Quels produits IoT sont concernés par le Cyber Resilience Act ?
Introduction : un outil de qualification go / no-go pour les fabricants IoT
Cet article s’inscrit dans le cadre de notre dossier complet consacré au Cyber Resilience Act (CRA).
Le Cyber Resilience Act introduit des exigences de cybersécurité obligatoires pour les produits comportant des éléments numériques mis sur le marché européen. Pour les fabricants d’objets connectés, ce nouveau cadre soulève une question centrale : leurs produits sont-ils concernés par le CRA, et à quel niveau ?
L’objectif de cet article est d’aider les fabricants IoT à qualifier rapidement leurs produits, afin de déterminer s’ils entrent dans le champ d’application du règlement.
—> Pour une vision globale du cadre réglementaire, consultez notre article principal :
Cyber Resilience Act (CRA) : comprendre le règlement européen qui redéfinit la cybersécurité des produits numériques.
Le principe général du Cyber Resilience Act appliqué aux produits IoT
Le champ d’application du Cyber Resilience Act est volontairement large. Il concerne tout produit intégrant des éléments numériques, qu’il soit matériel, logiciel ou hybride, dès lors qu’il est commercialisé au sein de l’Union européenne.
Par nature, les produits IoT combinent connectivité, logiciels embarqués et interfaces numériques. Ils sont donc, dans la majorité des cas, directement concernés par le CRA, même lorsque la cybersécurité n’était pas historiquement considérée comme un enjeu critique lors de leur conception.
Quelles catégories de produits IoT sont concernées par le Cyber Resilience Act ?
Objets connectés grand public
Sont notamment concernés par le Cyber Resilience Act :
- Montres et bracelets connectés
- Caméras IP et systèmes de vidéosurveillance
- Box domotiques et assistants connectés
- Routeurs, répéteurs Wi-Fi et équipements réseau domestiques
- Ces produits présentent un niveau d’exposition élevé, notamment du fait de leur connexion permanente à Internet.
Produits IoT industriels
Le CRA couvre également une large gamme de produits IoT industriels :
- Capteurs industriels communicants
- Passerelles IoT
- Automates programmables connectés
- Systèmes de supervision et de contrôle à distance
Dans ces environnements, les impacts d’une faille de cybersécurité peuvent être particulièrement critiques pour les opérations.
Produits intégrant des logiciels embarqués
Un produit peut être concerné par le CRA même si sa fonction principale n’est pas la connectivité :
- Produits intégrant un firmware ou un système d’exploitation embarqué
- Équipements disposant d’interfaces numériques ou de ports de communication
- Produits dépendant d’une application logicielle pour fonctionner correctement
Dès lors qu’un logiciel influence le comportement du produit, le règlement s’applique.
Quels produits IoT sont exclus ou partiellement exclus du Cyber Resilience Act ?
Produits couverts par d’autres réglementations sectorielles
Certains produits IoT relèvent de cadres réglementaires spécifiques :
- Dispositifs médicaux
- Produits automobiles
- Équipements aéronautiques
Ces exclusions ne sont pas toujours totales. Lorsque certains composants numériques ne sont pas explicitement couverts par les réglementations sectorielles existantes, les exigences du CRA peuvent s’appliquer en complément.
Les classes de produits du Cyber Resilience Act : où se situent les produits IoT ?
Rappel des classes de produits définies par le CRA
Le Cyber Resilience Act distingue plusieurs catégories de produits en fonction de leur niveau de criticité, avec des exigences de cybersécurité graduées.
Une présentation structurée des classes de produits CRA est proposée par OwlCub, qui met notamment en évidence les niveaux de classification applicables aux produits numériques.
Pourquoi de nombreux produits IoT relèvent de la classe critique (Classe II)
De nombreux produits IoT sont susceptibles d’être classés comme critiques, notamment lorsqu’ils :
- Sont accessibles à distance,
- Exposent des interfaces réseau,
- Servent de points d’entrée vers d’autres systèmes,
- Traitent des données sensibles.
Comment déterminer concrètement si votre produit IoT est concerné par le CRA ?
Pour qualifier rapidement un produit IoT, les fabricants peuvent s’appuyer sur une série de questions simples :
- Le produit intègre-t-il un logiciel ou un firmware ?
- Est-il connecté à un réseau (local ou Internet) ?
- Est-il destiné au marché européen ?
- Peut-il recevoir des mises à jour de sécurité ?
- Une compromission pourrait-elle avoir un impact significatif sur la sécurité ou la continuité de service ?
Si la réponse est positive à plusieurs de ces questions, le produit est très probablement concerné par le Cyber Resilience Act.
Conclusion : un enjeu stratégique pour les fabricants IoT
Le Cyber Resilience Act s’applique à une large majorité de produits IoT, qu’ils soient destinés au grand public ou à des usages industriels. Pour les fabricants, l’enjeu est double : se conformer aux exigences réglementaires et renforcer durablement la cybersécurité des produits.
Anticiper ces obligations dès aujourd’hui permet non seulement de réduire les risques juridiques et opérationnels, mais aussi de transformer la conformité en levier de crédibilité et de différenciation sur le marché européen.
Pour passer de la compréhension du Cyber Resilience Act à sa mise en œuvre opérationnelle, TEKIN propose un accompagnement structuré couvrant l’ensemble du cycle de vie des produits IoT.
Découvrez comment TEKIN accompagne les fabricants à chaque étape de la conformité CRA dans notre article dédié :
—> Conformité Cyber Resilience Act : comment TEKIN accompagne les fabricants IoT à chaque étape.
Liens utiles:
https://cyber.gouv.fr/reglementation/cybersecurite-des-produits/cyber-resilience-act
