Cyber Resilience Act : enjeux 2026 pour les produits CAN
trait de séparation
Temps de lecture : 6 minutes • Mai 2026
EU Cyber Resilience Act : Ce que doivent savoir les fabricants et intégrateurs CAN en 2026
Un décryptage clair des enjeux pour les produits et réseaux basés sur le CAN.
L’Union européenne renforce progressivement son arsenal réglementaire en cybersécurité, et le EU Cyber Resilience Act (CRA) s’impose désormais comme une référence incontournable pour tous les produits comprenant des éléments numériques. Pour les fabricants, intégrateurs et concepteurs travaillant avec le Controller Area Network (CAN), cette réglementation change profondément la manière d’aborder la sécurité des systèmes.
Selon le CiA (CAN in Automation), tous les produits utilisant le CAN et placés sur le marché européen sont concernés, sauf cas particuliers où une législation sectorielle spécifique prend le relais.
Pourquoi le CAN est-il concerné par le Cyber Resilience Act ?
Le CAN est omniprésent dans de nombreuses industries : automobile, machines industrielles, équipements médicaux, mobilité légère, etc. Pourtant, ses protocoles de couche liaison (CC, FD, XL) et ses couches applicatives (CANopen CC/FD) ne comportent aucune mesure de cybersécurité intrinsèque. [can-cia.org]
Le CRA exige donc que :
Le CRA exige donc que :
- chaque produit soit soumis à une analyse de risque cybersécurité,
- un niveau de sécurité (SL) adapté soit défini selon la série de normes IEC 62443.
Quels niveaux de sécurité viser ?
Le CiA estime que :
- SL 2 est atteignable avec un effort minimal sur la plupart des réseaux CAN disposant d’un accès physique limité ou contrôlé.
- SL 3, plus exigeant, nécessite l’intégration de mécanismes cryptographiques, soit :
- au niveau trame CAN (couche liaison),
- au niveau messages CANopen (couche application).
Mesures techniques recommandées par CiA
Le CiA (CAN In Automation) identifie plusieurs pistes pour répondre aux obligations du CRA :
1. Contrôle des accès
2. Sécurité périphérique
Protéger toutes les passerelles vers d’autres réseaux via pare-feux ou restrictions.
3. Surveillance réseau
Un security monitoring entity peut largement réduire le risque d’attaque en :
4. Fonctions de sécurité essentielles
Si des fonctions cryptographiques doivent être introduites, elles peuvent souvent se limiter à :
Ces éléments sont actuellement discutés au sein du groupe SIG HLP cybersecurity de CiA, en vue d’intégration future dans les spécifications CANopen CC et CANopen FD.
1. Contrôle des accès
- Limiter l’accès physique aux réseaux CAN.
- Désactiver ou protéger les interfaces externes (ex. JTAG, ports de diagnostic).
2. Sécurité périphérique
Protéger toutes les passerelles vers d’autres réseaux via pare-feux ou restrictions.
3. Surveillance réseau
Un security monitoring entity peut largement réduire le risque d’attaque en :
- surveillant le trafic,
- détectant les anomalies,
- envoyant des alertes.
4. Fonctions de sécurité essentielles
Si des fonctions cryptographiques doivent être introduites, elles peuvent souvent se limiter à :
- l’authentification des nœuds CAN,
- la protection de la configuration des appareils (ex. mots de passe),
- un mécanisme de mise à jour logiciel sécurisé, requis dans la plupart des cas.
Ces éléments sont actuellement discutés au sein du groupe SIG HLP cybersecurity de CiA, en vue d’intégration future dans les spécifications CANopen CC et CANopen FD.
Les échéances à retenir
Le Cyber Resilience Act est en application progressive, et plusieurs dates clés doivent être intégrées dans vos processus :
- 11 juin 2026 : Début des évaluations par des Organismes Notifiés (CAB).
- 11 septembre 2026 : Obligation de rapporter les vulnérabilités dans les 72 h.
- 11 décembre 2027 : Conformité totale requise pour tous les produits mis sur le marché.
- logiciels open source gratuits,
- dispositifs médicaux (car déjà couverts par MDR/IVDR),
- véhicules (réglementation spécifique),
- domaines liés à la défense ou la sécurité nationale.
Conclusion : une réglementation qui impose une évolution nécessaire
Le Cyber Resilience Act marque une étape majeure dans la sécurisation des technologies embarquées en Europe. Pour l’écosystème CAN, cela se traduit par :
la plupart des réseaux CAN peuvent atteindre les niveaux de sécurité requis avec des mesures raisonnables et ciblées, sans basculer systématiquement vers la cryptographie lourde.
Le CiA apporte un soutien actif à ses membres pour faciliter cette transition : une bonne nouvelle pour les acteurs industriels face à cette nouvelle exigence réglementaire.
- plus de rigueur dans la gestion du risque,
- l'obligation d’intégrer des mécanismes de cybersécurité adaptés,
- la nécessité d’anticiper sur la maintenance, la surveillance et la mise à jour des produits.
la plupart des réseaux CAN peuvent atteindre les niveaux de sécurité requis avec des mesures raisonnables et ciblées, sans basculer systématiquement vers la cryptographie lourde.
Le CiA apporte un soutien actif à ses membres pour faciliter cette transition : une bonne nouvelle pour les acteurs industriels face à cette nouvelle exigence réglementaire.
Les solutions ISIT pour accompagner votre conformité au EU Cyber Resilience Act
Face aux nouvelles exigences imposées par le Cyber Resilience Act, ISIT accompagne les industriels dans la mise en œuvre d’une cybersécurité robuste sur leurs systèmes embarqués et réseaux CAN. Nos experts vous apportent un soutien complet, de l’audit à la mise en œuvre opérationnelle.
Produits : sécuriser vos équipements et réseaux
ISIT propose une gamme de solutions technologiques éprouvées pour renforcer la sécurité des systèmes basés sur le CAN et autres architectures embarquées :
Services : expertise et accompagnement sur mesure
Nos ingénieurs vous aident à répondre efficacement aux obligations du CRA :
Formations : monter en compétence sur le CRA et la cybersécurité CAN
ISIT forme vos équipes aux enjeux et exigences réglementaires actuels :
Produits : sécuriser vos équipements et réseaux
ISIT propose une gamme de solutions technologiques éprouvées pour renforcer la sécurité des systèmes basés sur le CAN et autres architectures embarquées :
- outils d’analyse et de diagnostic réseau,
- solutions de monitoring sécurité pour détecter les comportements anormaux,
- stacks de communication et middlewares conçus selon les meilleures pratiques cybersécurité > Pile CANopen Safety Certifiable :
Services : expertise et accompagnement sur mesure
Nos ingénieurs vous aident à répondre efficacement aux obligations du CRA :
- audits de sécurité et évaluations de risques (IEC 62443, ISO 21434, etc.),
- définition d'architectures sécurisées adaptées à vos produits ou réseaux CAN,
- accompagnement à la mise en conformité CRA : documentation, processus, revues, tests,
- intégration et validation de mécanismes de sécurité (authentification, durcissement, monitoring).
Formations : monter en compétence sur le CRA et la cybersécurité CAN
ISIT forme vos équipes aux enjeux et exigences réglementaires actuels :
- Formation dédiée au EU Cyber Resilience Act et à son application sur les systèmes embarqués,
- Formations techniques sur la cybersécurité des réseaux CAN et CANopen
- Formations sur les bonnes pratiques normatives (IEC 62443, Secure Development Lifecycle, etc.),
Ces articles peuvent vous intéresser
CRA : Sécurisez vos logiciels avec le SBOM
Cyber Resilience Act (CRA) : L’innovation incontournable pour sécuriser votre chaîne logicielle grâce au SBOM
CRA 2026 : Alerte aux fabricants EtherNet/IP
Êtes-vous prêt pour le Cyber Resilience Act ( CRA )?
Guide de conformité CRA selon QNX
La loi européenne sur la cyber résilience (CRA) a fait un pas de plus vers la réalité
Cyber Resilience Act (CRA) : ce que les éditeurs de logiciels doivent savoir