En décembre 2024, un nouveau règlement européen est entré en vigueur. Il s’appelle officiellement le règlement (UE) 2024/2847 relatif aux exigences horizontales de cybersécurité applicables aux produits comportant des éléments numériques. Son surnom, heureusement plus court : le Cyber Resilience Act, ou CRA.
Si vous n’avez pas encore entendu parler de ce texte, pas de panique, vous n’êtes pas seul, et vous n’êtes pas en retard au point d’être dans une situation désespérée. Vous êtes simplement dans la grande majorité des entreprises françaises qui ont vaguement perçu que quelque chose se préparait côté réglementation européenne, sans avoir eu le temps de creuser le sujet.
Cet article est fait pour vous. Nous allons expliquer ce qu’est le CRA, pourquoi il a été conçu, ce qu’il va changer concrètement, qui est concerné, et pourquoi il va créer une demande de compétences que le marché de l’emploi en cybersécurité n’est pas encore en mesure de satisfaire pleinement. Ce dernier point — vous l’aurez deviné — est précisément là où un cabinet de recrutement cybersécurité comme Rehackt a quelque chose à dire.
Ce que le CRA est, et ce qu’il n’est pas
Un règlement, pas une directive
Premier point essentiel : le CRA est un règlement européen, pas une directive. La distinction est loin d’être anecdotique. Une directive doit être transposée dans le droit national de chaque État membre, ce qui prend du temps, génère des variations d’interprétation, et donne parfois lieu à des versions locales qui ne ressemblent plus tout à fait à l’original. Un règlement, lui, s’applique directement et uniformément dans l’ensemble des 27 États membres de l’Union, sans passer par la case transposition. Ce que le texte dit en France, il le dit aussi en Allemagne, en Polède et à Chypre, de la même manière, au même moment.
Adopté le 23 octobre 2024 et publié au Journal officiel de l’Union européenne le 20 novembre 2024, le CRA est entré en vigueur le 11 décembre 2024. Sa pleine application est fixée au 11 décembre 2027, ce qui laisse trois ans aux entreprises concernées pour se mettre en conformité. Trois ans qui semblent longs mais qui, dans la pratique, ne le sont pas autant qu’on pourrait l’espérer et nous y reviendrons.
Un calendrier intermédiaire s’applique cependant : les obligations de notification des vulnérabilités activement exploitées et des incidents graves seront exigibles dès le 11 septembre 2026. Les dispositions relatives aux organismes d’évaluation de la conformité, dès le 11 juin 2026. Autrement dit, si vous prévoyez de commencer à vous y intéresser en 2027, vous aurez déjà raté plusieurs échéances.
Un texte sur les produits, pas sur les organisations
C’est ici qu’une clarification importante s’impose. Contrairement à la directive NIS 2, qui cible des secteurs d’activité et des types d’entités (opérateurs de services essentiels, entités importantes, etc.), le CRA cible des produits. Plus précisément, tous les produits comportant des éléments numériques mis sur le marché européen.
Dit autrement : si votre entreprise conçoit, fabrique, importe ou distribue un produit qui se connecte ,de près ou de loin, physiquement ou logiquement, à un autre dispositif ou à un réseau, vous êtes dans le champ d’application du règlement. Peu importe votre secteur d’activité. Peu importe que vous soyez basé en France, en Corée du Sud ou en Californie : si votre produit est vendu sur le marché européen, le CRA s’applique à lui.
Pourquoi ce règlement existe : une réponse à un problème structurel
Pour comprendre le CRA, il faut comprendre le problème qu’il cherche à résoudre. Et ce problème est aussi vieux que le marché des produits connectés lui-même.
Des produits conçus pour fonctionner, pas pour résister
Pendant des décennies, les fabricants de matériel et d’éditeurs de logiciels ont mis sur le marché des produits en appliquant un raisonnement simple : sécuriser coûte cher, les clients n’y regardent pas de près, et le concurrent qui ne sécurise pas vendra moins cher. Résultat : un marché où la cybersécurité est traitée comme un accessoire optionnel plutôt que comme une caractéristique fondamentale. On ne s’étonnera pas dans ces conditions que la Commission européenne, dans sa stratégie de cybersécurité, estime le coût annuel de la cybercriminalité à l’économie mondiale à plus de 5 500 milliards d’euros.
L’ANSSI, de son côté, a traité 4 386 événements de sécurité en 2024, dont 1 361 incidents confirmés ayant abouti à une compromission effective de systèmes d’information. Ces chiffres ne reflètent qu’une fraction de la réalité : ils ne comptabilisent que les incidents signalés, que les acteurs couverts par ses missions, et n’incluent pas la multitude de vulnérabilités qui ne donnent jamais lieu à un signalement formel.
Le CRA part d’un constat simple mais radical : si les fabricants ne sécurisent pas spontanément leurs produits, il faut les y obliger par la réglementation. Et pour que cette obligation soit efficace, elle ne peut pas être nationale : un marché fragmenté en 27 législations différentes ne fait que déplacer les problèmes d’un pays à l’autre. D’où le choix du règlement plutôt que de la directive.
Ce que le marché n’a pas fait, la réglementation l’impose
La présidente de la Commission européenne avait formulé l’enjeu en termes frappants lors d’un discours sur l’état de l’Union : « Si tout est connecté, tout peut être piraté. » Le CRA est la réponse institutionnelle à cette réalité. Il ne demande pas aux entreprises d’être parfaites. Il leur impose d’être sérieuses, ce qui n’est déjà pas une mince affaire pour un secteur habitué à traiter la sécurité comme une variable d’ajustement budgétaire.
Ce que le CRA impose concrètement
Le principe central : la sécurité dès la conception
L’obligation fondamentale du CRA peut se résumer en quatre mots : sécurité dès la conception. Ce qu’on appelle dans le jargon le security by design. Il ne s’agit plus d’ajouter des couches de sécurité après coup sur un produit déjà commercialisé, mais d’intégrer la sécurité comme une dimension fondamentale du produit dès ses premières phases de développement.
Concrètement, les fabricants ont l’obligation de :
Concevoir des produits avec un niveau de sécurité adapté aux risques. Cela inclut la réduction de la surface d’attaque, l’activation par défaut de mécanismes de protection (authentification forte, chiffrement des données, absence d’identifiants par défaut), et la limitation des droits d’accès au strict nécessaire.
Fournir des mises à jour de sécurité pendant toute la durée de vie prévue du produit, avec un minimum de cinq ans pour les produits critiques. Cette obligation est une véritable révolution pour des secteurs entiers où la maintenance post-vente était considérée comme un service optionnel. Elle implique de dimensionner les équipes en conséquence, bien après la mise sur le marché.
Notifier toute vulnérabilité activement exploitée à l’ENISA (l’Agence européenne pour la cybersécurité) dans les 24 heures. Cette obligation de transparence, qui s’applique dès septembre 2026, imposera aux entreprises de disposer de processus de veille et de réponse opérationnels en permanence.
Constituer et conserver une documentation technique complète pendant dix ans. Cette documentation doit inclure l’analyse des risques liés à la cybersécurité du produit, la déclaration de conformité, la description des propriétés de sécurité, les instructions d’utilisation sécurisée et les résultats des tests de sécurité.
Apposer le marquage CE sur les produits conformes, attestant que le fabricant a respecté les exigences du règlement. Ce marquage deviendra un signal de confiance sur le marché — et son absence, un signal d’alerte.
Une classification par niveau de criticité
Le CRA ne traite pas tous les produits de la même façon. Il établit une hiérarchie en fonction du niveau de risque :
Les produits standards (la grande majorité du marché) peuvent faire l’objet d’une auto-évaluation de conformité par le fabricant lui-même. C’est le régime le plus souple, mais qui exige malgré tout une rigueur documentaire significative.
Les produits importants de classe I (dont certains logiciels de gestion d’identité, réseaux privés virtuels, gestionnaires de mots de passe, ou pare-feu) nécessitent une auto-évaluation avec respect de normes harmonisées.
Les produits importants de classe II (systèmes d’exploitation, microprocesseurs sécurisés) requièrent un examen par un organisme notifié indépendant.
Les produits critiques (actuellement les boîtiers de sécurité matériels, les cartes à puce et les passerelles pour compteurs intelligents) peuvent être soumis à un schéma européen de certification.
Ce qui est exclu
Quelques exclusions méritent d’être mentionnées, tant elles font parfois l’objet de confusions : les logiciels fournis exclusivement en tant que service (SaaS pur) ne sont pas couverts par le CRA. Ils relèvent de NIS 2 et d’autres législations sectorielles. Les dispositifs médicaux et les véhicules sont également exclus, couverts par des textes spécifiques. De même, les produits liés à la défense nationale, au renseignement et à la sécurité nationale échappent au champ du règlement.
Qui est concerné ? Une question qui mérite réflexion
Fabricants, importateurs, distributeurs : toute la chaîne
Le CRA s’applique à trois types d’acteurs, avec des obligations différenciées mais réelles pour chacun.
Les fabricants portent l’essentiel des obligations : conception sécurisée, documentation, mises à jour, notification des incidents. Ils sont responsables de la conformité initiale du produit et de son maintien dans le temps.
Les importateurs qui commercialisent dans l’Union européenne des produits de fabricants établis hors de l’Union ont l’obligation de vérifier que ces fabricants respectent le règlement. Importer un produit non conforme revient, aux yeux du règlement, à mettre soi-même un produit non conforme sur le marché.
Les distributeurs ont une responsabilité de diligence : s’assurer que les produits portent bien le marquage CE, que la documentation est disponible, que les fabricants et importateurs ont rempli leurs obligations. Et si un distributeur commercialise un produit sous sa propre marque ou modifie substantiellement un produit existant, il endosse le statut de fabricant, avec toutes les obligations qui en découlent.
Les entreprises non européennes sont aussi concernées
Ce point est systématiquement sous-estimé par les entreprises étrangères : dès lors qu’un produit est mis sur le marché européen, le CRA s’applique, quel que soit le pays d’établissement du fabricant. Une entreprise américaine, coréenne ou japonaise qui vend ses produits connectés en Europe doit respecter les mêmes obligations qu’une entreprise française. Ce n’est pas une curiosité réglementaire : c’est un levier stratégique pour l’Europe, qui fixe ainsi ses conditions d’accès au marché.
Secteurs particulièrement exposés en pratique
Si le CRA vise des produits et non des secteurs au sens strict, certains secteurs concentrent une forte proportion de produits concernés : l’industrie (automates, capteurs, équipements connectés), l’électronique grand public (montres connectées, routeurs, caméras domestiques), les éditeurs de logiciels (applications de bureau, bibliothèques, outils de développement), et plus largement toute la filière de l’internet des objets industriel. Ces acteurs auront, ensemble, un besoin de compétences en cybersécurité qui ne pourra pas être satisfait uniquement par des recrutements techniques classiques.
L’impact réel sur les entreprises : au-delà de la conformité documentaire
Des sanctions dissuasives, pas symboliques
Le régime de sanctions prévu par le CRA n’a rien d’anecdotique. En cas de non-conformité, les amendes peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Un produit jugé non conforme ou présentant un risque avéré peut faire l’objet d’un retrait du marché imposé par les autorités nationales de surveillance. En France, c’est l’ANSSI qui est désignée comme autorité de référence pour l’interprétation et la mise en œuvre du règlement.
Ces chiffres ne sont pas là pour faire peur. Ils sont là pour signifier que la conformité n’est pas optionnelle. Et que les organisations qui choisiront de traiter le CRA comme une formalité administrative pourraient rapidement constater que les régulateurs européens ont tiré des enseignements des premières années du RGPD.
Une transformation des pratiques de développement
L’impact le plus profond du CRA ne se situe pas dans les sanctions, mais dans la transformation qu’il impose aux processus de conception et de développement. Intégrer la sécurité dès la conception, ce n’est pas cocher une case dans un formulaire. C’est revoir la manière dont on conçoit un produit, dont on gère ses composants tiers, dont on organise la veille sur les vulnérabilités, dont on planifie les mises à jour sur plusieurs années après la commercialisation.
Cette transformation touche les équipes techniques en premier lieu (développeurs, architectes, responsables produit…) mais elle touche aussi les directions juridiques (révision des contrats et des conditions générales d’utilisation), les directions financières (budgétisation de la maintenance sur cinq ans minimum), et les directions générales qui devront rendre compte de la conformité aux autorités de surveillance.
Les PME dans l’œil du cyclone
L’Union européenne a pris soin d’intégrer des dispositions allégées pour les microentreprises et petites entreprises : documentation simplifiée, accompagnement spécifique, soutien financier via des programmes comme le projet SECURE — qui propose jusqu’à 30 000 euros de financement aux PME européennes pour les aider dans leur mise en conformité. Mais ces aménagements ne dispensent pas les PME du fond des obligations : si votre petite entreprise fabrique et vend un logiciel embarqué ou un objet connecté sur le marché européen, les exigences essentielles du CRA s’appliquent à votre produit.
Le délai de trois ans pourrait sembler généreux. Il ne l’est pas, pour une raison simple : identifier les produits concernés, évaluer leur niveau de risque, revoir les processus de développement, constituer la documentation, former les équipes, mettre en place les processus de veille et de notification. Tout cela prend du temps, mobilise des compétences, et suppose une organisation qui, dans beaucoup de PME, n’existe tout simplement pas encore.
La chaîne d’approvisionnement dans sa globalité
Un aspect souvent négligé : le CRA ne concerne pas seulement le fabricant final. Il s’applique aussi aux composants logiciels ou matériels mis sur le marché séparément, aux bibliothèques de logiciels, aux briques technologiques intégrées dans des produits tiers. Cela signifie que si votre entreprise fournit des composants qui s’intègrent dans les produits d’autres fabricants, vous êtes également dans le champ du règlement. Et vos clients vous demanderont des garanties de conformité, ce qui, dans les négociations commerciales, pourrait rapidement devenir un critère de sélection.
Le CRA dans l’écosystème réglementaire européen
Il serait inexact de lire le CRA comme un texte isolé. Il s’inscrit dans un arsenal réglementaire européen en matière de numérique qui s’est considérablement densifié en quelques années : la directive NIS 2 (sécurité des réseaux et des systèmes d’information), le règlement DORA (résilience opérationnelle numérique pour le secteur financier), le règlement sur l’intelligence artificielle (IA Act), le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA).
Ces textes ne sont pas redondants : ils se complètent. NIS 2 vise les organisations qui fournissent des services ; le CRA vise les produits mis sur le marché. Les deux textes se renforcent mutuellement : améliorer la sécurité des produits connectés facilite la mise en conformité des entités soumises à NIS 2, qui utilisent ces produits dans leurs infrastructures. Pour une entreprise industrielle, par exemple, être en conformité avec le CRA sur ses équipements connectés contribue directement à sa capacité à répondre aux exigences de NIS 2 sur la sécurité de sa chaîne d’approvisionnement.
Cette articulation entre les textes est en réalité une bonne nouvelle : elle signifie que les investissements de conformité ne sont pas cloisonnés par règlement, mais contribuent à une posture de sécurité globale.
La question des compétences : le nerf de la guerre
C’est ici que le sujet devient particulièrement critique — et particulièrement concret pour les entreprises qui vont devoir se mettre en conformité avec le CRA.
Ce dont les entreprises ont besoin
Répondre aux exigences du CRA mobilise des compétences qui ne se trouvent pas toutes dans un seul profil. Il faut des personnes capables d’évaluer les risques liés à un produit numérique, de concevoir une architecture de sécurité intégrée au cycle de développement, de gérer les vulnérabilités tout au long de la vie du produit, de documenter les processus de manière rigoureuse et compréhensible pour des auditeurs, et de construire les processus de notification exigés par le texte.
Ces compétences se répartissent entre plusieurs profils : architectes sécurité, responsables de la sécurité des systèmes d’information, experts en gouvernance-risques-conformité, et spécialistes de la gestion des vulnérabilités. Des profils que les entreprises concernées par le CRA vont devoir recruter, former, ou faire monter en compétences dans les deux à trois prochaines années.
Une pénurie qui ne va pas se résoudre d’elle-même
Le marché français de la cybersécurité employait environ 45 000 personnes en 2024, avec 25 000 postes supplémentaires à pourvoir d’ici 2028. La Fédération Française de la Cybersécurité estimait qu’il manquait déjà plus de 15 000 professionnels qualifiés en 2024, un chiffre qui pourrait atteindre 20 000 postes vacants en 2025. Plus de 70 % des entreprises dans le monde peinent à trouver des profils qualifiés en cybersécurité.
Dans ce contexte, la mise en conformité avec le CRA va générer une demande supplémentaire de compétences dans des secteurs comme l’industrie, l’électronique, l’édition de logiciels, qui n’ont pas toujours investi massivement dans des équipes cybersécurité dédiées. La concurrence pour attirer les bons profils va s’intensifier. Et les entreprises qui attendront 2026 pour commencer à recruter se retrouveront à rivaliser avec celles qui auront anticipé.
Recruter autrement pour répondre à un besoin nouveau
La mise en conformité avec le CRA ne nécessite pas seulement des compétences techniques pures. Elle nécessite aussi des profils capables de naviguer entre les mondes technique, juridique et opérationnel, de comprendre les enjeux d’un cycle de vie produit, de dialoguer avec des équipes de développement sans les braquer, et d’expliquer des exigences réglementaires complexes à des dirigeants dont le quotidien est loin de la cybersécurité.
Ces profils hybrides, à la croisée de la gouvernance, de la conformité et de la compréhension technique, sont précisément ceux que le marché sous-estime et sous-recrute. Et pourtant, ce sont souvent eux qui font la différence entre une mise en conformité qui tient dans la durée et une conformité documentaire qui s’effondre au premier audit.
Ce que Rehackt observe et ce qu’il peut apporter
Chez Rehackt, cabinet de recrutement cybersécurité spécialisé dans les métiers de l’IT, de la sécurité et de la cyberdéfense, nous accompagnons des entreprises qui sont précisément en train de réaliser que leur stratégie de recrutement ne couvre pas les besoins que le CRA va créer.
Le premier constat que nous faisons régulièrement : les entreprises concernées par le CRA ne savent souvent pas encore qu’elles le sont. Un éditeur de logiciels embarqués qui n’a jamais suivi l’actualité réglementaire européenne, un fabricant de capteurs industriels dont la direction technique est focalisée sur les délais de livraison, une PME du secteur de l’électronique qui distribue ses produits en Europe sans avoir jamais envisagé les implications du marquage CE en matière de cybersécurité. Ces profils d’entreprises existent en grand nombre, et le CRA les concerne directement.
Le deuxième constat : quand ces entreprises comprennent l’enjeu, elles cherchent à recruter le profil idéal : quelqu’un qui connaît le règlement dans le détail, qui a déjà mené des projets de conformité similaires, qui sait parler à la direction et aux équipes techniques, et qui accepte les conditions salariales d’une ETI de région. Ce profil existe…parfois. Il est rare, courtisé, et n’attendra pas.
Notre rôle, en tant que cabinet de recrutement cybersécurité, est d’intervenir avant que ce scénario ne se produise. Cela signifie travailler avec les entreprises pour qualifier leur niveau de maturité réel, identifier les compétences déjà présentes en interne qui peuvent être développées, et définir le profil de poste qui correspond à l’étape dans laquelle elles se trouvent, pas à l’étape idéale dans laquelle elles voudraient être.
Pour une entreprise qui part de zéro en matière de cybersécurité produit, la priorité n’est pas forcément de recruter un expert en architecture de sécurité à 90 000 euros par an. C’est peut-être de commencer par un responsable conformité capable de structurer la gouvernance, de cartographier les produits concernés et de lancer les premiers chantiers de mise en conformité. C’est peut-être aussi de former les équipes de développement existantes aux pratiques de développement sécurisé, plutôt que de recruter une équipe dédiée que l’entreprise n’a pas les moyens d’absorber.
Ces arbitrages (recruter, former, ou combiner les deux) sont exactement ce qu’un cabinet de recrutement cybersécurité qui comprend les enjeux sectoriels peut aider à formuler. Non pas pour ne pas recruter, mais pour recruter au bon moment, le bon profil, avec les bonnes attentes des deux côtés.
Ce qu’il faut retenir : faits avérés, hypothèses plausibles, incertitudes
Avant de conclure, un effort de transparence qui nous semble important et qui s’inscrit dans la manière dont Rehackt aborde ces sujets.
Ce qui repose sur des faits établis : le CRA est adopté, publié, en vigueur depuis le 11 décembre 2024. Son calendrier d’application est fixé. Les obligations de notification s’appliqueront dès septembre 2026. La pleine application interviendra en décembre 2027. Les sanctions sont définies. L’ANSSI est désignée comme autorité de surveillance en France. La pénurie de compétences en cybersécurité est documentée par des sources fiables (ANSSI, Fédération Française de la Cybersécurité, BCG, Fortinet).
Ce qui relève d’hypothèses plausibles : le CRA va générer une demande de recrutement supplémentaire significative dans les secteurs concernés. Les entreprises qui anticipent leur mise en conformité auront un avantage concurrentiel, à la fois sur le plan réglementaire et sur le plan de l’attractivité des produits. Les profils hybrides (conformité + compréhension technique) seront particulièrement recherchés.
Ce qui reste incertain : le niveau réel de contrôle que les autorités de surveillance exerceront dans les premières années d’application, l’impact précis sur la compétitivité des acteurs européens face aux fabricants extra-européens, et la vitesse à laquelle le marché de l’emploi cybersécurité pourra absorber la demande supplémentaire liée au CRA.
Conclusion : une fenêtre d’action, pas de confort
Le Cyber Resilience Act n’est pas un texte de plus dans une longue liste de réglementations européennes à gérer. C’est un changement de paradigme sur la manière dont les produits numériques sont conçus, commercialisés et maintenus. Il pose, pour la première fois à l’échelle européenne, une obligation légale de sécurité par défaut sur les produits connectés. Et il le fait de manière uniforme, contraignante, et assortie de sanctions qui ne laissent pas beaucoup de place à l’improvisation.
Pour les entreprises concernées, la fenêtre d’action est ouverte jusqu’en 2027 mais elle ne l’est pas indéfiniment. La mise en conformité technique prend du temps. Le recrutement des compétences adéquates prend du temps. La formation des équipes existantes prend du temps. Et dans un marché du travail en cybersécurité où 15 000 à 20 000 postes restent non pourvus en France, le temps disponible est une ressource plus rare qu’il n’y paraît.
Chez Rehackt, nous pensons que la bonne question n’est pas “est-ce qu’on est concerné par le CRA ?” mais “qu’est-ce que ça va changer dans nos processus, et de qui avons-nous besoin pour le faire ?” Ces deux questions méritent une réponse structurée, appuyée sur une compréhension réelle des enjeux réglementaires et du marché de l’emploi. C’est ce que nous proposons d’apporter à nos clients : pas des recrutements hâtifs, mais un accompagnement qui commence par comprendre le besoin réel.
Parce qu’un règlement bien compris, c’est déjà une partie du chemin de fait.
La Team Rehackt
Sources :
- Règlement (UE) 2024/2847 — Journal officiel de l’Union européenne, 20 novembre 2024
- Commission européenne — Stratégie de cybersécurité de l’UE et page officielle du CRA
- Conseil de l’Union européenne — Communiqué d’adoption, octobre 2024
- ANSSI — Panorama de la cybermenace 2024 et Observatoire des métiers de la cybersécurité (4e édition, 2025)
- Fédération Française de la Cybersécurité — Données emploi 2024-2025
- BCG — Rapport pénurie de talents cybersécurité, novembre 2024
- Fortinet — Global Cybersecurity Skills Gap Report 2024
- Commission européenne — Page MPME et CRA (programme Digital Europe / projet SECURE)
- Solutions Numériques & Cybersécurité — Projet SECURE, financement jusqu’à 30 000 euros pour les PME
- Mathias Avocats, DLA Piper, Grant Thornton — Analyses juridiques du CRA, décembre 2024 – septembre 2025
Laisser un commentaire