Résumé exécutif. Le Cyber Resilience Act (CRA), adopté formellement par le Parlement européen en mars 2024 et applicable après une période transitoire d’environ 36 mois, impose des exigences de cybersécurité directement au niveau des produits avec éléments numériques. Pour les DSI industriels, cela signifie : (1) intégrer la sécurité dès la conception et sur tout le cycle de vie des équipements, (2) refondre les cahiers des charges et la relation fournisseurs, (3) assumer un rôle de co-fabricant lorsque l’entreprise met sur le marché ses propres produits numériques, et (4) bâtir une feuille de route budgétaire et opérationnelle jusqu’en 2027. L’enjeu n’est plus seulement la conformité : il s’agit de protéger le chiffre d’affaires, la continuité d’activité et l’accès au marché européen.
1. Cyber Resilience Act : un changement de rapport de force pour les DSI industriels
Le Cyber Resilience Act transforme la manière dont une direction des systèmes d’information industrielle aborde la sécurité des produits à composants numériques. Pour un DSI d’usine connectée, la question n’est plus seulement la sécurité du système d’information, mais la cybersécurité intrinsèque des produits numériques et des éléments numériques qui entrent sur le site de production. Ce basculement place la conformité et la résilience au même niveau stratégique que la performance opérationnelle et la continuité d’activité.
Le règlement européen sur la cyber-résilience impose que chaque produit ou ensemble de produits numériques intégrant des logiciels, des firmwares ou des objets connectés soit pensé selon un principe de security by design et de security by default. Cette logique d’act réglementaire vient compléter le règlement existant sur la protection des données personnelles (RGPD) et la directive NIS 2 (directive (UE) 2022/2555), en ajoutant une couche spécifique au produit et au marché des équipements industriels. Pour un DSI, cela signifie que la gestion des risques cyber ne se limite plus au périmètre IT classique, mais englobe désormais le cycle de vie complet du produit, depuis la conception jusqu’au retrait du marché européen.
Le CRA, souvent désigné comme le resilience act européen, impose des exigences de cybersécurité détaillées sur la détection, la correction et le signalement des vulnérabilités, y compris pour les entités critiques du secteur industriel. Les obligations de mise en conformité couvrent la collecte et le traitement des données, la protection des données personnelles, mais aussi la robustesse des produits numériques face aux attaques cyber. Pour les DSI, la cyber-résilience devient un critère de sélection des fournisseurs au même titre que le coût total de possession ou l’impact sur le chiffre d’affaires.
CRA versus directive NIS : produits contre organisations
La directive NIS et sa nouvelle version, souvent appelée directive NIS 2, ciblent principalement les organisations, leurs processus de gestion de la sécurité et leurs obligations de notification d’incident. À l’inverse, le Cyber Resilience Act vise directement les produits et les éléments numériques, qu’ils soient déployés dans une usine, un entrepôt ou un environnement de secteur financier. Cette distinction est essentielle pour un DSI industriel qui doit articuler conformité NIS et conformité CRA sans créer de doublons bureaucratiques.
Concrètement, la directive NIS impose des mesures organisationnelles de cybersécurité, de gestion de crise et de gouvernance, tandis que le Cyber Resilience Act impose des exigences techniques et documentaires au niveau du produit numérique. Les fabricants doivent démontrer que leurs produits, y compris les objets connectés industriels, respectent un ensemble d’exigences de sécurité, de protection des données et de gestion des vulnérabilités avant leur mise sur le marché européen. Pour un DSI acheteur, cela implique de vérifier que les fournisseurs ont bien intégré ces obligations de conformité cyber dans leurs processus de développement et de support.
Les deux textes se complètent et renforcent la résilience globale de l’écosystème numérique européen, mais ils créent aussi une complexité réglementaire nouvelle pour les DSI. Une entreprise industrielle considérée comme entité critique au sens de la directive NIS 2 devra prouver à la fois la robustesse de son organisation et la conformité de ses produits numériques aux exigences du Cyber Resilience Act. La gestion de ces deux couches de régulation doit être orchestrée par la DSI en lien étroit avec la direction juridique, la direction industrielle et la direction des risques.
Security by design, mises à jour et signalement des vulnérabilités
Le cœur du Cyber Resilience Act repose sur trois piliers : la sécurité dès la conception, les mises à jour de sécurité pendant toute la durée de vie du produit et le signalement structuré des vulnérabilités. Pour un DSI industriel, cela signifie que chaque produit numérique ou produit avec éléments numériques doit être évalué non seulement sur ses fonctionnalités, mais aussi sur sa capacité à recevoir des correctifs de sécurité sans interrompre la continuité d’activité. La cybersécurité devient ainsi un attribut mesurable du produit, au même titre que la fiabilité mécanique ou la consommation énergétique.
Les fabricants doivent mettre en place des processus de gestion des vulnérabilités, incluant la collecte de rapports, l’analyse des risques et la diffusion de correctifs dans des délais compatibles avec la criticité des systèmes. Les DSI devront exiger des preuves concrètes de ces processus, par exemple sous forme de politiques de gestion de crise cyber, de plans de patching documentés ou de portails de signalement dédiés. Cette exigence de transparence change le rapport de force avec les fournisseurs, car un produit non conforme au CRA ne pourra plus être mis sur le marché européen sans exposer l’entreprise à des risques réglementaires et financiers significatifs.
Le signalement des vulnérabilités devient lui aussi une obligation structurante, avec des liens renforcés vers les autorités nationales et européennes de cybersécurité, comme les CSIRT nationaux prévus par NIS 2. Pour un DSI, cela implique de revoir les procédures internes de gestion des incidents, afin d’intégrer les flux d’information en provenance des fabricants de produits numériques et des objets connectés. La capacité à corréler ces informations avec les données internes de sécurité, les journaux d’événements et les indicateurs de performance opérationnelle sera déterminante pour maintenir un niveau de cyber-résilience acceptable.
2. DSI acheteur : refondre les cahiers des charges et la relation fournisseurs
Pour un DSI industriel qui achète des produits numériques, des logiciels embarqués ou des objets connectés, le Cyber Resilience Act impose une réécriture profonde des cahiers des charges. Les clauses de sécurité, de conformité et de gestion des vulnérabilités ne peuvent plus être génériques ou optionnelles, elles deviennent des exigences contractuelles au même titre que les SLA de disponibilité. Cette évolution oblige la DSI à travailler avec les achats, le juridique et les métiers pour intégrer la cybersécurité dans chaque étape du cycle d’acquisition.
Les cahiers des charges devront préciser les exigences de security by design, les engagements de mise à jour de sécurité, les modalités de signalement des vulnérabilités et les obligations de protection des données personnelles. Il faudra également intégrer des critères de conformité au CRA, à la directive NIS 2 et au règlement européen sur les données, en veillant à ce que chaque produit ou ensemble de produits numériques respecte ces cadres. Cette approche contractuelle structurée permettra de réduire les risques de non-conformité et de renforcer la résilience globale du système d’information industriel.
La relation fournisseurs va elle aussi évoluer, car les fabricants devront prouver leur capacité à respecter le CRA et à maintenir la sécurité de leurs produits sur toute leur durée de vie. Les DSI devront demander des preuves tangibles, comme des certifications, des rapports d’audit ou des attestations de mise en conformité au Cyber Resilience Act. Cette exigence de transparence renforcera la confiance, mais elle pourra aussi réduire le nombre de fournisseurs éligibles sur le marché européen, ce qui impose une anticipation stratégique.
Intégrer le CRA dans la gouvernance des risques et des données
Le Cyber Resilience Act ne peut pas être traité comme un simple sujet de conformité documentaire, il doit être intégré dans la gouvernance globale des risques numériques. Les DSI devront articuler la gestion des risques cyber liés aux produits avec la gestion des risques opérationnels, financiers et réglementaires de l’entreprise. Cette approche intégrée permettra de mieux mesurer l’impact potentiel d’une vulnérabilité produit sur la continuité d’activité, le chiffre d’affaires et la réputation.
La protection des données et la gestion des données personnelles restent au cœur de cette gouvernance, car de nombreux produits numériques industriels collectent, traitent ou transmettent des informations sensibles. Un incident de cybersécurité sur un produit connecté peut entraîner à la fois une fuite de données et une interruption de production, ce qui multiplie les risques pour l’entreprise. Les DSI devront donc renforcer les contrôles de protection des données, en s’appuyant sur des politiques claires, des outils de chiffrement et des mécanismes de supervision adaptés aux environnements industriels.
Les incidents récents de fuite de données montrent à quel point une vulnérabilité apparemment banale peut avoir des conséquences massives sur la sécurité et la confiance. L’analyse d’une faille IDOR ayant exposé des millions de comptes illustre la nécessité de traiter chaque vulnérabilité comme un risque systémique, y compris lorsqu’elle touche un produit périphérique. Pour un DSI industriel, cette réalité impose de renforcer les tests de sécurité, les revues de code et les audits de configuration sur l’ensemble des produits numériques déployés dans l’usine.
Gestion de crise et coordination avec les métiers industriels
Le Cyber Resilience Act impose aussi de repenser la gestion de crise cyber en intégrant la dimension produit et la chaîne d’approvisionnement. Une vulnérabilité critique sur un automate, un capteur ou un logiciel embarqué peut nécessiter une mise à jour urgente, avec un impact direct sur la production et la logistique. Les DSI doivent donc co-construire avec les métiers des scénarios de crise qui intègrent ces contraintes industrielles, afin de préserver la continuité d’activité tout en respectant les exigences réglementaires.
La coordination avec les équipes de production, de maintenance et de qualité devient centrale, car ce sont elles qui pilotent au quotidien les produits numériques et les objets connectés sur le terrain. Les plans de gestion de crise devront préciser qui décide de l’arrêt d’une ligne, qui valide le déploiement d’un correctif et comment sont gérées les communications internes et externes. Cette approche partagée de la cyber-résilience permettra de réduire les tensions entre impératifs de sécurité et objectifs de performance industrielle.
Les DSI devront également intégrer dans leurs plans de gestion de crise les interactions avec les autorités nationales et européennes, notamment en cas d’incident majeur touchant des entités critiques. La capacité à fournir rapidement des informations fiables sur les produits concernés, les données potentiellement compromises et les mesures correctives mises en œuvre sera déterminante pour limiter les impacts réglementaires et réputationnels. Dans ce contexte, la préparation et l’entraînement régulier des équipes restent les meilleurs leviers pour transformer la contrainte réglementaire en avantage compétitif.
3. Quand l’entreprise industrielle devient fabricant : le CRA côté produit
De nombreuses entreprises industrielles ne sont plus seulement utilisatrices de produits numériques, elles en deviennent aussi fabricantes, en intégrant des logiciels, des firmwares et des objets connectés dans leurs propres produits. Pour ces DSI, le Cyber Resilience Act change la donne, car la responsabilité de la sécurité et de la conformité ne se limite plus au système d’information interne. Elle s’étend désormais au produit lui-même, à ses éléments numériques et à son comportement sur le marché européen.
Le CRA impose aux fabricants d’assurer la sécurité des produits numériques tout au long de leur cycle de vie, y compris après leur mise sur le marché. Cela signifie que la DSI doit travailler main dans la main avec la R&D, l’ingénierie et la qualité pour intégrer la cybersécurité dès la conception, en appliquant des principes de security by design et de protection des données dès l’architecture. Cette collaboration étroite permet de réduire les vulnérabilités, de faciliter la mise en conformité et de renforcer la résilience globale de la gamme de produits.
Pour un DSI, cela implique aussi de structurer des processus de développement logiciel sécurisés, avec des revues de code, des tests de pénétration et des analyses de risques systématiques. Les produits numériques et les objets connectés doivent être conçus pour supporter des mises à jour de sécurité régulières, sans dégrader l’expérience utilisateur ni la performance industrielle. Cette exigence technique devient un critère de compétitivité sur le marché européen, car les clients finaux intégreront de plus en plus la conformité cyber dans leurs décisions d’achat.
Qualité des données, intelligence artificielle et conformité CRA
La montée en puissance de l’intelligence artificielle dans les produits industriels ajoute une couche de complexité supplémentaire au Cyber Resilience Act. Les algorithmes embarqués, les modèles d’IA et les systèmes d’apprentissage automatique reposent sur des volumes importants de données, souvent sensibles ou stratégiques. La qualité des données et la protection des données personnelles deviennent alors des enjeux centraux, à la fois pour la performance des modèles et pour la conformité réglementaire.
Les DSI doivent s’assurer que les pipelines de données utilisés pour entraîner et alimenter les modèles d’intelligence artificielle respectent les exigences de sécurité, de confidentialité et de gouvernance imposées par le CRA et par le règlement européen sur les données. Une mauvaise qualité des données dans les projets d’IA peut non seulement dégrader les performances, mais aussi introduire des vulnérabilités exploitables par des attaquants. Pour un DSI industriel, cela impose de renforcer les contrôles de qualité, de traçabilité et de protection des données sur l’ensemble de la chaîne numérique.
Les produits numériques intégrant de l’IA devront également être capables d’expliquer leurs décisions, notamment lorsqu’ils impactent la sécurité, la sûreté ou la conformité. Cette exigence de transparence rejoint les principes du Cyber Resilience Act, qui impose une documentation détaillée des risques, des mesures de sécurité et des mécanismes de mise à jour. Les DSI devront donc travailler avec les data scientists, les architectes et les juristes pour construire des architectures d’IA robustes, auditables et alignées avec les exigences européennes.
Protection des données et responsabilité du fabricant
Lorsqu’une entreprise industrielle devient fabricant de produits numériques, sa responsabilité en matière de protection des données s’étend bien au-delà de son système d’information interne. Les produits connectés qu’elle met sur le marché peuvent collecter des données personnelles, des données industrielles sensibles ou des données issues d’entités critiques, ce qui renforce les obligations de conformité cyber. Le Cyber Resilience Act impose alors de documenter précisément les flux de données, les mécanismes de chiffrement et les mesures de sécurité mises en œuvre.
Les DSI devront s’assurer que chaque produit ou gamme de produits respecte les principes de minimisation des données, de limitation des finalités et de sécurité par défaut. Cette approche rejoint les exigences du règlement européen sur la protection des données, mais elle les étend au niveau du produit et de ses éléments numériques. La capacité à démontrer cette conformité, par des audits, des certifications ou des rapports techniques, deviendra un avantage concurrentiel sur le marché européen, en particulier dans les secteurs où la confiance est un facteur clé, comme le secteur financier ou les infrastructures critiques.
La responsabilité du fabricant ne se limite pas à la phase de conception, elle s’étend à la gestion des incidents, au support et aux mises à jour de sécurité. Un défaut de réaction face à une vulnérabilité connue peut engager la responsabilité de l’entreprise, avec des impacts potentiels sur le chiffre d’affaires, la réputation et la capacité à accéder au marché européen. Pour un DSI, cela impose de mettre en place une organisation dédiée à la gestion des vulnérabilités produits, capable de coordonner rapidement les équipes techniques, juridiques et commerciales en cas de crise.
4. Feuille de route DSI jusqu’en 2027 : arbitrages, budgets et opérations
Le calendrier du Cyber Resilience Act laisse peu de marge aux DSI industriels pour se préparer, surtout lorsque l’on tient compte des cycles d’investissement et des contraintes de production. Les obligations de sécurité by design, de mise à jour et de signalement des vulnérabilités vont monter en puissance progressivement, mais les arbitrages doivent être faits dès maintenant. La question n’est pas de savoir si l’entreprise sera prête, mais à quel coût et avec quel impact sur ses projets de transformation numérique.
Une feuille de route efficace doit articuler trois horizons : la mise en conformité rapide des produits et systèmes les plus critiques, l’intégration des exigences CRA dans les nouveaux projets et la refonte progressive des processus de développement et d’achat. Les DSI devront prioriser les produits numériques et les objets connectés qui exposent le plus l’entreprise, soit par leur criticité opérationnelle, soit par la sensibilité des données qu’ils traitent. Cette priorisation permettra d’optimiser l’allocation des budgets de cybersécurité et de limiter les perturbations sur la continuité d’activité.
Les investissements nécessaires ne se limitent pas aux outils de sécurité, ils concernent aussi la formation des équipes, l’évolution des processus et la mise à niveau des contrats fournisseurs. Le renforcement annoncé du budget de l’ANSSI, passé d’environ 80 M€ au début des années 2010 à plus de 200 M€ dans les dernières lois de finances, et l’augmentation corrélative de ses effectifs à plusieurs centaines d’agents, montrent que l’Union européenne et les États membres prennent très au sérieux la mise en œuvre du Cyber Resilience Act. Pour les DSI, cela signifie que les contrôles seront plus fréquents, plus approfondis et plus exigeants, ce qui impose une préparation rigoureuse et documentée.
Maintien en condition opérationnelle et résilience opérationnelle
La mise en conformité au Cyber Resilience Act ne doit pas être traitée en silo, elle doit s’intégrer dans la stratégie globale de maintien en condition opérationnelle des infrastructures IT et OT. Les mises à jour de sécurité imposées par le CRA auront un impact direct sur les fenêtres de maintenance, les tests de non-régression et les plans de reprise d’activité. Les DSI doivent donc revoir leurs modèles d’exploitation pour concilier exigences réglementaires, contraintes industrielles et objectifs de performance.
Une approche structurée du maintien en condition opérationnelle, telle que décrite dans les bonnes pratiques de structuration du MCO informatique, peut servir de socle pour intégrer les obligations du CRA. En alignant les processus de patch management, de supervision et de gestion des configurations sur les exigences du Cyber Resilience Act, les DSI peuvent transformer une contrainte réglementaire en levier d’optimisation opérationnelle. Cette intégration permet aussi de mieux articuler les responsabilités entre équipes IT, OT et métiers, en clarifiant qui fait quoi lors des mises à jour critiques.
La résilience opérationnelle devient alors un objectif partagé, qui dépasse la seule cybersécurité pour englober la continuité d’activité, la qualité de service et la satisfaction des métiers. Les DSI devront mettre en place des indicateurs de performance qui reflètent cette vision intégrée, en mesurant par exemple le temps moyen de déploiement des correctifs, le taux de conformité des produits numériques ou l’impact des mises à jour sur la production. Cette approche data driven permettra de piloter la transformation imposée par le Cyber Resilience Act avec une vision claire des risques et des bénéfices.
Arbitrages budgétaires, gouvernance et dialogue avec la direction générale
Le Cyber Resilience Act impose des investissements significatifs, mais il offre aussi une opportunité de repositionner la DSI comme acteur central de la résilience de l’entreprise. Les arbitrages budgétaires devront être argumentés non seulement en termes de conformité, mais aussi en termes de réduction des risques, de protection du chiffre d’affaires et de sécurisation de l’accès au marché européen. Pour convaincre la direction générale, les DSI devront présenter des scénarios chiffrés, comparant le coût de la mise en conformité au coût potentiel d’un incident majeur ou d’une interdiction de mise sur le marché.
La gouvernance devra évoluer pour intégrer explicitement le Cyber Resilience Act dans les comités de risques, les comités d’investissement et les revues de portefeuille projets. Les DSI devront travailler avec les directions industrielles, financières et juridiques pour définir des seuils d’acceptabilité des risques, des priorités de traitement et des mécanismes de suivi. Cette gouvernance partagée permettra de sortir d’une vision purement technique de la cybersécurité pour en faire un véritable levier de compétitivité et de confiance sur le marché européen.
Dans ce contexte, la transparence et la pédagogie seront essentielles pour maintenir un dialogue constructif avec la direction générale et les métiers. Expliquer clairement les liens entre exigences réglementaires, risques opérationnels et opportunités de marché aidera à obtenir les budgets nécessaires et à éviter les résistances internes. La DSI qui saura transformer le Cyber Resilience Act en projet d’entreprise plutôt qu’en simple contrainte réglementaire prendra une longueur d’avance sur ses concurrents.
Chiffres clés et repères pour les DSI industriels
- Le Cyber Resilience Act couvre l’ensemble des produits avec éléments numériques vendus dans l’Union européenne, ce qui inclut les logiciels, les firmwares et les objets connectés industriels, représentant plusieurs dizaines de milliards d’euros de chiffre d’affaires annuel selon les estimations de la Commission européenne dans son étude d’impact accompagnant la proposition de règlement.
- Les dernières lois de finances font apparaître une hausse marquée des moyens alloués à l’ANSSI, avec un budget global désormais supérieur à 200 M€ et plusieurs centaines d’agents, ce qui traduit un renforcement significatif des capacités de contrôle et d’accompagnement des acteurs publics et privés.
- Les études publiées par l’ENISA, notamment les rapports annuels sur le paysage des menaces, indiquent qu’une part importante des incidents de cybersécurité dans l’industrie provient de vulnérabilités non corrigées sur des produits numériques, ce qui justifie l’accent mis par le Cyber Resilience Act sur les mises à jour de sécurité tout au long du cycle de vie.
- La directive NIS et sa nouvelle version NIS 2 étendent le périmètre des entités critiques à de nombreux secteurs industriels, ce qui signifie que plusieurs milliers d’entreprises européennes devront articuler conformité organisationnelle NIS et conformité produit au Cyber Resilience Act.
- Les analyses de marché indiquent que les produits numériques certifiés ou clairement conformes aux exigences de cybersécurité européennes bénéficient d’un avantage compétitif mesurable, avec des taux de sélection supérieurs dans les appels d’offres industriels et dans le secteur financier.
Checklist contractuelle pour DSI industriels. À intégrer ou adapter dans les cahiers des charges et contrats : (1) engagement écrit de conformité au CRA et à NIS 2 pour les produits fournis ; (2) description des processus de gestion des vulnérabilités (délais de correction, canaux de notification, support en cas de crise) ; (3) garantie de mises à jour de sécurité pendant une durée minimale alignée sur la durée de vie opérationnelle de l’équipement ; (4) documentation technique détaillant architecture de sécurité, flux de données et mécanismes de chiffrement ; (5) clauses de coopération avec les autorités en cas d’incident majeur ; (6) droits d’audit ou de revue de conformité cyber par le client ou un tiers indépendant.