Comprendre le Cyber Resilience Act et s’y préparer

Laurianne Brua, Olivier Gellez et Nicolas Hory

18 juin 2026

Notre lecture du Cyber Resilience Act

Le Cyber Resilience Act (CRA) s’impose comme un nouveau pilier du cadre réglementaire européen de cybersécurité aux côtés de NIS 2, DORA ou encore du Cybersecurity Act 2. Mais contrairement à ces réglementations, qui visent principalement à sécuriser les infrastructures des entités concernées, le CRA introduit une évolution majeure : il étend les exigences de cybersécurité aux produits numériques eux-mêmes, sur l’ensemble de leur cycle de vie.

Il concerne ainsi l’ensemble des acteurs de la chaîne de valeur — fabricants, importateurs et distributeurs — quelle que soit leur taille, avec un objectif clair : renforcer la confiance et protéger les utilisateurs européens, particuliers comme entreprises. Des objets connectés du quotidien aux équipements critiques (smartphones, imprimantes, VPN, firewalls…), le CRA couvre un marché de plusieurs centaines de milliards d’euros.

Les premières obligations entreront en vigueur dès septembre 2026, et incluent notamment l’obligation de notification d’incident aux autorités. En cas de non-conformité, des sanctions financières pouvant aller jusqu’à 15 millions d’euros sont prévues et, dans les cas les plus sévères, un retrait des produits non conformes du marché peut être décidé.

Dans ce contexte, le CRA n’est plus un sujet purement réglementaire. Il devient un enjeu stratégique, à la fois business et opérationnel, qui nécessite d’être anticipé dès aujourd’hui. Capgemini a identifié cinq enjeux majeurs pour les organisations concernées :

1/ Adresser une roadmap règlementaire cyber déjà très chargée

L’intégration du CRA complexifie une feuille de route règlementaire déjà bien remplie pour les entités concernées par les précédentes régulations (NIS1/2, DORA…). Certaines se voient dans l’obligation d’adresser la cybersécurité non seulement à l’échelle de l’infrastructure de l’entité, mais aussi à la maille produit.

Dans ce contexte de superposition de régulations aux périmètres distincts, les entités doivent structurer une approche cohérente et séquencée de la mise en conformité afin de limiter les redondances et rationaliser les efforts. Cela suppose l’alignement des fonctions clés (Juridique, IT, Métiers, SSI…) autour d’un programme de conformité cyber intégré et d’une feuille de route transverse permettant d’optimiser les ressources et de rompre les approches en silos.

2/ Identifier les standards industriels couvrant déjà les exigences du CRA

En abordant la cybersécurité à l’échelle du produit, le CRA s’inscrit dans un cadre normatif industriel préexistant pour les différents secteurs concernés. Une partie des produits conformes à ces référentiels peuvent ainsi être considérés comme compliant-by-design vis-à-vis de certaines obligations du CRA.

Dans une perspective d’optimisation des efforts de mise en conformité, les entités concernées ont tout intérêt à initier leur démarche par une cartographie des normes et standards existants auxquels elles sont déjà assujetties pour recentrer les travaux sur l’écart à combler avec le CRA pour le reste des produits concernés. Cette première approche constitue un levier clé pour prioriser les périmètres critiques et définir une trajectoire de conformité CRA ciblée et pragmatique.

3/ Clarifier ses responsabilités dans la chaîne de valeur

Les exigences de cybersécurité imposées sont différenciées selon le rôle de l’acteur (fabricant, importateur, distributeur) et la criticité du produit numérique :

Les fabricants portent la responsabilité principale : conception secure‑by‑design, analyse des risques, gestion des vulnérabilités, correctifs de sécurité et documentation de conformité ;
Les importateurs doivent vérifier la conformité des produits mis sur le marché européen et coopérer avec les autorités en cas d’incident ;
Les distributeurs sont soumis à une obligation de vigilance, notamment sur l’identification et la remontée des vulnérabilités ou incidents constatés.

Cette distinction se complexifie lorsqu’une même organisation cumule plusieurs rôles, entraînant l’application simultanée de plusieurs obligations réglementaires. Un travail d’analyse des produits est donc nécessaire dans un premier temps afin de s’assurer de la catégorie à laquelle ils appartiennent et s’assurer du suivi du bon processus de certifications impliquant les bonnes entités et autorités.

4/ Assurer la sécurité de la chaîne d’approvisionnement

Le CRA introduit une responsabilité partagée sur l’ensemble de la chaîne d’approvisionnement des produits numériques. La notion de fabricant couvre toute entreprise qui conçoit, développe ou fait développer un produit et le commercialise sous son nom, y compris gratuitement.

Les entreprises doivent donc mettre en place des processus pour :

Maîtriser les risques liés aux composants et fournisseurs tiers ;
Assurer le suivi et la remédiation des vulnérabilités ;
Organiser la notification des incidents entre acteurs.

Ces exigences impliquent souvent une revue des contrats fournisseurs et partenaires, afin de clarifier les responsabilités en matière de cybersécurité et de conformité réglementaire, à l’image d’autres standards tels que l’ISO 21434 dans le domaine automobile.

5/ Industrialiser la gestion des vulnérabilités

Dans le cadre du CRA, la capacité à identifier, qualifier et traiter les vulnérabilités dans des délais contraints constitue un enjeu structurant. Les organisations doivent s’appuyer sur des outils industrialisés permettant de centraliser la détection des vulnérabilités (analyse de code, scans, Software Bill of Material…), d’évaluer leurs impacts sur les produits en fonction de leur criticité et de leur exposition, puis de prioriser les actions de remédiation.

Au-delà de l’identification, ces solutions doivent également permettre d’orchestrer le déploiement des correctifs, d’assurer leur traçabilité et de produire les éléments de preuve attendus par les autorités. L’intégration de ces outils dans les chaînes de développement et d’exploitation (DevSecOps) devient essentielle pour garantir une gestion continue et proactive des risques, en cohérence avec les exigences de sécurisation du cycle de vie produit imposées par le CRA.

Anticiper plutôt que subir

Au-delà d’un nouveau cadre de conformité, le Cyber Resilience Act consacre un changement de paradigme : la cybersécurité des produits devient un enjeu stratégique, au croisement de la confiance, de la résilience et de la compétitivité des organisations. Avec des premières échéances dès septembre 2026 et des sanctions potentiellement élevées, le CRA s’imposera rapidement comme une règlementation incontournable. Dans ce contexte, les organisations ont le choix : subir une contrainte réglementaire supplémentaire ou saisir cette opportunité pour transformer en profondeur leur approche de la sécurité.

Nos experts

Laurianne est contributrice sur l’offre Compliance Compass de Capgemini Invent. Elle accompagne les organisations pour définir et mettre en œuvre leur stratégie de cybersécurité et de mise en conformité cyber.”

Olivier pilote l’expertise GRC au sein de Capgemini CIS Cybersécurité. Il structure les offres, intervient dans les avant-ventes et encadre l’accompagnement des clients sur l’ensemble de leurs besoin en matière de gouvernance, gestion des risques et conformité.

Nicolas dirige le centre d’excellence (CoE) de cybersécurité des produits connectés et connectivité (4G/5G) en France. Il accompagne les clients pour identifier et répondre à leurs besoins couvrant l’ensemble du cycle de vie cybersécurité de leurs solutions.