Publi-rédactionnel

Règlement Machine et Cyber Resilience Act : pourquoi les PME/ETI industrielles doivent-elles passer à l’action ?

À l’approche de deux échéances réglementaires majeures, les fabricants de machines et de produits connectés découvrent que la cybersécurité devient une condition d’accès au marché. Décryptage avec Samuel Kohen, cofondateur d’AKENATECH, société de cybersécurité industrielle (OT/IoT) et expert en gouvernance, risque et conformité (GRC).

Afnor 4

Pendant longtemps, la sécurité d’une machine se résumait à des capots, des arrêts d’urgence et des analyses de risques mécaniques. En clair : la sûreté de fonctionnement. Le numérique a bouleversé cette équation : capteurs connectés, supervision à distance, logiciels embarqués, ou intelligence artificielle. Les machines d’aujourd’hui sont devenues des objets numériques à part entière, exposées aux mêmes vulnérabilités que n’importe quel système d’information, mais avec des conséquences physiques potentiellement bien plus graves : accident, arrêt de production, non-qualité.

L’UE a déclenché un changement de paradigme avec deux règlementations majeures :

  • Le Règlement Machine (UE) 2023/1230, entré en vigueur en juillet 2023 et qui remplacera définitivement la Directive Machine 2006/42/CE à partir du 20 janvier 2027 ;
  • Le Cyber Resilience Act (CRA), dont les principales obligations entreront en application partiellement le 11 septembre 2026 puis complètement le 11 décembre 2027.

Deux textes, mais une seule réalité industrielle : la cybersécurité n’est plus une option dans la conception d’une machine ou d’un produit connecté destiné au marché européen. L’obtention du marquage CE, et donc la commercialisation sur le marché européen des machines et produits numériques, sera désormais conditionnée par la conformité aux exigences cyber du CRA et du Règlement Machine.

La sécurité ne peut plus être pensée après coup

Pour Samuel Kohen, ces deux règlements ne doivent surtout pas être traités comme deux dossiers séparés, gérés en silo par des équipes différentes. « Le Règlement Machine et le CRA partagent une même philosophie de fond : la cybersécurité doit être une propriété intrinsèque du produit, pensée dès la conception, et non un correctif ajouté après la mise sur le marché. »

Concrètement, le Règlement Machine introduit pour la première fois des exigences cyber applicables aux fonctions de sécurité des machines :

  • Protection contre les accès non autorisés, la corruption des données, les modifications malveillantes,
  • Sécurisation des communications,
  • Gestion des vulnérabilités tout au long du cycle de vie des machines,
  • Communication en cas d’incident et mise à disposition gratuite des correctifs de sécurité.

Le CRA, de son côté, a un périmètre plus large : il s’adresse à tout produit comportant des éléments numériques commercialisé dans l’Union Européenne. Qu’il s’agisse d’un capteur IoT autonome, d’un logiciel embarqué vendu séparément, d’une solution de supervision industrielle ou d’un objet connecté grand public, il impose :

  • Des exigences de cybersécurité sur la conception, le développement et la maintenance du produit,
  • Une obligation de gestion des vulnérabilités tout au long de sa durée de vie commerciale.

« Pour beaucoup de fabricants de machines intégrant de l’électronique, des automates ou du logiciel embarqué, le Règlement Machine et le CRA sont tous deux applicables simultanément, avec leurs propres exigences et leur propre calendrier », précise Samuel Kohen.

Règlement Machine : ce qui change pour les fabricants

Le Règlement Machine s’inscrit dans la continuité de la Directive Machine à laquelle il ajoute des exigences de cybersécurité pour protéger les fonctions de sécurité des machines. C’est une refonte en profondeur du cadre applicable à la conception, à la mise sur le marché et à la surveillance des machines en Europe.

Le calendrier d’application reste un point de vigilance. Plusieurs organisations représentant les fabricants de machines ont publiquement alerté sur le retard pris dans la révision des centaines de normes harmonisées nécessaires pour bénéficier de la présomption de conformité, retard qui complique la capacité des industriels à anticiper précisément ce qui sera exigé d’eux à l’échéance de janvier 2027.

« C’est typiquement dans ce flou normatif que les entreprises ont le plus besoin d’un cap clair », souligne Samuel Kohen. « Ne pas avoir toutes les normes harmonisées finalisées ne signifie pas qu’il faut attendre. Cela signifie qu’il faut construire sa démarche sur des référentiels déjà solides et internationalement reconnus, qui couvrent l’essentiel des exigences attendues, plutôt que d’espérer une clarté complète qui ne viendra peut-être qu’à la dernière minute. »

Cyber Resilience Act : un règlement qui s’applique à toute la chaîne de valeur

Le CRA suit une logique d’application progressive en plusieurs étapes. Il couvre une chaîne d’acteurs bien plus large que le seul fabricant : importateurs et distributeurs sont également tenus de vérifier la conformité d’un produit avant sa mise sur le marché européen. Cela introduit une dimension contractuelle nouvelle entre partenaires commerciaux : exigences de preuves, de documentation, de traçabilité des versions, clauses de support et de mise à jour dans la durée.

Les sanctions prévues ne sont pas symboliques : en cas de non-conformité, les entreprises s’exposent à des amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial du groupe.

« Ce que beaucoup de PME sous-estiment, c’est que le CRA n’est pas un dossier qu’on dépose une fois et qu’on referme. C’est une organisation pérenne : surveillance continue des vulnérabilités, capacité à produire un correctif rapidement, capacité à communiquer vers les utilisateurs et les autorités dans des délais très contraints. Une entreprise qui n’a jamais structuré de processus de gestion des vulnérabilités ou de canal de signalement responsable ne pourra pas improviser ça en quelques semaines à l’approche de septembre 2026 », alerte Samuel Kohen.

Un chevauchement qui complique, mais qui peut aussi simplifier

Pour un fabricant de machines intégrant des éléments numériques, le Règlement Machine et le CRA ne s’appliquent pas de manière exclusive l’un de l’autre. Les deux réglementations s’articulent de façon complémentaire : le Règlement Machine couvre les aspects physiques et fonctions de sécurité, tandis que le CRA se concentre spécifiquement sur les aspects numériques du produit, qu’il soit ou non intégré dans une machine.

Cette articulation peut sembler être une source de complexité supplémentaire. Elle peut aussi, si elle est bien anticipée, devenir une opportunité de rationalisation. « Beaucoup des preuves demandées sont les mêmes : documentation technique, analyse de risques, processus de gestion des vulnérabilités, preuve de surveillance continue. Si l’entreprise construit sa documentation projet par projet, sans vision d’ensemble, elle va dupliquer un travail considérable. Si elle construit un socle commun, elle peut répondre aux deux textes avec une seule trajectoire de conformité », observe Samuel Kohen.

S’appuyer sur des référentiels éprouvés plutôt que partir d’une feuille blanche

C’est sur ce constat que Samuel Kohen a construit son approche d’accompagnement : plutôt que de traiter chaque obligation réglementaire comme un sujet de conformité isolé, il structure l’accompagnement de ses clients autour de deux référentiels internationaux complémentaires.

L’ISO 27001 apporte le socle de gouvernance de la sécurité de l’information : politique de sécurité documentée, méthodologie de gestion des risques, définition des rôles et responsabilités, pilotage de la cybersécurité dans la durée via un système de management dédié. L’IEC 62443, référentiel international spécifiquement conçu pour les environnements industriels (OT/IoT), permet d’aller plus loin sur le terrain technique propre à l’industrie : sécurisation des automates programmables, segmentation des réseaux industriels, durcissement des composants embarqués dans les machines elles-mêmes, gestion du cycle de vie sécurisé des produits connectés.

« L’intérêt de combiner ces deux référentiels, c’est qu’ils couvrent ensemble ce que demandent le CRA et le Règlement Machine : un rôle clé de la direction pour mettre en place la sécurité par conception et durant le cycle de vie produit ; mais aussi une dimension terrain, technique, propre aux automatismes industriels. », indique Samuel Kohen. « On ne fait pas de la conformité pour la conformité. On construit un système de gestion documenté qui, une fois en place, répond simultanément à plusieurs obligations réglementaires sans qu’il faille tout reconstruire à chaque nouvelle échéance. »

Une trajectoire d’accompagnement pensée pour les réalités des PME/ETI

La grande majorité des PME et ETI industrielles françaises n’ont pas de RSSI (Responsable de la Sécurité des Systèmes d’Information) dédié ni d’équipe conformité structurée. Ces textes peuvent rapidement sembler hors de portée, tant en compétences internes qu’en disponibilité des équipes.

« Notre rôle n’est pas de transformer une PME en grand groupe doté d’une direction cyber de quinze personnes. C’est de l’aider à prioriser intelligemment : quels produits sont réellement concernés ? Quelles exigences s’appliquent en premier ? Quelles preuves seront demandées par les donneurs d’ordre et les autorités de surveillance du marché ? On part toujours du contexte industriel réel de l’entreprise », explique Samuel Kohen.

Ne pas attendre la dernière ligne droite

Le risque, pour beaucoup de PME/ETI industrielles, est de considérer ces échéances comme suffisamment lointaines pour être traitées plus tard. C’est une erreur de calendrier que Samuel Kohen voit se répéter régulièrement sur le terrain : « Une entreprise qui attend fin 2026 ou 2027 pour s’y mettre sérieusement risque de se retrouver avec des produits commercialement prêts mais juridiquement bloqués, ou nécessitant une refonte tardive et coûteuse en pleine phase de commercialisation. Construire une documentation technique solide, structurer un processus de gestion des vulnérabilités crédible, former les équipes, tout cela prend au minimum 6 à 12 mois. »

Il y a pourtant une lecture positive de ces deux textes, que l’expert tient à mettre en avant : « Pendant des années, les fabricants qui investissaient sérieusement dans la sécurité de leurs produits étaient parfois pénalisés commercialement par la concurrence de ceux qui ne le faisaient pas. Le CRA et le Règlement Machine inversent cette dynamique. Ils transforment l’investissement en cybersécurité en avantage compétitif, dans un contexte où les donneurs d’ordres sont en train de devenir de plus en plus exigeants. »

Les fabricants qui anticipent dès maintenant, plutôt que dans l’urgence des derniers mois, ont une longueur d’avance : réglementaire, mais aussi commerciale.

Contenu proposé par AFNOR BAO