Avec la transformation numérique, l’utilisation de produits connectés, de logiciels embarqués et de matériels interopérables s’est intensifiée et concerne tous les secteurs d’activité, y compris le secteur médical. Face aux vulnérabilités auxquelles ces produits numériques sont confrontés, l’Union Européenne a mis en place le Cyber Resilience Act afin de renforcer le niveau de cybersécurité des produits distribués sur le marché européen (CRA). Objectifs, champ d’application, calendrier de mise en place : tout ce qu’il faut savoir à propos de ce nouveau règlement.
Cyber Resilience Act (CRA) : de quoi parle-t-on ?
Créé par l’Union Européenne pour renforcer la cybersécurité des produits comportant des éléments numériques (PEN) au sein de l’espace européen, le Cyber Resilience Act entrera progressivement en vigueur entre juin 2026 et décembre 2027. En complément d’autres textes comme la directive NIS 2, il permet d’établir un cadre juridique commun à toute l’UE afin d’imposer aux fabricants, aux importateurs et aux distributeurs les mêmes normes de cybersécurité. On parle de “security by design” : la prise en compte de la cybersécurité de la conception du produit jusqu’à la fin de son cycle de vie.
Le CRA concerne directement les produits : il prévoit des exigences “socle” en matière de cybersécurité afin de mieux gérer les vulnérabilités et d’homogénéiser les procédures d’évaluation de la conformité. Cette réglementation doit permettre de responsabiliser les fabricants, les importateurs et les distributeurs face aux risques, afin de renforcer la confiance des utilisateurs.
Bon à savoir
Pour prouver leur conformité aux exigences du Cyber Resilience Act, les PEN commercialisés sur le marché européen bénéficieront du label CE.
Qui est concerné par le Cyber Resilience Act ?
Le Cyber Resilience Act concerne :
- Tous les fabricants de produits intégrant des composants numériques,
- Les éditeurs de logiciels, y compris lorsque le logiciel et le matériel sont commercialisés séparément,
- Les importateurs qui introduisent des produits numériques en provenance de pays tiers sur le marché européen,
- Les distributeurs de produits comportant des éléments numériques au sein de l’UE.
A lire aussi : Le risque cyber en santé
Quels sont les produits et services concernés par la cyber-résilience ?
Il existe quatre catégories de produits concernées par le CRA :
| Catégorie | Typologie de produits |
|---|---|
| Par défaut | Tous les produits comportant des éléments numériques qui n’entrent pas dans les catégories “importants” et “critiques” (ordinateurs portables, smartphones…). |
| Produits importants de classe I | Les produits SSI (gestionnaires de mots de passe, IGC, SIEM), les produits numériques (routeurs, navigateurs…) et les produits sectoriels (domotiques notamment). |
| Produits importants de classe II | Les hyperviseurs, firewalls, microprocesseurs et microcontrôleurs. |
| Produits critiques | Les cartes à puces, les passerelles pour compteurs intelligents, les dispositifs matériels avec boîtiers de sécurité. |
Certains produits sont exclus de ces catégories, comme les dispositifs médicaux à usages humains ou les appareils de diagnostic in vitro dans le secteur de la santé.
Quels sont les obligations et exigences de ce règlement européen ?
Le Cyber Resilience Act se traduit par plusieurs obligations concrètes :
1. Identifier et réduire les risques cyber, dès la phase de conception
Tous les produits numériques doivent être conçus en intégrant des dispositifs de sécurité, avec une maintenance assurée tout au long de la vie de l’appareil. C’est le principe de security by design and by default ; la sécurité intégrée dès la conception, et activée par défaut pour réduire les failles exploitables dès la mise à disposition.
2. Responsabiliser les fabricants
Le CRA impose aux fabricants de mettre en place des procédures pour détecter, corriger et notifier les vulnérabilités de leurs produits sous 24 heures, via la gestion des différentes mises à jour de sécurité ou le service après-vente. Ils doivent aussi garantir la traçabilité des produits numériques pour en faciliter le contrôle.
3. Harmoniser les normes européennes
Le CRA vise à apporter une unité dans la réglementation actuelle qui diffère d’un pays à l’autre au sein de l’UE. En créant un cadre unique, le CRA simplifie la mise en conformité des acteurs cyber tout en renforçant la sécurité pour les utilisateurs.
4. Renforcer la transparence pour les usagers
Le Cyber Resilience Act apporte davantage de transparence aux utilisateurs. Les fabricants devront ainsi fournir des données claires sur la sécurité de leurs produits et les risques identifiés, pour permettre aux établissements de mieux évaluer les risques et de choisir leurs équipements en ayant toutes les informations en main.
5. Mieux gérer les vulnérabilités
Les fabricants, importateurs et distributeurs devront fournir aux consommateurs une documentation technique à jour portant sur les caractéristiques de sécurité et les tests effectués sur leurs appareils. Ils devront aussi évaluer la conformité de leur produit selon leur criticité.
Quelles sont les sanctions en cas de non-conformité ?
De lourdes sanctions peuvent être appliquées à l’encontre des sociétés qui conçoivent, importent ou distribuent des produits non conformes, dès la date d’application de la loi :
- Une interdiction de commercialisation au sein de l’Union Européenne, le produit concerné ne pouvant porter le marquage “CE” indispensable à une mise en vente sur le marché européen.
- Une amende administrative pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires total de l’entreprise sur l’année précédente.
Au-delà de ces mesures répressives, les établissements s’exposent à de potentiels litiges en cas d’incidents de sécurité, à une perte de marché et à une atteinte à leur réputation.
A lire aussi : Cyberattaque à l’hôpital en 2025 : un constat alarmant pour les établissements de santé
Etes-vous prêt pour le Cyber Resilience Act en 2027 ?
Si le Cyber Resilience Act n’entrera pleinement en vigueur qu’en décembre 2027, il n’est jamais trop tôt pour s’y préparer.
Comment évaluer la conformité ?
L’évaluation s’appuie sur quatre piliers :
- Une cartographie exhaustive des produits concernés, avec leur niveau de criticité tel qu’établi par le CRA,
- Une évaluation des pratiques : gestion de la cybersécurité, cyber-résilience de l’établissement, gestion des mises à jour et correctifs, réponses apportées face aux incidents, information des collaborateurs : tout doit être passé en revue pour établir un diagnostic de maturité.
- Une gouvernance de la conformité au CRA : au-delà des équipes techniques, la direction générale, les équipes R&D, les fonctions juridiques et conformité ou encore les achats doivent être impliqués dans le respect des nouvelles normes.
Comment s’y préparer ?
Dans le domaine de la santé, la cyber-résilience est un enjeu crucial pour protéger vos patients, vos équipes et vos soins. Alors que les cyberattaques et les menaces s’intensifient, il est indispensable de renforcer sa résilience afin de minimiser les risques et limiter l’impact en cas de crise, tout en accélérant le retour à la normale.
À la portée de toute organisation, la mise en place d’un Plan de Continuité et de Reprise d’Activité (PCRA) est indispensable pour assurer la continuité de vos services en cas de cyberattaque ou d’incident technique. Ce plan détermine les priorités, les ressources à disposition ainsi que les solutions à déployer pour assurer votre mission d’intérêt général dans les meilleures conditions.
Pensé par nos experts cyber en établissement de soins, le cyber checkup vous permet d’obtenir gratuitement une évaluation complète incluant l’état des lieux de vos pratiques, un comparatif avec des établissements similaires, des recommandations ciblées pour orienter votre stratégie de sécurité et votre niveau d’assurabilité.
FAQ
Quel est le rôle de l’ANSSI dans la mise en œuvre du CRA ?
L’ANSSI est l’Autorité nationale en matière de cybersécurité, et l’autorité nationale de certification de cybersécurité. Dans le cadre du CRA, elle est chargée d’évaluer, contrôler et notifier les organismes qui valident la conformité des produits.
L’ANSSI a aussi pour mission de centraliser les signalements de vulnérabilités activement exploitées et les incidents graves qui peuvent porter atteinte à la sécurité d’un produit, afin de coordonner les solutions à mettre en place pour les fabricants.
Qu’entend-on par cyber-résilience ?
La cyber-résilience désigne la capacité d’un système informatique à résister aux attaques cyber et aux incidents, et à maintenir son activité en garantissant un état de fonctionnement et de sécurité suffisants. Plus largement, la cyber-résilience d’une entreprise désigne sa faculté à connaître les risques et à s’y préparer pour réduire au maximum leur impact.
Quelle est la différence entre cyber-résilience et cyber sécurité ?
La cyber résilience est la somme des actions qui permettent de maintenir l’activité d’une organisation et de se rétablir rapidement lorsque la sécurité est contournée. La cybersécurité vient en amont : ce sont les outils et les normes de protection mis en place pour empêcher les pirates de s’infiltrer dans le système informatique.
Pourquoi la cyber-résilience est importante pour votre établissement de soin ?
La santé est le 3ème secteur le plus touché par des risques cyber, et les établissements publics de santé représentent 10 % des attaques par rançongiciel en 2025, selon l’ANSSI. La même année, 15 % des établissements de santé ont été confrontés à un incident informatique ayant généré des perturbations. Public ou privé, à but lucratif ou non : aucun établissement n’est à l’abri. Mettre en place dès maintenant une stratégie de cyber-résilience, c’est protéger les patients et leurs données, les soignants et la continuité des soins.
Comment prévenir les cyberattaques à l’hôpital ?
Plusieurs dispositifs existent pour prévenir les cyberattaques en milieu hospitalier. À échelle européenne, la directive NIS2 et le Cyber Resilience Act sont pensés pour améliorer la cybersécurité des établissements et renforcer la sécurité des produits utilisés dans les systèmes informatiques.
La formation du personnel face aux risques et la mise en place de procédures adaptées en cas d’incident, notamment la mise en place d’un Plan de Continuité et de Reprise d’Activité (PCRA), sont aussi essentiels pour protéger les données et assurer la continuité des services.
Comment Relyens peut-vous accompagner ?
Grâce à son expertise cyber et santé, Relyens vous offre un accompagnement sur-mesure pour renforcer votre cyber résilience. Parce que chaque environnement est différent, nos solutions s’adaptent pour vous aider à faire face aux menaces de façon concrète, pour vous aider à réagir au plus vite et à assurer la continuité de vos activités. Avec vos équipes, nous construisons un Plan de Continuité et de Reprise d’Activité adapté à vos réalités opérationnelles et conforme aux référentiels de l’ANS (Agence Numérique en Santé).
Les logiciels de santé en mode SaaS sont-ils concernés par le CRA ?
Oui, les logiciels en mode SaaS sont concernés par le CRA, pour tous les fabricants, importateurs et distributeurs, même hors UE, à partir du moment où leurs produits sont commercialisés sur le marché européen. Tous les logiciels sont concernés, qu’ils soient intégrés ou non dans un matériel, pour un public de professionnels ou de consommateurs.
