Actualité Cyber Resilience Act 2026
Actualité CRA 2026 : Cyber Resilience Act, sécurité des produits numériques, marquage CE.
Suivez l’actualité du Cyber Resilience Act 2026 : obligations des fabricants, sécurité des produits connectés, calendrier de mise en œuvre.
Dernières actualités
22 mai 2026 — Kimwolf : Canada arrete l'admin d'un botnet IoT de 2 millions d'appareils
Les autorites americaines et canadiennes ont annonce le 21 mai 2026 l'arrestation a Ottawa d'un homme de 23 ans, soupconne d'avoir construit et exploite Kimwolf, un botnet IoT de classe Mirai qui a infecte pres de deux millions d'appareils a l'echelle mondiale — principalement des routeurs, cameras IP et enregistreurs video grand public. Le botnet a alimente une activite soutenue de denis de service (DDoS) loues a la demande contre des hebergeurs, jeux en ligne et entreprises europeennes. L'enquete confirme que la propagation reposait sur des identifiants par defaut jamais changes et sur des vulnerabilites non corrigees dans des firmwares en fin de support. Operationnellement, ce demantelement illustre exactement le risque que vise a contenir le Cyber Resilience Act : a partir de decembre 2027, les fabricants d'objets connectes mis sur le marche UE devront fournir des correctifs sur toute la duree de vie attendue du produit et notifier les vulnerabilites exploitees a l'ENISA. Cette obligation CRA rejoint pour les exploitants l'article 32 du RGPD lorsque l'IoT traite des donnees personnelles.
Inventoriez vos equipements IoT (cameras, routeurs, imprimantes connectees), verifiez la politique de mises a jour de l'editeur et excluez ceux en fin de support — un appareil non patche compromis devient votre responsabilite, pas celle du fabricant. Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — CRA : qui est concerné par le Cyber Résilience Act ? — CRA et AI Act : double conformité produits IA
18 mai 2026 — OpenSSF : appel d'alarme sur la conformité CRA de l'open source
L'Open Source Security Foundation publie le 18 mai 2026 un billet qualifié d'« urgent wake-up call » pour l'écosystème open source européen face au Cyber Resilience Act. La fondation rappelle deux échéances proches qui structurent désormais la feuille de route des mainteneurs et des intégrateurs : à compter du 11 septembre 2026, les fabricants devront notifier les vulnérabilités activement exploitées au CSIRT compétent et à l'ENISA dans les 24 heures ; au 11 décembre 2027, l'ensemble des exigences essentielles de cybersécurité du règlement deviendront applicables (gestion des vulnérabilités, marquage CE, documentation technique). L'OpenSSF souligne que les contributeurs individuels d'un projet libre tiers ne sont pas concernés, mais que toute entreprise qui intègre un composant open source dans un produit commercial ou un service à valeur ajoutée hérite des obligations CRA associées. La fondation pousse trois ressources concrètes pour préparer la mise en conformité : la Security Baseline for OSS Projects (check-list de bonnes pratiques), les Scorecards & Badges OpenSSF (métadonnées lisibles par machine pour évaluer le risque amont), et le cours gratuit Linux Foundation LF1001 dédié aux exigences CRA. Cette obligation de signalement coordonné rejoint mécaniquement l'obligation NIS2 de notification d'incident significatif et l'obligation RGPD de notification des violations de données personnelles lorsque la vulnérabilité a entraîné une compromission de données.
Ce que ça change pour vous : si vous éditez ou intégrez des composants open source dans un produit ou un service à destination du marché européen, cartographiez dès maintenant la chaîne d'approvisionnement logicielle, désignez un canal de remontée vulnérabilités opérable sous 24h pour le 11 septembre 2026, et inscrivez l'évaluation Scorecard / Badge de vos dépendances critiques au registre des activités de traitement au titre de l'article 32 du RGPD. CRA et logiciels open source : exemptions et obligations — Signalement des vulnérabilités : les obligations du Cyber Résilience Act — CRA : qui est concerné par le Cyber Résilience Act ?
17 mai 2026 — Azure AKS : Microsoft refuse d'attribuer un CVE pour une faille critique
BleepingComputer revele le 16 mai 2026 que Microsoft a rejete le signalement d'une vulnerabilite critique affectant Azure Backup for Azure Kubernetes Service (AKS), puis l'a corrigee silencieusement sans attribuer de CVE ni publier d'avis client. La faille permettait a tout titulaire du seul role Backup Contributor sur un coffre de sauvegarde de declencher une relation Trusted Access avec un cluster AKS, et d'obtenir automatiquement des privileges cluster-admin sans aucun droit Kubernetes prealable — soit une escalade de privileges totale au perimetre du plan de controle. Le CERT/CC avait planifie une divulgation publique pour le 1er juin 2026, finalement annulee, et Microsoft a, le 4 mai, demande explicitement a MITRE de ne pas reserver de CVE en qualifiant le comportement de « conforme aux attentes ». Sans identifiant CVE, les equipes securite ne peuvent pas tracer l'exposition, ce qui empeche tout audit retroactif des droits attribues entre une date de debut inconnue et mai 2026. Cette pratique de silencieuse remediation interroge frontalement les futures obligations du Cyber Resilience Act (Reglement (UE) 2024/2847), dont l'article 14 imposera aux fabricants, a compter du 11 septembre 2026, une alerte precoce a l'ENISA et au CSIRT competent dans les 24 heures suivant la connaissance d'une vulnerabilite activement exploitee, puis une notification preliminaire a 72 heures. Pour les entites essentielles et importantes au sens de la directive NIS2, l'evenement reactive egalement les obligations de gestion de la chaine d'approvisionnement de l'article 21 et celles de l'article 32 du RGPD pour les responsables de traitement utilisant ces services.
Ce que ca change pour vous : auditez vos roles IAM Azure (notamment Backup Contributor sur les coffres lies a des clusters AKS), pratiquez un least privilege strict, verifiez la liste des relations Trusted Access actives, et documentez la procedure de veille CVE pour vos fournisseurs cloud — y compris les cas ou aucun CVE n'est emis. Pour vos clauses sous-traitants au sens de l'article 28 du RGPD, exigez explicitement la transparence sur les corrections de vulnerabilites, meme sans CVE public. Securite du cloud : modele de responsabilite partagee et obligations legales — Audit de securite informatique : methodologie et outils — Sous-traitance securite : exigences NIS2 et RGPD pour la chaine d'approvisionnement
15 mai 2026 — CRA : la Trusted Connectivity Alliance alerte sur les normes UICC et eUICC
La Trusted Connectivity Alliance, association industrielle qui rassemble les acteurs des cartes SIM, eSIM et autres elements securises, a transmis le 14 mai 2026 ses observations aux organismes europeens de normalisation (CEN, CENELEC) sur les projets de normes harmonisees applicables au Cyber Resilience Act, parmi lesquelles prEN 18330, prEN 40000 et prEN 50764, rapporte SecurityBrief UK. L'alliance soutient l'objectif du reglement (UE) 2024/2847 mais identifie trois points de blocage. Premier point : le risque de double certification, les UICC et eUICC etant deja couverts par des schemas internationaux tels que le profil de protection commun et le GSMA eUICC Security Assurance, dont elle demande la reconnaissance explicite comme voie d'evaluation de la conformite au titre de l'article 32 du CRA. Deuxieme point : le traitement juridique et technique des UICC et eUICC comme composants integres et non comme produits finis vendus au consommateur, ce qui appelle un parcours distinct de demonstration de conformite et une clarification des regles de marquage CE pour les composants integres dans un produit conforme. Troisieme point : les obligations de fourniture de correctifs de securite tout au long de la duree de vie du produit (article 13 et annexe I du CRA), que les UICC classiques ne peuvent pratiquement pas satisfaire faute de capacite de mise a jour a distance ; l'alliance demande que les normes precisent si cette configuration constitue une non-conformite ou une situation d'inapplicabilite. Les obligations centrales du CRA s'appliquent au 11 decembre 2027, les obligations de signalement des vulnerabilites au 11 septembre 2026 et la notification des organismes d'evaluation au 11 juin 2026.
Ce que ca change pour vous : si vous integrez des elements securises (UICC, eUICC, modules HSM, TPM) dans vos produits connectes, recensez les schemas de certification existants, anticipez la question du marquage CE composant vs. produit fini et documentez des a present votre politique de mises a jour ou les raisons pour lesquelles certaines mises a jour ne sont techniquement pas possibles, avant le 11 decembre 2027. CRA : qui est concerne par le Cyber Resilience Act ? — CRA et IoT : securiser les objets connectes — Actualite Cyber Resilience Act 2026
24 avril 2026 — ANSSI : Panorama cybermenace 2025, IA offensive et sous-traitance ciblees
L'Agence nationale de la securite des systemes d'information (ANSSI) a publie son Panorama de la cybermenace 2025, relaye le 24 avril 2026 par le cabinet Lexing. L'Agence indique avoir traite 3 586 evenements de securite sur l'annee, en baisse de 18 % par rapport a 2024, dont 2 209 signalements et 1 366 incidents. Le nombre de compromissions par rancongiciel portees a sa connaissance s'etablit a 128. L'ANSSI observe une diversification des strategies d'extorsion, avec recours accru a l'exfiltration de donnees sans chiffrement systematique, ce qui place mecaniquement une part plus large de ces incidents dans le champ des violations de donnees personnelles au sens de l'article 33 du RGPD. Les etablissements de sante restent tres cibles (8 % des attaques rancongiciel), et le secteur education-recherche concentre 34 % des incidents traites. L'Agence pointe aussi la montee en puissance de l'ingenierie sociale (SIM swapping, bombardement de demandes MFA, technique Clickfix), l'usage croissant de l'IA generative a des fins offensives, ainsi que la persistance du ciblage des sous-traitants comme vecteur d'acces. Le rapport rappelle que le Cyber Resilience Act imposera des le 11 septembre 2026 aux fabricants de produits numeriques commercialises dans l'UE de signaler toute vulnerabilite activement exploitee, et que de nouvelles obligations s'ajouteront au 11 decembre 2027. Ces signalements recoupent les obligations de gestion des vulnerabilites de l'article 21 de la directive NIS2 et les exigences de securite de l'article 32 du RGPD.
Ce que ca change pour vous : rejouez votre cartographie rancongiciel + sous-traitants a la lumiere du Panorama, verifiez vos procedures de signalement NIS2/CRA et mettez a jour votre procedure de notification des violations RGPD. Actualité cybersécurité 2026 : NIS2, CRA, ANSSI — Directive NIS2 : guide complet des nouvelles obligations de cybersécurité — Sous-traitance sécurité : exigences NIS2 et RGPD pour la chaîne d'approvisionnement
20 avril 2026 — CRA : la France désigne l'ANFR surveillance marché, l'ANSSI autorité notifiante
Le cabinet Lexing revient, dans une note publiée le 20 avril 2026, sur le schéma de gouvernance nationale envisagé pour la mise en œuvre du règlement (UE) 2024/2847 (Cyber Resilience Act). Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne (Ddadue 2026) modifie, à son article 32, l'article L. 43 du Code des postes et des communications électroniques : l'Agence nationale des fréquences (ANFR) serait désignée autorité de surveillance du marché des produits comportant des éléments numériques soumis au CRA. Parallèlement, l'étude d'impact publiée par le Sénat indique que l'ANSSI exercerait les fonctions d'autorité notifiante au sens de l'article 3(26) du CRA, c'est-à-dire qu'elle encadrerait l'évaluation, la désignation et le contrôle des organismes notifiés chargés de la conformité des produits. Sur le plan opérationnel, cette répartition signifie que les fabricants auront deux interlocuteurs français distincts : l'ANFR pour le contrôle produit et les retraits/rappels, l'ANSSI pour la certification et la gestion des organismes d'évaluation. Les obligations des autorités notifiantes sont encadrées par les articles 36 et 37 du CRA (procédures d'évaluation, surveillance continue, suspension ou retrait de notification en cas de manquement).
Ce que ça change pour vous — les fabricants et importateurs de produits connectés doivent commencer à cartographier leurs interlocuteurs français (ANFR/ANSSI) et intégrer ce schéma dans leur plan de conformité CRA, en vue de l'entrée en vigueur des obligations produit au 11 décembre 2027. CRA : qui est concerné par le Cyber Résilience Act ? — Évaluation de conformité CRA : procédures et organismes notifiés — CRA et RGPD : intersection
2 avril 2026 — CRA : consultation close, premières obligations dès septembre 2026
La consultation publique ouverte le 3 mars 2026 par la Commission européenne sur les lignes directrices d'application du Cyber Resilience Act s'est clôturée le 31 mars 2026. Ce document non contraignant clarifie des points clés du règlement : qualification des solutions de traitement de données à distance, statut des logiciels libres et open source, notion de « périodes de support », et articulation du CRA avec les autres législations européennes. Deux échéances réglementaires imminentes : au 11 juin 2026, les autorités notifiantes doivent avoir établi les procédures d'évaluation et de désignation des organismes de conformité ; au 11 septembre 2026, les fabricants de produits connectés seront soumis à l'obligation de signalement des vulnérabilités activement exploitées (rapport initial sous 24 h, compléments sous 72 h, rapport final sous 14 jours). L'ensemble des obligations du CRA s'appliquera au 11 décembre 2027.
Ce que ça change pour vous — les fabricants et éditeurs doivent dès maintenant structurer leur processus de signalement de vulnérabilités pour être prêts au 11 septembre 2026. Cyber Résilience Act (CRA) : guide complet — CRA : qui est concerné ? — SBOM : nomenclature logicielle imposée par le CRA
12 mars 2026 — CRA : guide DGE et aide de 30 000 € pour la conformité des PME
La Direction générale des Entreprises (DGE) a publié un guide pratique sur ce que le Cyber Resilience Act (CRA) change pour les entreprises et comment s'y préparer (mars 2026). Un dispositif de financement pouvant atteindre 30 000 euros est également disponible pour accompagner les PME dans leur mise en conformité CRA (Solutions-Numeriques). Le CRA impose aux fabricants de produits numériques connectés de garantir la sécurité tout au long du cycle de vie, de gérer les vulnérabilités et d'assurer les mises à jour de sécurité, avec un marquage CE obligatoire exigible en décembre 2027. Les obligations clés incluent une politique de gestion des vulnérabilités, la notification des incidents aux CSIRT nationaux (Art. 14 CRA), et la fourniture d'une nomenclature des composants logiciels (SBOM). L'intersection avec le RGPD est directe pour les produits traitant des données personnelles : les obligations CRA rejoignent l'article 25 RGPD (privacy by design) et l'article 32 RGPD.
Évaluer si vos produits numériques entrent dans le périmètre CRA et consulter le guide DGE pour identifier les obligations applicables à votre catégorie de produit. CRA : qui est concerné ? — Support sécurité des produits numériques — CRA et RGPD : intersection
4 mars 2026 — Cyber Resilience Act : consultation sur les lignes directrices jusqu'au 31 mars
La Commission européenne a lancé une consultation publique sur un projet de lignes directrices destinées à accompagner les entreprises dans l'application du Cyber Resilience Act (CRA). Cette consultation, ouverte depuis le 3 mars 2026, se clôture le 31 mars 2026. Le projet de guidance clarifie les obligations et le champ d'application du CRA, avec un focus particulier sur la facilitation de la mise en conformité pour les fabricants de produits comportant des éléments numériques. Les lignes directrices abordent notamment la classification des produits, les exigences de cybersécurité essentielles et les obligations de signalement des vulnérabilités. Les entreprises concernées par le CRA ont tout intérêt à participer à cette consultation pour influencer l'interprétation finale du texte.
Soumettez vos commentaires avant le 31 mars 2026 sur le site de la Commission européenne. SBOM : l'obligation de nomenclature logicielle imposée par le CRA — CRA : qui est concerné par le Cyber Resilience Act ?
Faits marquants 2026
- 4 mars 2026 — Cyber Resilience Act : consultation sur les lignes directrices jusqu’au 31 mars
ACTION_REQUISE— Soumettez vos commentaires avant le 31 mars 2026 sur le site de la Commission européenne.
Chronologie
Mai 2026
- Kimwolf : Canada arrete l’admin d’un botnet IoT de 2 millions d’appareils ↗
- OpenSSF : appel d’alarme sur la conformité CRA de l’open source ↗
- Azure AKS : Microsoft refuse d’attribuer un CVE pour une faille critique ↗
- CRA : la Trusted Connectivity Alliance alerte sur les normes UICC et eUICC ↗
Avril 2026
- ANSSI : Panorama cybermenace 2025, IA offensive et sous-traitance ciblees ↗
- CRA : la France désigne l’ANFR surveillance marché, l’ANSSI autorité notifiante ↗
Mars 2026
- CRA : guide DGE et aide de 30 000 € pour la conformité des PME ↗
- Cyber Resilience Act : consultation sur les lignes directrices jusqu’au 31 mars ↗
Voir aussi
- Actualité RGPD 2026 : sanctions, décisions et jurisprudence
- Actualité DORA 2026 : résilience numérique
- Actualité NIS2 2026 : directive cybersécurité européenne
- Actualité AI Act 2026 : calendrier et conformité
- Actualité cybersécurité 2026 : NIS2, CRA, ANSSI
- Actualité CSRD 2026 : reporting durabilité et ESG