{"id":9050,"date":"2024-04-11T11:45:06","date_gmt":"2024-04-11T09:45:06","guid":{"rendered":"https:\/\/www.arcadsoftware.com\/dot\/?p=9050"},"modified":"2025-04-15T09:42:43","modified_gmt":"2025-04-15T07:42:43","slug":"le-cyber-resilience-act","status":"publish","type":"post","link":"https:\/\/www.arcadsoftware.fr\/dot\/ressources\/blog\/le-cyber-resilience-act\/","title":{"rendered":"Le Cyber Resilience Act (CRA)"},"content":{"rendered":"

\"Blog<\/span><\/div><\/div><\/div><\/div><\/div>

Le Cyber Resilience Act (CRA) a pour objectif de renforcer la protection des consommateurs et des entreprises qui ach\u00e8tent ou utilisent des produits ou des logiciels int\u00e9grant des composants num\u00e9riques. Adopt\u00e9e d\u00e9but 2024, cette r\u00e8glementation europ\u00e9enne impose des exigences de cybers\u00e9curit\u00e9 obligatoires pour prot\u00e9ger les consommateurs et les entreprises contre les cyberattaques croissantes.<\/p>\n

Ce texte explore les principales obligations du CRA, les amendes encourues en cas de non-respect et son impact sur la communaut\u00e9 open source.<\/p>\n<\/div><\/div><\/div>

Au sommaire de cet article<\/b><\/p>\n

    \n
  1. Qu'est-ce que le Cyber Resilience Act (CRA) ?<\/a><\/li>\n
  2. Qui est concern\u00e9 par cette r\u00e8glementation europ\u00e9enne ?<\/a><\/li>\n
  3. Quels sont les objectifs du Cyber Resilience Act ?<\/a><\/li>\n
  4. Quelles sont les amendes encourues en cas de non-respect du CRA ?<\/a><\/li>\n
  5. Qu\u2019en est-il de l\u2019inqui\u00e9tude dans le monde de l\u2019open-source ?<\/a><\/li>\n
  6. Comment DOT Anonymizer, solution d\u2019anonymisation, peut aider \u00e0 se mettre en conformit\u00e9 avec le Cyber Resilience Act ?<\/a><\/li>\n
  7. Conclusion<\/a><\/li>\n<\/ol>\n<\/div><\/div><\/div>
    <\/div>

    1. Qu'est-ce que le Cyber Resilience Act (CRA)?<\/h2><\/div>

    Le Cyber Resilience Act (CRA) est une proposition de loi de l'Union europ\u00e9enne visant \u00e0 renforcer la s\u00e9curit\u00e9 des produits num\u00e9riques tels que le mat\u00e9riel informatique et les logiciels<\/b>. Cette proposition de r\u00e8glement a \u00e9t\u00e9 adopt\u00e9e d\u00e9but 2024 par la Commission Europ\u00e9enne. Le CRA impose des exigences de cybers\u00e9curit\u00e9 obligatoires aux fabricants et aux d\u00e9taillants<\/b> pour prot\u00e9ger les consommateurs et les entreprises contre les cyberattaques. En effet, les produits mat\u00e9riels et logiciels subissent de plus en plus de cyberattaques. Selon la Commission europ\u00e9enne, le co\u00fbt annuel de ces attaques a \u00e9t\u00e9 estim\u00e9 \u00e0 pr\u00e8s de 5,5 billions d'euros en 2020.<\/p>\n

    Les fabricants auront 3 ans pour s'adapter aux nouvelles normes<\/b> apr\u00e8s l'entr\u00e9e en vigueur de la loi, et ils devront signaler les incidents et les vuln\u00e9rabilit\u00e9s au plus tard 21 mois<\/b> suivant l'adoption de cette loi. Le CRA vise \u00e0 promouvoir l'utilisation s\u00e9curis\u00e9e des produits num\u00e9riques en encourageant une approche proactive de la s\u00e9curit\u00e9 tout au long de leur cycle de vie.<\/p>\n<\/div>

    <\/div>

    2. Qui est concern\u00e9 par cette r\u00e8glementation europ\u00e9enne ?<\/h2><\/div>

    Le Cyber Resilience Act (CRA) a \u00e9t\u00e9 \u00e9tabli pour renforcer la s\u00e9curit\u00e9 des produits num\u00e9riques vendus sur le march\u00e9 unique europ\u00e9en.<\/b> Contrairement \u00e0 la directive NIS 2<\/b><\/a>, qui concerne un large \u00e9ventail d'entit\u00e9s telles que les fournisseurs cloud et les h\u00e9bergeurs de Donn\u00e9es de sant\u00e9, le CRA cible sp\u00e9cifiquement les produits num\u00e9riques.<\/b> Cela inclut tout produit mat\u00e9riel ou logiciel comportant des \u00e9l\u00e9ments num\u00e9riques, comme les ordinateurs, les t\u00e9l\u00e9phones, les appareils m\u00e9nagers, les voitures, les jouets connect\u00e9s, ainsi que les syst\u00e8mes tels que les VPN, les antivirus et les gestionnaires de mots de passe.<\/p>\n

    Le CRA d\u00e9finit trois classes de produits num\u00e9riques pour r\u00e9glementer leur cybers\u00e9curit\u00e9<\/b>. La cat\u00e9gorie par d\u00e9faut, concernant 90 % des solutions num\u00e9riques, n\u00e9cessite seulement une auto-\u00e9valuation. Les deux autres cat\u00e9gories, comprenant 10 % des solutions, requi\u00e8rent des niveaux d'\u00e9valuation plus \u00e9lev\u00e9s, allant de l'application de standards de s\u00e9curit\u00e9 \u00e0 des \u00e9valuations r\u00e9alis\u00e9es par des tiers ext\u00e9rieurs. Cette classification est bas\u00e9e sur les fonctionnalit\u00e9s sp\u00e9cifiques et l'utilisation pr\u00e9vue du produit.<\/p>\n<\/div>

    <\/div>

    3. Quels sont les objectifs du Cyber Resilience Act ?<\/h2><\/div>

    Les fabricants des produits cit\u00e9s pr\u00e9c\u00e9demment seront tenus de respecter des r\u00e8gles harmonis\u00e9es en mati\u00e8re de cybers\u00e9curit\u00e9 tout au long du cycle de vie du produit<\/b>, y compris des obligations de planification, de conception, de d\u00e9veloppement et de maintenance pour garantir la cybers\u00e9curit\u00e9. Le CRA vise \u00e0 :<\/p>\n