Le mot fabricant désigne maintenant vous
Le Cyber Resilience Act de l'UE est entré en vigueur en décembre 2024, et sa définition d'un fabricant est plus large que la plupart des conseils d'administration ne le supposent. Elle couvre tout produit comportant des éléments numériques mis sur le marché européen : une machine connectée, un automate industriel, un dispositif médical, un objet grand public, ou un logiciel autonome. Si votre produit communique avec un réseau, il entre dans le champ d'application, tout comme les importateurs et les distributeurs qui le mettent sur le marché.
Pour un family office ou un propriétaire du Mittelstand, la partie inconfortable est le reclassement. Une entreprise qui construit des machines de précision depuis trois générations, et ne s'est jamais considérée comme une société de logiciels, est désormais un éditeur de logiciels réglementé aux yeux du droit de l'UE. La règle s'étend aussi au-delà du bloc. Un fabricant basé n'importe où dans le monde qui vend sur le marché européen porte les mêmes obligations qu'un fabricant basé à Frankfurt.
Un compte à rebours de 24 heures que vous ne contrôlez pas
La première échéance ferme est proche. A partir du 11 septembre 2026, une vulnérabilité activement exploitée ou un incident de sécurité grave déclenche une cascade de signalements fixe via une plateforme européenne unique. Une alerte précoce est due dans les 24 heures, une notification plus complète dans les 72 heures, et un rapport final dans les 14 jours suivant la publication d'un correctif ou d'une solution de contournement. Le compte à rebours n'attend ni votre revue juridique ni votre plan de communication.
Ce calendrier constitue le choc opérationnel. La fenêtre de 24 heures s'ouvre au pire moment d'un incident, lorsque l'information est incomplète et que l'instinct est de ne rien dire tant que les faits ne sont pas clairs. L'Act supprime cette option. Une organisation qui ne peut pas détecter, trier et signaler une faille en moins d'une journée manquera l'échéance, non par manque de bonne volonté, mais parce qu'elle n'a jamais bâti la mécanique pour agir aussi vite.
Le marquage CE, et une amende calibrée sur votre chiffre d'affaires
Les obligations plus larges suivent le 11 décembre 2027. A compter de cette date, un produit comportant des éléments numériques doit porter un marquage CE qui certifie qu'il a été conçu avec une sécurité dès la conception, qu'il est livré sans défauts exploitables connus, et qu'il recevra des mises à jour de sécurité pendant une période de support définie. La conformité n'est pas un test unique avant le lancement, c'est une obligation qui court pendant toute la durée de support de chaque unité que vous avez vendue.
L'application de la loi a du poids. Les autorités nationales de surveillance du marché font respecter les règles, et l'Allemagne a déjà publié un premier projet de loi pour désigner son autorité compétente. Les sanctions pour manquement aux exigences essentielles atteignent 15 millions d'euros ou 2,5 pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour un fabricant de taille moyenne et rentable, c'est le chiffre du chiffre d'affaires qui devrait concentrer l'attention de la salle.
À lire ensuite: Votre cyberdéfense est-elle prête face aux attaques à la vitesse de la machine ? · Votre chiffrement a une date d'expiration