L’annonce n’a rien d’anodin, même si elle peut paraître discrète à première vue. Par une communication officielle datée de juillet 2025, l’ANSSI appelle les organismes d’évaluation de la conformité à se mobiliser dès maintenant pour anticiper les exigences du Cyber Resilience Act (CRA). En filigrane, c’est toute une filière française — celle de l’évaluation en cybersécurité — que l’agence nationale cherche à armer pour répondre à un futur règlement qui changera profondément le paysage des produits numériques en Europe.
« On ne pourra plus mettre un produit sur le marché sans répondre à des exigences précises de sécurité. »
Adopté en décembre 2023 et entré en vigueur à l’été 2024, le CRA s’appliquera concrètement à partir de 2027. Il impose aux fabricants, importateurs et distributeurs de produits numériques — objets connectés, logiciels embarqués, matériels informatiques — de garantir que ces produits respectent des exigences fondamentales en matière de cybersécurité. Au-delà du simple marquage CE, il faudra démontrer que le produit est conçu, documenté et maintenu dans le respect de principes de sécurité par défaut, de gestion des vulnérabilités, et de protection des données.
Deux catégories de produits sont particulièrement visées : ceux dits « à usage critique » et ceux considérés comme « hautement critiques ». Pour ces derniers, le CRA exigera une évaluation de conformité par un organisme indépendant, avec des critères harmonisés au niveau européen. C’est là que les centres d’évaluation entrent en scène. Et c’est pour cette raison que l’ANSSI lance dès maintenant un appel aux acteurs qualifiés : il faudra être prêt, en nombre et en compétence, d’ici moins de deux ans.
En France, les organismes d’évaluation reconnus dans le domaine de la cybersécurité sont les CESTI (Centres d’évaluation de la sécurité des technologies de l’information). Ces structures privées mais encadrées — Amossys, Serma, Quarkslab, Thales, Oppida, entre autres — interviennent déjà dans le cadre des schémas existants : Critères Communs (CC), CSPN (Certification de Sécurité de Premier Niveau), ou encore eIDAS. Ils sont agréés par l’ANSSI, audités, et certifiés pour mener des analyses techniques approfondies sur des produits à usage sensible.
« L’évaluation de conformité ne sera plus une option. Elle deviendra une étape intégrée du cycle de vie produit. »
Le CRA, en cela, modifie la logique industrielle. Jusqu’ici, la sécurité des produits numériques restait largement déclarative, parfois vérifiée par des audits, mais rarement imposée par la réglementation. Désormais, les fabricants devront documenter la sécurité dès la conception, et fournir une évaluation indépendante si leur produit entre dans une catégorie critique. Cela implique la mise en œuvre de tests de robustesse, de vérifications de gestion des vulnérabilités, et d’une traçabilité complète des processus de développement.
Ce glissement est stratégique : la cybersécurité devient un critère de conformité au même titre que la sécurité électrique ou la compatibilité électromagnétique. L’ANSSI, consciente de l’ampleur du changement, souhaite s’appuyer sur un écosystème existant mais encore limité en capacité. Il s’agit d’encourager d’autres acteurs — laboratoires, sociétés de test, cabinets spécialisés — à se structurer, à obtenir un agrément, et à rejoindre une filière qui deviendra un maillon clé du marché européen.
Pour les éditeurs de logiciels, les intégrateurs et les fabricants de matériel, le changement est considérable. Certains devront se soumettre à une évaluation tierce de leurs produits, d’autres pourront rester en autoévaluation mais devront tout de même documenter leur conformité. Dans tous les cas, le CRA impose une gestion active du risque produit, ce qui suppose un alignement fort entre les équipes R&D, qualité, juridique et cybersécurité.
Pour les RSSI et les responsables produits, cela signifie une chose : la sécurité des produits ne peut plus être traitée en silo. Elle devient une exigence transverse, inscrite dans les processus de conception, de mise à jour, de support et de retrait du marché. Les équipes de sécurité devront collaborer étroitement avec les chefs de projet, les ingénieurs qualité, les juristes et les partenaires externes pour répondre aux futures obligations. Il faudra intégrer la documentation de sécurité dans le cycle produit, prévoir des tests automatisés, des audits internes, et la préparation des dossiers de conformité.
« Le CRA impose une cybersécurité native, traçable, et vérifiable tout au long du cycle de vie du produit. »
L’autre effet structurant du CRA concerne la montée en compétence de l’écosystème européen. L’idée n’est pas simplement d’imposer des contraintes, mais de créer un environnement de confiance, où les produits circulant sur le marché européen répondent à un standard de sécurité minimal. Pour y parvenir, il faut non seulement des règles, mais aussi des acteurs capables de les vérifier. D’où l’appel de l’ANSSI : l’enjeu est de disposer d’un maillage d’organismes d’évaluation répartis sur le territoire, capables d’absorber une demande croissante d’ici 2027.
Cette évolution n’est pas isolée. Elle s’inscrit dans une dynamique plus large, aux côtés des réglementations NIS2 (sécurité des opérateurs essentiels), DORA (résilience numérique dans la finance) et du RGPD. On assiste à une convergence réglementaire autour de la notion de « preuve » : preuve de sécurité, preuve de conformité, preuve de vigilance. Dans ce contexte, l’évaluation indépendante devient une forme d’assurance objective pour les autorités, les clients et les partenaires.
Pour les fournisseurs de solutions cloud, les développeurs de logiciels SaaS, les éditeurs de plateformes connectées, cela pourrait même devenir un avantage concurrentiel. Afficher une certification CRA délivrée par un organisme accrédité, c’est démontrer un engagement actif pour la sécurité, la transparence et la conformité. Cela peut faciliter l’accès aux marchés publics, rassurer les clients européens, et accélérer les cycles d’achat dans les secteurs réglementés.
« Dans un écosystème saturé de promesses, la certification devient une preuve. »
Sur le terrain, cette dynamique suppose des choix. Faut-il anticiper dès maintenant le CRA dans les développements produits ? Faut-il initier une collaboration avec un CESTI ? Comment structurer la documentation technique pour répondre aux futures exigences ? Quels référentiels utiliser pour aligner les pratiques internes avec les attentes européennes ? Ce sont ces questions que les RSSI et les directions produits doivent désormais poser, sans attendre l’échéance de 2027.
Du côté des organismes d’évaluation eux-mêmes, le défi est aussi organisationnel. Ils devront adapter leurs méthodes, recruter, former, structurer des filières de certification spécialisées. Il ne s’agira plus seulement de répondre à des demandes ponctuelles ou sectorielles, mais d’être capables d’évaluer à grande échelle des produits hétérogènes : logiciels, matériels, objets connectés, infrastructures. Une approche plus industrielle de l’évaluation est à anticiper.
Enfin, les autorités nationales — ANSSI en tête — auront un rôle clé de coordination. Elles devront reconnaître les évaluateurs, garantir l’harmonisation des pratiques, et participer à la mise en place d’un système européen de confiance. L’enjeu, au fond, est politique : montrer que l’Europe peut imposer un modèle de cybersécurité crédible, opérationnel, respectueux des libertés et compatible avec l’innovation.
Et pour cela, il faut des acteurs, des compétences, des méthodologies. C’est ce que l’ANSSI appelle de ses vœux : un écosystème d’évaluation robuste, réparti, indépendant, et reconnu. Un levier stratégique pour transformer une contrainte réglementaire en atout économique et en garantie de sécurité collective.
