Le règlement européen Cyber Resilience Act (CRA, Regulation (EU) 2024/2847) entre en application par paliers entre juin 2026 et décembre 2027. Les DSI le voient souvent comme un sujet fournisseurs. C'est une erreur. Le CRA va générer un flux continu d'obligations descendantes que vos équipes IT devront absorber sur la flotte : disclosures de vulnérabilités, tracking des périodes de support, déploiement rapide de correctifs. Votre outillage de gestion de flotte mobile devient le canal d'exécution.
Trois dates, trois niveaux d'obligation
Le CRA ne s'applique pas en bloc. Il se déploie en trois vagues que vos équipes doivent anticiper dès maintenant.
| Échéance | Obligation | Qui est concerné |
|---|---|---|
| 11 juin 2026 | Notification des organismes d'évaluation de conformité | Fabricants, importateurs |
| 11 septembre 2026 | Reporting Article 14 : notification des vulnérabilités activement exploitées et des incidents sévères sous 24h/72h/14 jours | Tous les produits à éléments numériques, y compris le legacy |
| 11 décembre 2027 | Application pleine : marquage CE obligatoire, période de support ≥ 5 ans, documentation technique complète | Tous les nouveaux produits mis sur le marché UE |
La date la plus critique pour les équipes opérationnelles est le 11 septembre 2026. À partir de cette date, vos fournisseurs de logiciels et de matériel devront vous notifier toute vulnérabilité exploitée dans un délai de 24 heures. Votre capacité à réagir sur la flotte devient un enjeu de conformité.
Qui est concerné (et pourquoi "pur SaaS exclu" est trompeur)
Le CRA cible les "produits à éléments numériques" : hardware, software, et leurs remote data processing solutions. Un logiciel distribué sous forme d'application mobile ou desktop entre dans le périmètre. Un pur SaaS dont aucun composant n'est installé chez l'utilisateur en est exclu.
Mais attention au raccourci. La plupart des solutions "SaaS" modernes incluent un agent local, une extension navigateur, un SDK embarqué ou un composant on-premise. Dans ce cas, le bundle software + cloud tombe sous le CRA. Vérifiez chaque outil de votre stack.
L'Annexe III du règlement liste les produits "critiques" soumis à une évaluation de conformité renforcée :
- Systèmes de gestion de réseau et de configuration
- Solutions de gestion d'identité, d'accès et de privilèges
- VPN, SIEM, gestionnaires de mots de passe
- Navigateurs web, hyperviseurs, microcontrôleurs
- Pare-feux, systèmes de détection d'intrusion
Sont exclus : les dispositifs médicaux (couverts par le MDR/IVDR), l'aéronautique, l'automobile et la défense, qui disposent de leur propre cadre réglementaire.
Les trois flux que le CRA propage vers vos équipes
Les disclosures Article 14 de vos fournisseurs
À compter de septembre 2026, chaque fournisseur de produit à éléments numériques devra notifier à l'ENISA (via la single reporting platform) et aux CSIRT nationaux (l'ANSSI en France) toute vulnérabilité activement exploitée. Le calendrier est serré : notification initiale sous 24 heures, mise à jour sous 72 heures, rapport final sous 14 jours.
Concrètement, vous allez recevoir un volume croissant de disclosures de vos fournisseurs. Chacune nécessite un triage : quel impact sur votre flotte ? Quels appareils sont concernés ? Quelle action corrective déployer ?
Le tracking des périodes de support et des EOL
Le CRA impose aux fabricants de fournir des mises à jour de sécurité pendant toute la "période de support" du produit, avec un plancher de 5 ans. Mais les EOL (End of Life) anticipés existent : un fournisseur peut arrêter le support d'un modèle si le produit n'est plus commercialisé. Votre inventaire de flotte doit suivre les dates de fin de support de chaque appareil et chaque version d'OS.
Si vous gérez 500 appareils avec 12 modèles différents sur 4 versions d'Android et 3 versions d'iOS, le suivi manuel devient vite ingérable.
La propagation rapide des correctifs sur la flotte
Quand un fournisseur publie un correctif suite à une disclosure CRA, votre obligation de diligence NIS2 (si vous êtes entité essentielle ou importante) impose de déployer ce correctif dans un délai raisonnable. "Raisonnable" n'est pas défini par le texte, mais les régulateurs nationaux appliquent généralement un standard de 14 à 30 jours pour les vulnérabilités critiques.
Sur une flotte mobile, le déploiement d'un correctif passe par une mise à jour d'OS, un patch applicatif ou un changement de policy de sécurité. Sans outillage centralisé, la couverture est partielle et le délai explose.
CRA et NIS2 : deux règlements, un même besoin opérationnel
Le CRA et NIS2 sont complémentaires. NIS2 (directive (UE) 2022/2555) impose aux entités essentielles et importantes de prendre des "mesures techniques et organisationnelles appropriées" pour gérer les risques cybersécurité. Le CRA génère les événements (disclosures, EOL, correctifs) ; NIS2 exige la capacité de réaction.
Un MDM constitue une preuve documentable de mesure technique : inventaire à jour, policies de sécurité appliquées, historique de déploiement des correctifs, capacité d'isolation des appareils compromis. En cas d'audit, ces logs font la différence entre conformité démontrée et déclaration d'intention.
Ce qu'un MDM change dans l'exécution CRA
Un outil de gestion de flotte mobile (MDM) n'est pas une "solution de conformité CRA" en soi. Aucun outil ne vous rend conforme automatiquement. Mais c'est le canal opérationnel par lequel vous exécutez vos obligations :
- Inventaire temps réel : modèles, versions d'OS, versions d'apps installées, statut de conformité de chaque appareil. C'est votre base pour trier les disclosures.
- Déploiement de correctifs : push de mises à jour d'apps, de configurations de sécurité ou de policies via zero-touch. Un correctif critique peut atteindre 100% de la flotte en quelques heures.
- Isolation et retrait : retirer une app compromise du catalogue, bloquer un appareil non conforme, forcer un wipe en cas de compromission avérée.
- Logs d'audit : chaque action est tracée (qui, quoi, quand). En cas de contrôle, vous pouvez démontrer la réactivité de votre réponse.
La question n'est pas de savoir si votre flotte sera concernée par une disclosure CRA. C'est de savoir en combien de temps vous pouvez y répondre. Avec Appaloosa, le déploiement d'un correctif applicatif ou d'une policy de sécurité sur toute la flotte prend quelques minutes, pas quelques semaines.
FAQ
Le Cyber Resilience Act concerne-t-il les SaaS ?
Le CRA ne s'applique pas aux services SaaS purs (sans composant installé côté utilisateur). En revanche, si le SaaS inclut un agent local, un SDK embarqué ou une extension navigateur, le bundle entre dans le périmètre du règlement. Vérifiez chaque outil de votre stack.
Quand le CRA entre-t-il en application ?
Le reporting des vulnérabilités (Article 14) s'applique à partir du 11 septembre 2026. L'application complète (marquage CE, documentation technique, période de support ≥ 5 ans) entre en vigueur le 11 décembre 2027.
Qu'est-ce qu'une "remote data processing solution" ?
C'est un composant cloud lié à un produit à éléments numériques : si le logiciel distribué ne fonctionne qu'avec un backend cloud, ce backend entre dans le périmètre CRA. Un dashboard cloud autonome sans composant local reste hors périmètre.
Quelles sanctions en cas de non-conformité CRA ?
Les sanctions peuvent atteindre 15 millions d'euros ou 2,5% du chiffre d'affaires mondial annuel (le montant le plus élevé). Les autorités de surveillance du marché de chaque État membre sont responsables de l'application.
Comment un MDM aide-t-il à répondre aux obligations CRA descendantes ?
Un MDM fournit l'inventaire de flotte nécessaire pour trier les disclosures, le canal de déploiement pour pousser les correctifs rapidement, et les logs d'audit pour démontrer la réactivité en cas de contrôle. Ce n'est pas un outil de conformité CRA en soi, mais le canal d'exécution opérationnel.
Le CRA va transformer la gestion de flotte mobile d'un sujet de productivité en un sujet de conformité réglementaire. Les équipes qui disposent d'un outillage centralisé pour trier les disclosures, déployer les correctifs et documenter les actions seront prêtes. Les autres devront improviser sous pression.
Évaluez la capacité de réponse de votre flotte aux obligations CRA avec un essai gratuit d'Appaloosa.