Cybersécurité IoT et Cyber Resilience Act : ce que le CRA change
La cybersécurité IoT : d’un sujet technique à un enjeu stratégique
Les projets IoT (Internet of Things) sont désormais au cœur de nombreux secteurs : industrie, énergie, santé, bâtiments intelligents, smart cities ou encore infrastructures critiques. Capteurs connectés, passerelles, plateformes cloud et applications métiers forment des systèmes complexes, interconnectés et exposés.
Dans ce contexte, la cybersécurité IoT ne peut plus être considérée comme une option ou une simple couche technique ajoutée en fin de projet. Elle devient un enjeu stratégique, à la fois réglementaire, économique et réputationnel.
L’entrée en vigueur prochaine du Cyber Resilience Act (CRA), en lien direct avec la directive RED, marque un tournant majeur pour l’ensemble des acteurs qui conçoivent, développent ou mettent sur le marché des produits connectés.
Le Cyber Resilience Act (CRA) : objectifs et philosophie
Le Cyber Resilience Act, règlement européen adopté en 2024, vise à relever le niveau global de cybersécurité des produits comportant des éléments numériques mis sur le marché européen.
Ses objectifs principaux sont clairs :
- Réduire les vulnérabilités des produits numériques dès leur conception.
- Imposer une approche “secure by design” et “secure by default” tout au long du cycle de vie.
- Responsabiliser les fabricants sur la gestion des vulnérabilités et des mises à jour de sécurité.
- Harmoniser les exigences au niveau européen pour éviter une fragmentation réglementaire.
Le CRA ne se limite pas au logiciel : il concerne les produits matériels, les firmwares, les plateformes cloud associées et les services numériques indispensables au fonctionnement du produit.
CRA et directive RED : un lien direct pour les objets connectés
Pour les équipements radio, la directive RED (Radio Equipment Directive) intègre désormais explicitement des exigences de cybersécurité. Le CRA vient compléter et renforcer ce cadre.
Concrètement :
- Les exigences cybersécurité du CRA couvrent désormais les risques liés aux réseaux, aux données, à la fraude et aux abus d’usage.
- Les objets connectés soumis à la RED devront démontrer leur conformité à la fois radio et cybersécurité pour obtenir le marquage CE.
- La cybersécurité devient un pré-requis réglementaire, au même titre que la CEM ou la sécurité électrique.
Temporalité du CRA : quand faut-il agir ?
Le calendrier est un point clé pour les entreprises :
- 2024 : adoption officielle du règlement.
- 2025–2026 : période transitoire permettant aux acteurs d’adapter leurs processus.
- À partir de 2027 (selon les catégories de produits) :
👉 obligation de conformité pour la mise sur le marché de nouveaux produits.
Cela signifie une chose essentielle :
👉 les projets IoT lancés aujourd’hui doivent déjà intégrer les exigences du CRA, sous peine de devoir être profondément revus avant leur commercialisation.
Qui est concerné par le Cyber Resilience Act ?
Le CRA concerne un très large spectre d’entreprises, notamment :
- Fabricants d’objets connectés (B2B ou B2C).
- Éditeurs de logiciels embarqués et firmwares.
- Concepteurs de solutions IoT complètes (device + cloud + application).
- Startups, PME, ETI et grands groupes, y compris hors UE dès lors que les produits sont commercialisés en Europe.
- Intégrateurs et donneurs d’ordre, dont la responsabilité peut être engagée via la chaîne de valeur.
Même les entreprises qui ne se considèrent pas comme des acteurs de la cybersécurité sont directement impactées.
Les enjeux de la cybersécurité IoT pour les entreprises
1. Risques techniques et opérationnels
Un objet IoT vulnérable peut devenir :
- un point d’entrée dans un SI,
- un relais d’attaque à grande échelle,
- une source d’interruption de service ou de perte de données.
2. Risques réglementaires et juridiques
Le CRA introduit :
- des obligations de mise à jour de sécurité sur plusieurs années,
- des exigences de documentation (SBOM, gestion des vulnérabilités),
- des responsabilités accrues pour les fabricants.
3. Risques économiques et réputationnels
Un incident de cybersécurité IoT peut :
- bloquer l’accès au marché européen,
- retarder un lancement produit,
dégrader durablement la confiance des clients et partenaires.
Pourquoi intégrer la cybersécurité dès la conception des projets IoT
La cybersécurité IoT efficace ne se résume pas à un audit final ou à un pentest ponctuel. Elle repose sur :
- une architecture pensée dès l’amont,
- des choix technologiques cohérents,
- une vision cycle de vie produit (du prototype à la fin de vie).
Corriger une faiblesse de sécurité après industrialisation coûte beaucoup plus cher que l’anticiper dès la phase de conception.
Comment TEKIN accompagne ses clients sur la cybersécurité IoT
Chez TEKIN, la cybersécurité IoT est intégrée nativement à l’approche d’ingénierie des systèmes connectés.
TEKIN accompagne ses clients pour :
- <h3>anticiper les exigences du CRA et de la directive RED</h3> dès la phase de cadrage,
- concevoir des architectures IoT sécurisées (device, cloud, applications),
- structurer la conformité réglementaire sans freiner l’innovation,
- réduire les risques techniques, réglementaires et business liés à la cybersécurité.
Cette approche globale permet aux porteurs de projets IoT de transformer une contrainte réglementaire en avantage concurrentiel durable.
👉 Un prochain article détaillera cette démarche :
« Développer un IoT conforme au CRA – approche méthodologique »
Conclusion
Le Cyber Resilience Act marque une évolution majeure du cadre réglementaire européen. Pour les projets IoT, la cybersécurité devient un pilier fondamental, au même titre que la performance, le coût ou la conformité radio.
Anticiper dès aujourd’hui, c’est :
- sécuriser l’accès au marché européen,
- protéger ses clients et ses actifs,
- pérenniser ses produits connectés.
TEKIN se positionne comme un acteur de référence de la cybersécurité IoT, capable d’accompagner les entreprises dans cette transition réglementaire et technologique.
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L_202402847
