evaluation implique que le fabricant :

1. evalue les risques de cybersecurite lies au produit ;
2. verifie la conformite du produit aux exigences essentielles de l’annexe I ;
3. constitue la documentation technique requise ;
4. redige la declaration UE de conformite ;
5. appose le marquage CE.

Cette procedure n’implique aucune intervention d’un organisme tiers. Mais elle n’est pas pour autant une formalite : le fabricant engage pleinement sa responsabilite. En cas de controle par une autorite de surveillance du marche, il devra demontrer, documentation technique a l’appui, que son auto-evaluation a ete menee de maniere rigoureuse et que le produit satisfait effectivement aux exigences.

B. Produits importants de classe I : normes harmonisees ou evaluation tierce

Les produits importants de classe I – gestionnaires de mots de passe, clients VPN, routeurs domestiques, systemes domotiques, jouets connectes a internet – sont soumis a un regime intermediaire. Le fabricant dispose de deux options :

• S’appuyer sur des normes harmonisees : si des normes harmonisees couvrent l’integralite des exigences essentielles applicables, le fabricant peut recourir a l’auto-evaluation (module A). La conformite a la norme harmonisee cree une presomption de conformite au reglement.
• Recourir a un organisme notifie : en l’absence de normes harmonisees couvrant l’ensemble des exigences, ou si le fabricant choisit de ne pas les appliquer, il doit faire evaluer la conformite de son produit par un organisme notifie (evaluation de type UE – module B, combinee a la conformite au type sur la base du controle interne de la production – module C).

Ce point est strategiquement important. A la date de redaction de cet article, le processus d’elaboration des normes harmonisees par les organismes de normalisation europeens (CEN, CENELEC, ETSI) est en cours mais loin d’etre acheve. Tant que ces normes ne sont pas publiees au Journal officiel, les fabricants de produits de classe I devront potentiellement recourir a des organismes notifies – ce qui aura un impact direct sur les couts et les delais de mise sur le marche.

C. Produits importants de classe II et produits critiques : evaluation tierce obligatoire

Pour les produits de classe II (pare-feu industriels, systemes de detection d’intrusion, hyperviseurs, microprocesseurs securises, systemes d’exploitation) et les produits critiques (cartes a puce, dispositifs de creation de signature electronique qualifiee, passerelles de compteurs intelligents), l’evaluation par un organisme notifie est obligatoire, quelle que soit l’existence de normes harmonisees.

Le fabricant doit faire realiser un examen UE de type (module B), suivi d’une verification de la conformite de la production (module C). Pour les produits critiques, le CRA prevoit egalement la possibilite d’imposer une certification europeenne de cybersecurite au titre du reglement (UE) 2019/881 (Cybersecurity Act).

III. La declaration UE de conformite

La declaration UE de conformite est le document par lequel le fabricant atteste formellement que son produit satisfait aux exigences essentielles du CRA. Son contenu est prescrit par l’annexe V du reglement et doit inclure, au minimum :

• l’identification du fabricant (nom, adresse, coordonnees) ;
• l’identification du produit (designation, type, version, numero de lot ou de serie) ;
• la mention que la declaration est etablie sous la seule responsabilite du fabricant ;
• la reference aux exigences essentielles auxquelles le produit est conforme ;
• les references aux normes harmonisees ou specifications techniques appliquees ;
• le cas echeant, l’identification de l’organisme notifie ayant realise l’evaluation ;
• la date et la signature du fabricant.

Cette declaration doit etre tenue a disposition des autorites de surveillance du marche pendant au moins dix ans apres la mise sur le marche du produit. Le fabricant doit egalement la fournir ou la rendre accessible a l’acquereur.

IV. La documentation technique

La documentation technique est le dossier probant qui sous-tend le marquage CE. L’annexe VII du CRA en definit le contenu. Elle doit permettre aux autorites de verifier la conformite du produit et inclut notamment :

• une description complete du produit et de ses fonctionnalites ;
• la conception et la fabrication du produit, y compris l’architecture logicielle ;
• l’evaluation des risques de cybersecurite realisee par le fabricant ;
• les mesures prises pour satisfaire aux exigences essentielles de l’annexe I ;
• le SBOM (Software Bill of Materials) ;
• les rapports d’essais et les resultats des evaluations de conformite ;
• la politique de gestion des vulnerabilites et les procedures de mise a jour.

La documentation technique doit etre redigee avant la mise sur le marche et maintenue a jour pendant toute la duree de vie du produit. Elle doit etre conservee pendant au moins dix ans et mise a disposition des autorites de surveillance du marche sur demande.

V. Le role des organismes notifies

Les organismes notifies sont les evaluateurs tiers charges de verifier la conformite des produits de classe I (en l’absence de normes harmonisees), de classe II et des produits critiques. Ils sont designes par les Etats membres et notifies a la Commission europeenne.

Pour etre designe, un organisme doit demontrer son independance, sa competence technique en matiere de cybersecurite, et sa conformite aux exigences du chapitre IV du reglement. Les obligations relatives aux organismes notifies s’appliquent a compter du 11 juin 2026.

En pratique, la montee en puissance du reseau d’organismes notifies sera un facteur determinant. Si le nombre d’organismes competents est insuffisant, les delais d’evaluation pourraient s’allonger significativement – un risque que les fabricants de produits de classe II doivent anticiper des maintenant dans leur feuille de route produit.

VI. Non-conformite : quelles consequences ?

Un produit qui ne satisfait pas aux exigences du CRA ne peut pas porter le marquage CE et ne peut donc pas etre mis sur le marche europeen. Mais les consequences vont au-dela de l’interdiction de commercialisation.

Les autorites de surveillance du marche disposent de pouvoirs etendus :

• Demander le retrait ou le rappel de produits non conformes deja sur le marche ;
• Imposer des mesures correctives dans un delai determine ;
• Infliger des amendes administratives pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial pour les manquements les plus graves (non-respect des exigences essentielles ou des obligations de gestion des vulnerabilites).

Par ailleurs, l’apposition indue du marquage CE – c’est-a-dire le fait d’apposer le marquage sur un produit qui ne respecte pas les exigences – constitue une infraction specifique, sanctionnable par des amendes pouvant aller jusqu’a 5 millions d’euros ou 1 % du chiffre d’affaires mondial.

VII. Recommandations pratiques

Pour les responsables produit et les CTO, plusieurs actions s’imposent des maintenant :

1. Cartographier vos produits selon la classification du CRA (par defaut, classe I, classe II, critique). Cela determine votre procedure d’evaluation.
2. Anticiper les normes harmonisees : suivre les travaux du CEN, CENELEC et de l’ETSI. Si vous fabriquez des produits de classe I, votre strategie de conformite dependra directement de la disponibilite de ces normes.
3. Constituer la documentation technique des la phase de conception. Retroactivement documenter un produit deja en production est infiniment plus couteux.
4. Integrer la gestion des vulnerabilites dans votre cycle de developpement (CI/CD, SBOM automatise, politique de divulgation coordonnee).
5. Identifier les organismes notifies competents si vous fabriquez des produits de classe II ou critiques. Les capacites d’evaluation seront probablement limitees dans les premiers mois.
6. Mettre a jour vos contrats fournisseurs : si vous integrez des composants tiers, vous devez obtenir les garanties de conformite necessaires de vos fournisseurs.

Le calendrier est serre. Les obligations de signalement des vulnerabilites s’appliquent des le 11 septembre 2026, et l’ensemble des exigences sera pleinement applicable au 11 decembre 2027. Le marquage CE avec composante cybersecurite n’est plus une perspective lointaine – c’est un chantier a lancer maintenant.