CRA et IoT : sécuriser les objets connectés sous le Cyber Résilience Act

Les objets connectés sont la cible primaire du Cyber Résilience Act (règlement (UE) 2024/2847). Et pour cause : l’IoT concentre à lui seul les trois failles structurelles que le CRA entend corriger – des produits livrés avec des configurations non sécurisées, une absence de mises à jour post-commercialisation, et des cycles de vie qui excedent largement la capacité de suivi des fabricants. Avec plus de 15 milliards d’objets connectés en circulation dans le monde en 2025, et une projection a plus de 30 milliards d’ici 2030, le sujet n’a rien de marginal.

Pour les fabricants d’objets connectés, le CRA transformé radicalement les règles du jeu. Voyons concrètement ce que cela implique.

I. Pourquoi l’IoT est la cible principale du CRA

Un heritage de négligence securitaire

L’IoT traine un lourd passif en matière de sécurité. L’épisode Mirai en 2016 reste l’illustration la plus frappante : un botnet constitue de caméras IP, de routeurs et d’enregistreurs vidéo numériques, tous compromis grâce à des identifiants par défaut (admin/admin, root/root), a généré des attaques DDoS d’une puissance inédite, paralysant des services comme Dyn, Twitter ou Netflix. Pres de dix ans plus tard, les variantes de Mirai continuent d’exploiter des appareils dont les fabricants ont disparu ou refusé de publier des correctifs.

Le problème est systémique. Une étude de l’ENISA estimait en 2023 que plus de 60 % des objets connectés grand public étaient livrés avec au moins une vulnérabilité critique. Les raisons sont connues : mots de passe par défaut non modifiables, ports de communication ouverts sans justification, firmware jamais mis à jour, chiffrement absent ou obsolète, collecté de données excessive et non documentée.

Des cycles de vie incompatibles avec la sécurité logicielle

Un thermostat connecté ou un capteur industriel peut rester en service pendant 10, 15, voire 20 ans. Or, la durée de support logiciel de la plupart des appareils IoT excède rarement 2 à 3 ans. Le résultat est previsible : des millions d’appareils restent connectés à des réseaux, sans correctifs, avec des vulnérabilités publiquement connues. Ces appareils deviennent des points d’entrée privilégiés pour les attaquants.

Le CRA adressé ce problème frontalement en imposant au fabricant une obligation de gestion des vulnérabilités pendant toute la durée de vie attendue du produit, et en tout état de cause pendant une durée minimale de cinq ans (article 13, paragraphe 8). Pour un fabricant d’objets connectés industriels dont la durée de vie attendue est de 15 ans, cette obligation change fondamentalement le modèle économique.

II. Les obligations spécifiques aux produits IoT

Les exigences essentielles de cybersécurité figurent à l’annexe I du CRA. Appliquees aux objets connectés, elles se traduisent par des obligations concrètes.

Sécurité par défaut (secure by default)

Le produit doit être livré dans une configuration sécurisée par défaut. Concrètement, pour un objet connecté, cela signifie :

• Pas de mots de passe par défaut universels. Chaque appareil doit disposer d’un mot de passe unique génère en usine, ou imposer à l’utilisateur la création d’un mot de passe robuste lors de la première utilisation.
• Interfaces d’administration desactivees par défaut lorsqu’elles ne sont pas indispensables au fonctionnement initial.
• Ports réseau fermes par défaut, sauf ceux strictement nécessaires au fonctionnement du produit.
• Fonctionnalites de debogage desactivees avant la mise sur le marché.

Absence de vulnérabilités connues à la livraison

L’article 13, paragraphe 1, impose que les produits soient mis sur le marché sans vulnérabilités exploitables connues. Pour un fabricant IoT, cela présuppose un processus de test de sécurité (analyse statique du code, tests de pénétration, revue des dépendances) intègre au cycle de développement, et pas seulement un audit ponctuel avant la commercialisation.

Minimisation des données et protection de la vie privée

Le CRA exigé que le produit ne collecté que les données strictement nécessaires à son fonctionnement (principe de minimisation). Ce point resonne directement avec les exigences du RGPD, et en particulier le principe de privacy by design, et impose aux fabricants d’objets connectés de justifier chaque flux de données. La question de la propriété des données générées par les produits connectés est par ailleurs régie par le Data Act, qui établit un droit d’accès au profit de l’utilisateur. Un bracelet connecté qui transmet l’intégralité des données biométriques de l’utilisateur vers un serveur distant sans justification technique precise contrevient à cette exigence.

Communications chiffrées

Toutes les communications du produit – tant celles avec d’autres appareils que celles avec des services distants – doivent être protégées par des mécanismes de chiffrement adaptés à l’état de l’art, conformément aux exigences de sécurité des données lorsque des données personnelles sont en jeu. Pour les objets connectés, cela implique la mise en oeuvre de protocoles tels que TLS 1.3 ou DTLS pour les communications, et le stockage sécurisé des clés cryptographiques sur l’appareil.

Mecanisme de mise à jour

Le fabricant doit intégrer un mécanisme de mise à jour sécurisé. Les mises à jour de sécurité doivent être mises à disposition sans frais pour l’utilisateur. Le mécanisme doit garantir l’authenticité et l’intégrité des mises à jour (signature cryptographique), permettre la notification de l’utilisateur, et être suffisamment robuste pour fonctionner même dans des conditions degradees.

Pour les appareils qui ne disposent pas d’une interface utilisateur (cas fréquent dans l’IoT industriel), des mécanismes alternatifs doivent être prévus – mises à jour par le réseau (OTA), via une application compagnon, ou par l’intermédiaire d’une passerelle.

III. Classification des produits IoT

La classification des produits déterminés les procédures d’évaluation de conformité applicables. Pour les objets connectés, la répartition est la suivante.

Produits par défaut

La majorité des objets connectés grand public sans fonction critique relève de la catégorie par défaut : enceintes connectées, ampoules intelligentes, aspirateurs robots. L’évaluation de conformité peut être réalisée par le fabricant lui-même (auto-évaluation), à condition de respecter les normes harmonisees lorsqu’elles sont disponibles.

Produits importants – Classe I

Les systèmes domotiques, les jouets connectés, les routeurs domestiques et les wearables (bracelets, montres connectées) relèvent de la classe I. Le fabricant peut encore s’auto-évaluer s’il applique les normes harmonisees, mais a défaut, il doit recourir à une évaluation par un organisme tiers.

Exemple : un fabricant de montres connectées de suivi de santé qui applique l’ensemble des normes harmonisees relatives au CRA peut procéder à l’auto-évaluation. Dans le cas contraire, il devra faire certifier son produit par un organisme notifie.

Produits importants – Classe II

Les capteurs industriels intégrés à des systèmes de contrôle, les passerelles IoT industrielles, et les routeurs destinés à un usage professionnel relèvent de la classe II. L’évaluation par un organisme tiers est obligatoire, quelle que soit la conformité aux normes harmonisees.

Produits critiques

Certains objets connectés utilisés dans des infrastructures sensibles (passerelles de compteurs intelligents, dispositifs de sécurité pour les réseaux industriels) relèvent de la catégorie des produits critiques et nécessitent une certification européenne de cybersécurité.

IV. Les défis spécifiques de l’IoT

Appareils aux ressources limitées (constrained devices)

Un capteur de température fonctionnant sur batterie avec 32 Ko de mémoire RAM ne peut pas exécuter une pile TLS complète ni un mécanisme de mise à jour sophistiqué. Le CRA n’ignoré pas cette réalité mais n’accorde pas d’exemption pour autant. Les fabricants doivent trouver des solutions techniques adaptées : protocoles legers (CoAP avec DTLS, OSCORE), mécanismes de mise à jour differee via passerelle, chiffrement symétrique adapte aux contraintes matérielles.

Infrastructures a longue durée de vie

Dans le secteur industriel, les capteurs et actionneurs IoT sont déployés pour des durées pouvant atteindre 15 à 20 ans. L’obligation de support de sécurité pendant toute la durée de vie du produit posé un défi économique et organisationnel considérable. Les fabricants doivent anticiper des coûts de maintenance logicielle sur des périodes que l’industrie logicielle classique ne pratique pas.

IoT grand public vs IoT industriel

Les problématiques différent sensiblement. L’IoT grand public (smart home, wearables) posé essentiellement des problèmes de vie privée et de surface d’attaque residentielle. L’IoT industriel (OT/ICS) présente des enjeux de sûreté de fonctionnement : un capteur compromis dans une chaîne de production peut avoir des conséquences physiques. Le CRA traité ces deux mondes sous le même cadre réglementaire, mais la classification en catégories tient compte de ces différences de risque.

Dispositifs médicaux IoT

Les dispositifs médicaux connectés (moniteurs de glycemie, pacemakers connectés, pompes a insuline) font l’objet d’un traitement spécifique. Le CRA ne s’applique pas aux produits déjà couverts par les règlements (UE) 2017/745 et 2017/746 sur les dispositifs médicaux, qui contiennent leurs propres exigences de cybersécurité. Toutefois, les accessoires connectés non qualifiés de dispositifs médicaux (applications compagnons, passerelles de données) peuvent relever du CRA.

V. Feuille de route de mise en conformité pour les fabricants IoT

Les dates clés du CRA imposent un calendrier précis. Le signalement des vulnérabilités activement exploitées est obligatoire depuis septembre 2026. L’ensemble des obligations, y compris la conformité des produits, entre en application le 11 décembre 2027. Voici les étapes a prioriser.

1. Inventaire et classification (T0 a T+3 mois)

Recenser l’ensemble des produits IoT mis sur le marché européen. Pour chaque produit, déterminer la catégorie applicable (défaut, classe I, classe II, critique). Identifier les produits qui nécessitent une évaluation tierce. Consulter la listé des acteurs concernés par le CRA pour vérifier le rôle de chaque entité dans la chaîne de valeur.

2. Analyse d’écart (T+3 a T+6 mois)

Pour chaque produit, évaluer l’écart entre l’état actuel et les exigences de l’annexe I du CRA : sécurité par défaut, chiffrement, mécanisme de mise à jour, gestion des vulnérabilités. Établir un SBOM (Software Bill of Materials) pour chaque produit afin d’identifier les dépendances et les composants tiers vulnérables.

3. Remediation technique (T+6 a T+18 mois)

Mettre en oeuvre les modifications techniques nécessaires : remplacement des mécanismes d’authentification par défaut, intégration de mécanismes de mise à jour OTA, implémentation du chiffrement des communications, suppression des interfaces de debogage, réduction de la collecte de données. Intégrer des tests de sécurité au pipeline de développement (SAST, DAST, tests de pénétration).

4. Mise en place des processus (T+12 a T+18 mois)

Structurer le processus de gestion des vulnérabilités : point de contact pour le signalement, procédure de triage, délais de correction, mécanisme de diffusion des correctifs. Préparer la documentation technique requise, y compris la déclaration de conformité et les informations destinées aux utilisateurs.

5. Évaluation de conformité (T+18 a T+24 mois)

Selon la catégorie du produit, procéder à l’auto-évaluation ou solliciter un organisme notifie. Apposer le marquage CE attestant de la conformité au CRA.

Conclusion

Le CRA place les objets connectés au coeur de ses exigences, et ce n’est pas un hasard. L’IoT concentre les vulnérabilités les plus critiques et les plus massives du paysage numérique actuel. Pour les fabricants, la mise en conformité ne se limite pas à un exercice documentaire : elle impose une transformation profonde des pratiques de conception, de test et de suivi post-commercialisation. Le délai restant avant l’application pleine du texte en décembre 2027 est serre, compte tenu de l’ampleur des chantiers techniques. Il est urgent d’engager les travaux des maintenant.