‹‹ Retour

Cyber Resilience Act : quels impacts sur la gestion du risque cyber fournisseur ?

Une nouvelle fois, l’Union européenne renforce son cadre réglementaire en cybersécurité avec le Cyber Résilience Act (CRA). Un texte qui apporte de nouvelles exigences en matière de sécurité des produits technologiques et numériques. En effet, le Cyber Résilience Act élargit le champ de la gestion du risque cyber aux logiciels, équipements connectés et solutions IT fournis. Il vient ainsi compléter les règlementations déjà en place (NIS2, DORA, IA ACT…). Dans ce contexte, la gestion du risque cyber fournisseur (Third Party Risk Management) prend une dimension stratégique. Le Cyber Résilience Act impose une attention forte sur la maîtrise des dépendances technologiques des fournisseurs et sur les politiques de maintenances de solutions IT.

Cyber Resilience Act : périmètre, exigences et enjeux pour la gestion du risque cyber

Cyber Resilience Act : maîtriser le risque cyber systémique

Le Cyber Resilience Act a pour objectif de réduire les vulnérabilités dès la conception et tout au long du cycle de vie des solutions mises sur le marché européen. Cette logique dépasse la seule protection des systèmes internes : elle vise à agir dès la phase de R&D, là où peuvent apparaître des failles exploitables par les cybermalveillants.

Le CRA insiste sur l’effet en cascade d’une vulnérabilité présente dans un logiciel largement utilisé. Un composant open source ou un équipement connecté peut impacter simultanément un grand nombre d’organisations et déstabiliser un secteur entier. Récemment, la solution open source de codage NotePad++ a connu une cyberattaque visant le processus de mise à jour. Ce piratage a permis d’ouvrir une porte dérobée sur les ordinateurs de plusieurs utilisateurs permettant l‘accès à des données sensibles, la création et la suppression de fichiers ou de répertoires ainsi que l’ouverture d'un terminal de commandes.

C’est pourquoi, le Cyber Resilience Act cherche à harmoniser la gestion du risque en imposant des exigences communes aux fabricants, éditeurs et distributeurs. Cette approche renforce directement la gouvernance du risque cyber fournisseur, en incitant les entreprises à mieux évaluer la robustesse des produits numériques qu’elles intègrent dans leur écosystème.

Champs d’action et produits et services concernés par le Cyber Resilience Act

Le CRA couvre un large éventail de produits comportant des éléments numériques.

  • les logiciels
  • les équipements connectés, matériels et solution de traitements de données à distance
  • les composants matériels et logiciels intégrés dans d’autres produits

La règlement exclut certain services ou secteurs :

  • les solutions fournies comme un service (SaaS) déjà encadrées par NIS 2 notamment ;
  • les produits disposant d’une réglementation spécifique (dispositifs médicaux, véhicules…)
  • les produits relevant du régalien (militaire, renseignement…)

Les obligations concernent donc :

  • les éditeurs et fournisseur SaaS, en leur nom ou propre marque ;
  • les fabricants établis dans l’UE ;
  • les importateurs et distributeurs d’un produit fabriqué hors UE.

Le règlement impose d’intégrer la sécurité et un niveau de protection adapté tout au long du cycle de vie. Cela inclut la gestion des vulnérabilités, la diffusion de correctifs et la transparence sur les failles identifiées. En cas de non-conformité, les autorités peuvent prononcer des sanctions financières pouvant atteindre 15 millions d’euros ou 2,5% du chiffre d’affaires. Elles peuvent également exiger des mesures correctives ou retirer certains produits du marché. En l’occurrence, les sanctions total sur l’exercice annuel précédent.

Qu’apporte le Cyber Resilience Act par rapport à Nis 2 ?

NIS 2 est une directive qui encadre la cybersécurité des organisations. Elle introduit le risque cyber lié à la chaîne d’approvisionnement et insiste également sur la fragilisation de la surface d’attaque externe. Le CRA cible la sécurité des produits numériques utilisés par ces mêmes organisations et leur robustesse face aux risques d’attaque du fait de défaillances.

En résumé : « Le CRA visera à sécuriser les produits numériques utilisés dans l’UE par les entreprises et le grand public alors que NIS 2 a pour objectif de sécuriser les moyens de production des entreprises et administrations de l’UE. » cyber gouv

Quels impacts pour les RSSI et quel calendrier ?

Face à cette recrudescence des réglementations européennes, les RSSI voient leur rôle se renforcer. Un de leurs enjeux est de recenser les tiers et d’en effectuer une analyse des risques cyber. Le Cyber Resilience Act vient compléter la démarche de Third party risk management en appréciant le risque technique des solutions délivrées par les prestataires

Cela suppose d’identifier les solutions concernées par le Cyber résilience act, d’évaluer leur criticité et de vérifier que les éditeurs respectent les exigences de sécurité tout au long du cycle de vie produit. Les RSSI doivent également renforcer le dialogue avec les achats et le juridique afin d’intégrer des exigences liées à la gestion des vulnérabilités, aux correctifs et à la notification d’incidents dans les clauses contractuelles de sécurité.

En ce qui concerne le calendrier, l’entrée en vigueur du CRA est prévu le 11 décembre 2027. Cependant, certaines dispositions sont à anticiper :

  • notification des organismes d’évaluation de la conformité (prévue en juin 2026)
  • communication d’informations et signalements incombant aux fabricants (prévue en juin 2026)

Cyber Resilience Act : 5 étapes pour adapter concrètement sa gestion des risques tiers

La transformation numérique a multiplié le recours à des éditeurs, intégrateurs, fournisseurs cloud et prestataires spécialisés. Cette dépendance accrue aux tiers engendre plusieurs effets :

  1. une surface d’attaque qui s’élargit. Chaque solution externe connectée au système d’information introduit de nouveaux flux de données, de nouvelles interfaces et donc de nouveaux points d’exposition au risque cyber.
  2. une vulnérabilité de la supply chain. Toute la chaine de production de l’entreprise s’appuie sur des prestataires et sous-traitants. Une défaillance de l’un d’eux peut ralentir voire stopper l’activité.
  3. une criticité des tiers difficile à apprécier. Le volume que représente les prestataires rend complexe la notation cyber à l’échelle de plusieurs centaines de tiers.

Le TPRM doit alors de renforcer pour intégrer les exigences du CRA. Comment s’y prendre ?

Étape 1 : cartographier les fournisseurs et produits concernés par le CRA

Il s’agit de recenser les fournisseurs qui développent, intègrent ou distribuent des produits comportant des éléments numériques. Cette analyse doit couvrir les produits utilisés en interne dans le système d’information ainsi que ceux intégrés dans les offres destinées aux clients.

La démarche ne doit pas s’arrêter aux sous-traitants directs. Il existe des dépendances technologiques en cascade, souvent peu visibles, qui peuvent exposer l’organisation à un risque cyber non identifié. Cartographier ces chaînes de dépendance permet d’anticiper les impacts d’une vulnérabilité produit à grande échelle et d’orienter les priorités d’évaluation fournisseur.

Étape 2 : mettre à jour les questionnaires et les grilles de notation de risque

Avec le Cyber Resilience Act, le questionnaire TPRM ne peut plus se limiter aux politiques de sécurité internes du prestataire. Il doit aussi analyser la manière dont les produits sont conçus, maintenus et sécurisés tout au long de son cycle de vie.

Les grilles de notation de risque doivent ainsi prendre en compte la capacité du fournisseur à gérer les vulnérabilités : processus de détection, publication des correctifs, délais de remédiation. L’existence d’un suivi des composants logiciels et des dépendances, via une SBOM et une gestion des librairies tierces, devient un indicateur clé. Enfin, les tests de sécurité (revues de code, audits, pentests) et mécanismes de notification d’incidents ou de failles doivent être intégrés dans l’évaluation.

Étape 3 : revoir les modèles de contrats et les clauses de sécurité

Selon l’observatoire TPRM 2025, 9 entreprises sur 10 considèrent les clauses de sécurité comme le premier levier de responsabilisation des fournisseurs. Raison pour laquelle le contrat fournisseur devient un levier structurant du Third Party Risk Management, en traduisant les obligations réglementaires en engagements opérationnels pour les fournisseurs.

Les clauses de sécurité doivent inclure des engagements clairs sur la gestion et la communication des vulnérabilités, avec des délais définis pour la mise à disposition des correctifs de sécurité. Les contrats doivent également prévoir une coopération encadrée en cas d’incident de sécurité, ainsi que des droits d’audit et de contrôle permettant de vérifier le respect des exigences du Cyber Resilience Act.

Par exemple, pour une clause d’information d’incident :

  • délais de notification (souvent entre 24 et 72h) ;
  • information minimal à indiquer ;
  • obligations relative à la coopération pendant la gestion de crise ;
  • points de contact d’urgence ;
  • préservation des preuves.

Étape 4 : ajuster la gouvernance TPRM et les processus internes

Le risque cyber lié aux produits numériques ne peut plus être traité uniquement sous un angle technique. Il impose une coordination transverse entre les fonctions clés de l’entreprise.

Les RSSI restent pilotes de la maîtrise du risque cyber mais doivent s’appuyer sur les achats, le juridique, la compliance, la DSI et le Risk management pour organiser une gouvernance cyber. Concrètement, cela implique d’adapter les processus d’onboarding, de revue périodique et de sortie fournisseur et de former les équipes achats et métiers aux nouveaux critères liés au risque cyber produit.

Étape 5 : suivre des indicateurs clés (KPI) pour piloter le risque lié au CRA

Parmi les indicateurs pertinents :

  • le pourcentage de fournisseurs soumis au Cyber Resilience Act ;
  • la part de produits critiques couverts par une évaluation de sécurité à jour ;
  • le taux de fournisseurs disposant de processus formalisés de gestion des vulnérabilités ;
  • le délai moyen de correction des failles critiques ;
  • le nombre d’incidents liés à des vulnérabilités produit non corrigées ;

Ces KPI permettent d’objectiver le niveau d’exposition au risque cyber fournisseur, d’identifier les points de fragilité et d’alimenter les reportings destinés aux instances de gouvernance.

Renforcer sa conformité au Cyber Resilience Act grâce à Board of cyber

Board of cyber apporte un cadre structuré pour piloter cette exposition à l’échelle de l’organisation. La plateforme centralise les évaluations, consolide les niveaux de risque et met en évidence les tiers et produits numériques les plus critiques au regard notamment des exigences du Cyber Resilience Act. Les outils de Board of cyber disposent de vérifications complémentaires destinées aux équipes Achats, Juridiques, Compliance etc. Enrichies par l’automatisation, elles permettent une montée à l’échelle dans l’évaluation du risque cyber fournisseur renforçant la résilience cyber des entreprises.

Cybersécurité | tprm

Cet article vous a plu ? Inscrivez-vous à notre newsletter pour ne manquer aucune nouvelle publication !

S'inscrire
Newsletter
Mentions Légales
Gérer les cookies