Pour les fabricants de produits électroniques et d’objets connectés, le Cyber Resilience Act (CRA) n’est pas seulement une nouvelle exigence réglementaire. Il impacte directement la conception des produits, les processus de développement et la maintenance après commercialisation.
Attendre les dernières échéances pour agir peut entraîner des coûts importants et des retards difficiles à absorber.
Les choix hardware d’aujourd’hui peuvent bloquer la conformité de demain
Certaines exigences du CRA dépendent directement de l’architecture du produit :
- mises à jour sécurisées
- stockage sécurisé des clés
- mécanismes de démarrage sécurisé
- protection des interfaces de débogage
Leur ajout peut nécessiter une refonte matérielle si elles n’ont pas été prévue dès la conception.
Corriger en fin de développement coûte cher
Lorsqu’un produit approche de sa mise sur le marché, les marges de manœuvre sont limitées.
Découvrir tardivement des lacunes en cybersécurité peut entraîner :
- des modifications hardware ou firmware
- des campagnes de tests supplémentaires
- des retards de lancement
Plus les écarts sont identifiés tôt, plus ils sont simples à corriger.
La documentation est souvent sous-estimée
Le CRA exige de démontrer que les risques de cybersécurité ont été identifiés et traités.
Or, dans de nombreuses entreprises, les choix techniques sont connus des équipes mais peu documentés. Reconstituer ces informations plusieurs années après le développement représente souvent une charge importante.
Les produits déjà commercialisés sont concernés
Les produits actuellement vendus et qui resteront sur le marché devront également être évalués.
Les fabricants découvrent fréquemment des lacunes concernant :
- les mises à jour logicielles
- la gestion des vulnérabilités
- la traçabilité des composants logiciels
Mieux vaut identifier ces sujets avant qu’ils ne deviennent urgents.
Les experts cybersécurité embarquée sont rares
Les compétences combinant électronique, systèmes embarqués et cybersécurité sont limitées.
À l’approche des échéances du CRA, la demande en accompagnement va augmenter. Les entreprises qui anticipent auront davantage de choix et de flexibilité.
Anticiper réduit les coûts
Une non-conformité détectée tardivement peut conduire à :
- une refonte du produit
- des retards de commercialisation
- des coûts de développement supplémentaires
À l’inverse, intégrer les exigences du CRA dès maintenant permet de limiter les risques et de maîtriser les coûts.
Commencer par un état des lieux
La première étape consiste à évaluer les produits et les processus existants afin de :
- identifier les écarts de conformité
- prioriser les actions
- construire une feuille de route réaliste
Conclusion
Pour les fabricants hardware, le CRA est avant tout un sujet de conception produit. Plus les exigences sont prises en compte tôt, plus la mise en conformité sera simple et économique.
Le meilleur moment pour préparer la conformité au CRA n’est pas quelques mois avant l’échéance, mais dès aujourd’hui.
Vous développez des produits électroniques ou connectés et souhaitez évaluer votre niveau de préparation au CRA ? N’hésitez pas à me contacter pour un échange.