Face à la montée des menaces hybrides, l’Europe accélère l’alignement des exigences de cybersécurité pour les produits contenant des éléments numériques (PWDEs). Publié en octobre 2024, le Règlement européen Cyber Resilience Act (CRA) impose un socle d’exigences de cybersécurité d’ordre technique et organisationnel pour mettre sur le marché européen tout produit intégrant des éléments numériques et qui soit connecté et/ou connectable. L’objectif est d’harmoniser et de renforcer la cybersécurité de ces produits (hardware et software), de leur design jusqu’à la gestion de leur cycle de vie.
Le CRA cible tout particulièrement les produits dont les usages sont sensibles avec deux catégories de produits : « Critiques » et « Importants », incluant notamment les produits d’identification et d’authentification pour la gestion de l’identité et le contrôle d’accès.
Ce règlement européen doit entrer en application au premier semestre 2027. Pour faciliter sa mise en œuvre, la Commission européenne a publié en février dernier une décision d’exécution demandant aux trois organismes de normalisation européens (CEN, CENELEC et ETSI) d’élaborer pas moins de 41 normes harmonisées, dont la norme n°16 dédiée aux PWDEs de sécurité physique électronique et au contrôle d’accès.
Dans ce contexte, SPAC Alliance a constitué le groupe de travail HESTIA afin de contribuer activement à l’élaboration de la future norme harmonisée n°16.
L’impact du CRA sur le marché
La conformité aux exigences de cybersécurité du CRA sera nécessaire pour obtenir le marquage CE à compter de 2027. L’impact de ce règlement est donc stratégique pour l’ensemble des acteurs de la sécurité en Europe.
- Fabricants et éditeurs de logiciels : analyse de risque, documentation, intégration de la sécurité dès la conception, mises à jour de sécurité, évaluation de cybersécurité, gestion des vulnérabilités, avec une obligation de conformité, voire même de certifications, selon la classe de produit.
- Intégrateurs et importateurs : intégration de composants conformes, gestion de la chaîne d’approvisionnement et clarification des responsabilités liées aux mises à jour et au maintien en condition de sécurité des produits déployés sur site.
- Utilisateurs finaux : renforcement des niveaux de cybersécurité des systèmes de sécurité physique électronique et de contrôle d’accès, intensification du déploiement de technologies ouvertes souveraines et des standards, interopérabilité améliorée, transparence sur les niveaux de sécurité et la gestion des vulnérabilités.
Le CRA apporte donc les outils nécessaires pour élever et homogénéiser les niveaux de sécurité en Europe. La conformité des PWDEs aura ainsi un rôle crucial pour permettre aux entités critiques, essentielles et importantes de se mettre en conformité avec les exigences des directives NIS 2 et REC.
La norme harmonisée n°16
Sur les 41 normes attendues, les 15 premières sont applicables à tous les produits (normes horizontales). Les autres concernent des usages spécifiques (normes verticales), à l’instar de la norme n°16 qui vise spécifiquement les systèmes de gestion des identités, incluant les lecteurs d’authentification et de contrôle d’accès, y compris biométriques.
L’objectif des organismes européens de normalisation est de traduire les exigences essentielles du CRA en prescriptions techniques applicables et vérifiables pour chaque produit et selon chaque usage. Le résultat attendu est un référentiel clair pour les fabricants et éditeurs, mais aussi pour les intégrateurs, les importateurs et les utilisateurs finaux.
SPAC Alliance et ses membres sont historiquement impliqués dans l’accompagnement des institutions nationales et européennes afin d’assurer la correspondance entre le cadre réglementaire et la réalité du terrain. SPAC Alliance s’est donc positionnée dès début 2025 sur l’élaboration de cette norme n°16, en créant un groupe de travail dédié, le projet HESTIA.
« Sans une norme claire, chaque acteur peut interpréter différemment les exigences. Sans un référentiel harmonisé, une évaluation de la conformité cohérente et homogène est impossible. Cette norme n°16 doit devenir un langage commun, aussi lisible par l’industrie que par les organismes d’évaluation de la conformité. »
Mickaël Wajnglas, Secrétaire Général SPAC Alliance
HESTIA : une démarche de pré-normalisation structurée
HESTIA est un projet de pré-normalisation, et il a pu voir le jour grâce à l’ensemble des membres de SPAC Alliance qui ont soutenu notre démarche et nous ont permis de remporter l’appel à projet du NCC-FR (ANSSI) et de Bpifrance, porté par notre membre fondateur STid. Ce projet, subventionné dans le cadre du programme France 2030 et géré au sein de notre syndicat professionnel, avait deux objectifs précis :
- La rédaction d’une spécification technique de pré-normalisation définissant la structure, le périmètre et les exigences de la future norme harmonisée européenne sur la cybersécurité du contrôle d’accès, de la gestion des identités et, plus largement, des produits de l’écosystème de la sécurité physique électronique. L’enjeu était de pouvoir initier l’intégration d’exigences marché conformes au CRA et aux recommandations de l’ANSSI.
- Le dépôt du New Work Item (NWI), c’est-à-dire la demande officielle de création de norme auprès des organismes de normalisation, incluant la spécification technique de pré-normalisation, afin d’initier la création de la future norme européenne et de se positionner activement dans son élaboration.
En parallèle, dans le cadre du projet HESTIA, notre membre fondateur CLR Labs (également leader du groupe de travail HESTIA) s’est positionné à la fois comme rapporteur et éditeur de cette norme n°16, à l’occasion d’un appel d’offres du CEN-CENELEC.
De son côté, SPAC Alliance a joué un rôle actif dans les consultations publiques et les consultations de groupes d’experts de la Commission européenne, contribuant à clarifier le périmètre matériel et logiciel des normes harmonisées.
HESTIA : un succès collectif
Le projet HESTIA de pré-normalisation s’est officiellement terminé le 1er octobre 2025.
Au bout de huit mois de travaux, SPAC Alliance et ses membres ont réussi à :
- Élaborer une spécification de pré-normalisation.
- Participer aux consultations de la Commission européenne.
- Déposer le NWI auprès de l’AFNOR.
- Positionner CLR Labs comme rapporteur et éditeur de la future norme européenne au sein du Working Group (WG) 17 du Technical Committee (TC) 224 du Comité européen de normalisation (CEN).
- Rejoindre le groupe d’experts CEN pour participer à l’élaboration de la future norme.
Aujourd’hui, la norme n°16 est en cours d’élaboration au sein du WG 17 CEN/TC 224.
Le projet HESTIA nous a permis de rassembler le marché autour d’un projet stratégique et structurant et de nous positionner comme leader de la future norme européenne de cybersécurité des produits de l’écosystème de la sécurité physique électronique.
Au suivant
En rassemblant experts, industriels et institutions, le groupe de travail HESTIA a posé les bases d’une norme précise, complète et garantissant les plus hauts niveaux de sécurité. C’est une étape importante pour l’écosystème de la sécurité physique et cyber, et une fierté pour SPAC Alliance et ses membres.
Cette nouvelle réussite collective s’inscrit pleinement dans la démarche globale de standardisation menée par l’Alliance. Elle ouvre la voie à la dernière étape de notre projet stratégique : la normalisation EN du standard SSCP (Smart & Secure Communication Protocol), ce qui constituera une pierre de plus pour la construction de la souveraineté de la sécurité européenne.
Vous souhaitez en savoir plus sur le CRA, les catégories de produits, les exigences essentielles ou encore sur les méthodes d’évaluation de la conformité ? Un document complet de formation est disponible dans notre librairie pour les adhérents au Club SPAC Alliance (c’est l’occasion de nous rejoindre !).
