Calendrier d'application du CRA
Le Cyber Resilience Act est entré en vigueur en 2024, l'essentiel des obligations s'appliquant à partir de décembre 2027. Les fabricants qui placent des produits connectés sur le marché de l'UE doivent prouver des pratiques de conception sécurisée, assurer le traitement des vulnérabilités et maintenir la capacité de diffuser des mises à jour de sécurité pendant toute la durée de vie attendue du produit.
Conséquences côté production :
- Application stricte du firmware signé
- Identité unitaire pour le suivi du SBOM et des mises à jour de sécurité
- Flux de provisionnement sécurisés qui n'exposent jamais les clés racines
- Dossiers de test documentés qui tiennent face à un audit du régulateur
Ce sont des décisions de ligne de production prises plusieurs années avant la première expédition. Les acheteurs qui attendent l'entrée en application du CRA pour organiser leur production se retrouveront pris de court.
Adoption du protocole Matter
Matter (anciennement Project CHIP) regroupe peu à peu les protocoles de la maison intelligente et de la gestion technique du bâtiment. Les équipes de production qui livrent de l'éclairage intelligent, des commandes CVC et des passerelles IoT doivent de plus en plus prendre en charge la mise en service Matter dès la sortie d'usine.
La réalité côté production : chaque appareil Matter exige un identifiant unique et une identité vérifiable. Les données de mise en service doivent être présentes dès la première mise sous tension. Il s'agit d'un flux de provisionnement unitaire, pas d'une étape post-vente.
Montée en puissance de l'eSIM
L'adoption de la SIM embarquée (eSIM) supprime l'étape logistique de la SIM physique dans la fabrication d'objets IoT cellulaires. Les profils se téléchargent et s'installent à distance. Bonne nouvelle pour la complexité du produit fini.
La conséquence côté production : le provisionnement passe de l'insertion physique d'une SIM au téléchargement électronique d'un profil. La ligne doit toujours vérifier la connectivité cellulaire et enregistrer l'IMEI de chaque unité, mais toute la chaîne d'approvisionnement liée à la SIM disparaît.
Identité unitaire : ce n'est plus une option
Dans l'IoT, la gestion technique du bâtiment, l'énergie et le contrôle d'accès, l'identité unitaire est passée du statut d'option à celui d'exigence. Les acheteurs demandent si chaque unité expédiée porte une identité cryptographique unique, un numéro de série rattaché au lot de production et une version de firmware vérifiable une fois l'unité sur le terrain.
Cette évolution alimente la demande pour des lignes capables d'assurer un provisionnement sécurisé en ligne avec la PCBA, avec AOI en interne et un acheminement coordonné vers le test fonctionnel (sur la même ligne ou via un laboratoire de test partenaire qui exécute le plan de test du client). Les lignes qui ne disposent pas de cette intégration finissent par la rajouter après coup, ou perdent des contrats au profit d'opérations qui la coordonnent déjà proprement.
Sources
- Parlement européen, Cyber Resilience Act (règlement UE 2024/2847)
- Connectivity Standards Alliance, spécification Matter
- GSMA, spécifications et rapports d'adoption de l'eSIM
- ETSI EN 303 645 (socle de sécurité pour l'IoT grand public)