Accueil Accueil
Sécurité
09 octobre 2025

Directive RED & cybersécurité : préparez vos produits aux nouvelles exigences

On ne vous apprend rien (enfin on l’espère), mais depuis 1er août 2025, la mise à jour de la directive RED est officiellement entrée en vigueur. 

Depuis quelques années, de plus en plus d’objets connectés sont sur le marché. Mais qui dit plus de connectivité, dit aussi plus de risques. 

mise en conformite RED

Les cyberattaques sont en forte progression donc l’Union européenne a décidé de renforcer le cadre réglementaire pour mieux protéger les utilisateurs et les données personnelles.  

Ces nouvelles obligations représentent un véritable défi pour les porteurs de projets comme pour les fabricants : se mettre en conformité avec les évolutions de la directive RED, tout en préparant l’arrivée du Cyber Resilience Act (CRA) prévue pour 2027. 

Alors, comment garantir la conformité de vos produits ? Et surtout, comment anticiper les prochaines étapes réglementaires sans subir un double effort ? 

C’est ce que nous allons décrypter dans cet article. 

 

Comprendre la directive RED et ses nouvelles obligations 

C’est quoi la directive RED (Radio Equipment Directive) ? 

Commençons par le commencement : qu’est-ce que la RED et qu’est-ce qu’elle implique ? 

La Radio Equipment Directive (directive européenne 2014/53/EU) a été adoptée en 2014 et est entrée en vigueur en 2016. Elle définit les exigences essentielles que doit respecter tout appareil radio mis sur le marché européen. 

Pendant plusieurs années, cette directive concernait surtout des aspects électroniques comme la sécurité électrique ou la compatibilité électromagnétique.  

Mais depuis le 1er août 2025, une évolution importante est entrée en vigueur : les articles 3.3 (d), (e) et (f) sont désormais obligatoires. Concrètement, tout produit concerné doit répondre à des exigences précises en matière de cybersécurité pour pouvoir obtenir le marquage CE.  

Alors comment on s’y retrouve ? 

Pour guider les fabricants, une norme harmonisée, l’EN 18031, détaille la marche à suivre : analyses de risques, documentation technique, mise en œuvre de mécanismes de protection, tests… Bref, tout ce qu’il faut pour prouver que le produit respecte bien les nouvelles exigences. 

 

Quels produits sont concernés ? 

Tous les appareils capables de se connecter à Internet, que ce soit directement (Wi-Fi, LTE…) ou indirectement (par exemple un produit Bluetooth qui communique avec un smartphone).
Cela inclut notamment les routeurs, objets connectés, solutions domotiques, jouets intelligents, etc. 

À noter : cette exigence s’applique par unité mise sur le marché. Autrement dit, chaque exemplaire après le 1er août 2025 doit être conforme, même s’il s’agit d’un modèle existant depuis plusieurs années. 

 

Quelles exceptions ? 

Certains secteurs ont déjà leurs propres règles de cybersécurité, et ne sont donc pas concernés par la RED (la liste de ces secteurs n’est toutefois pas exhaustive) : 

  • Aéronautique
  • Médical
  • Militaire / Défense
  • Transport
  • Télépéages

 

Qu’est-ce que la mise à jour de la RED change concrètement ? 

Jusqu’ici, la cybersécurité relevait surtout des bonnes pratiques volontaires des fabricants. Avec la mise à jour de la RED, elle devient une condition réglementaire obligatoire pour vendre un produit dans l’UE.  

En résumé : si votre produit est connecté directement ou indirectement à Internet et qu’il est mis sur le marché après le 1er août 2025 dans l’UE, il entre dans le périmètre de la RED. 

 

Conformité et responsabilités : qui doit agir ? 

Maintenant qu’on a vu ce que la RED implique, une question se pose : qui porte la responsabilité de la conformité ? 

C’est simple : le fabricant est le seul responsable, c’est-à-dire celui qui met le produit sur le marché. C’est lui qui doit garantir que son produit respecte les exigences de la RED et donc obtenir le marquage CE.
Cela signifie que si un produit n’est pas conforme, c’est le fabricant qui sera tenu responsable vis-à-vis des autorités et du marché. 

En revanche, le fabricant peut se faire accompagner par des prestataires spécialisés dans tout le processus. C’est justement là que nous intervenons, à leurs côtés. 

Pour nous, la conformité ne doit pas être vécue comme une contrainte ou une étape de fin de parcours. Elle fait partie intégrante de la qualité d’un produit et doit être pensée dès la conception. 

 

Comment appliquer les exigences cybersécurité de la directive RED ? 

Les articles 3.3 (d), (e) et (f) de la RED ne sont pas de simples ajouts réglementaires. 
Ils répondent à une question simple : comment éviter qu’un objet connecté devienne une porte d’entrée pour des menaces externes ? 

Qu’est-ce qu’on protège ? 

La mise à jour de la RED définit trois grands axes de protection pour que les équipements radios soient construits de manière à garantir : 

  • La protection des réseaux (d) : veiller qu’ils n’endommagent pas le réseau ni ne fassent mauvais usage des ressources du réseau, provoquant une dégradation inacceptable du service. 
  • La protection des données personnelles des utilisateurs (e) : s’assurer qu’ils comportent des garanties pour la protection des données à caractère personnel et de la vie privée de l’utilisateur et de l’abonné. 
  • La protection contre la fraude (f) : soutenir certaines fonctionnalités assurant la protection contre la fraude. 

Il ne s’agit pas seulement de sécuriser l’appareil, mais aussi son environnement réseau et les données qu’il manipule notamment lorsqu’il s’agit de données personnelles ou de transactions financières. 

 

De quoi on se protège ? 

Les menaces sont variées et bien réelles : 

  • cyberattaques ciblant les réseaux, 
  • fraudes et détournements d’usage, 
  • intrusions dans les systèmes, 
  • exfiltration ou vol de données personnelles, 
  • compromission du firmware (logiciel embarqué). 

En bref, toutes ces attaques qui, sans protection adaptée, peuvent transformer un produit connecté en faille de sécurité ouverte. 

 

Comment on se protège ? 

La RED impose que la sécurité soit intégrée dès la conception du firmware, c’est ce qu’on appelle le Secure by Design.
Cela passe par des mécanismes de protection concrets, à savoir : 

  • Contrôle d’accès et authentification pour empêcher les connexions non autorisées, 
  • Mises à jour sécurisées afin de corriger rapidement les failles découvertes, 
  • Stockage et communications sécurisés pour protéger les données sensibles et confidentielles, 
  • Journalisation des événements pour tracer ce qu’il se passe, 
  • Suppression des données personnelles en lien avec la RGPD, 
  • Cryptographie pour signer et chiffrer les communications et stockages critiques, 
  • Résilience des interfaces réseau pour assurer la disponibilité de service.  

L’idée est tout simplement de transformer la cybersécurité en une couche de protection intégrée, et non en un correctif ajouté après coup. 

 

Comment on prouve qu’on se protège ? 

Après avoir mis en place des mécanismes de protection, il faut pouvoir en apporter la preuve. 

1. L’auto-évaluation (articles 3.3 d/e/f) 

Le point de départ consiste à réaliser une auto-évaluation de la conformité aux exigences cybersécurité de la RED, en s’appuyant sur le standard harmonisé EN 18031. 

Cette démarche repose sur deux étapes complémentaires : 

  • L’analyse de risques : identifier les menaces potentielles, leurs impacts et les vulnérabilités du produit. 
  • L’analyse d’écarts : comparer le produit aux exigences de l’EN 18031 afin de déterminer les points à améliorer pour atteindre la conformité. 

 

2. Le dossier technique 

L’objectif est de garder une trace claire des actions réalisées et des décisions prises tout au long du processus. Pour cela, il faut disposer des éléments suivants : 

  • Un document de conception technique (analyse de risques cyber + architecture du firmware). 
  • Un rapport de tests (ce qui a été vérifié, comment, résultats). 
  • Et enfin un rapport d’auto-évaluation aux exigences de l’EN 18031 (justifications et preuves associées). 

Ces documents doivent être conservés pendant 10 ans après la mise sur le marché du produit. 

 

La conformité à la RED s’inscrit dans une démarche continue de surveillance post-marché qui accompagne tout le cycle de vie du produit. Pour cela, il faut : 

  • garder l’historique des versions (notes de mise à jour, correctifs de sécurité), 
  • réexécuter les tests pertinents quand le firmware évolue, 
  • mettre à jour la doc quand l’architecture, le firmware ou les risques changent. 

Ces étapes peuvent sembler fastidieuses, surtout quand on jongle déjà avec les contraintes techniques, calendaires et budgétaires d’un projet. Mais vous n’êtes pas seuls. 

Chez Rtone, nous vous aidons à atteindre la conformité en vous fournissant des livrables clairs et opérationnels, selon le contexte du produit : 

Pour un nouveau produit

Nous vous aidons à intégrer la cybersécurité dès la conception : 

  • mener les analyses de risques et d’écarts pour définir les exigences à couvrir, 
  • structurer et rédiger la documentation technique exigée par la réglementation, 
  • développer des firmwares conformes aux exigences de sécurité dès les premières lignes de code, 
  • rédiger les documents nécessaires à l’auto-évaluation, 
  • passer les tests de conformité et formaliser les résultats dans un rapport complet. 

 

Pour un produit existant

Nous vous accompagnons dans sa mise en conformité : 

  • actualiser les analyses de risques et d’écarts pour identifier les points non couverts, 
  • compléter ou réorganiser la documentation technique existante, 
  • mettre à jour le firmware pour corriger les écarts identifiés, 
  • compiler les justifications nécessaires à l’auto-évaluation, 
  • exécuter les tests de réévaluation et rédiger le rapport associé. 

 Au-delà de la simple mise en conformité, l’objectif est double : vous faire gagner du temps sur des aspects techniques complexes, et surtout anticiper les prochaines échéances réglementaires comme le CRA en 2027. 

Mettre en place dès aujourd’hui des bases solides en matière de sécurité demande un réel effort, mais c’est ce qui permettra d’adapter plus facilement le produit aux futures exigences. 

 

Cas pratiques : les implications pour vos produits 

Maintenant, faisons le tour des cas d’usages les plus fréquents auxquels vous pourriez être confrontés : 

Vous avez un produit déjà sur le marché avant août 2025 

En effet, si votre appareil était déjà sur le marché avant l’entrée en vigueur de la RED, vous pouvez écouler sans problème votre stock existant. En revanche, toute nouvelle mise sur le marché – même d’un produit identique – devra être conforme à la RED. 

 

Vous fabriquez un nouveau lot d’un modèle existant  

Même si le produit n’a pas changé, tout exemplaire vendu après le 1er août 2025 sera considéré comme une nouvelle mise sur le marché. Résultat : la conformité à la RED devient obligatoire pour chaque unité concernée. 

 

Vous déployez une mise à jour logicielle 

Si cette mise à jour modifie les aspects cybersécurité du produit (nouvelles fonctionnalités réseau, évolution des mécanismes d’authentification, traitement de nouvelles données personnelles, etc.), elle peut déclencher une obligation de re-certification. 

Dans ce cas, il faut mettre à jour l’analyse de risques, le document de conception technique, les tests concernés ainsi que le rapport d’auto-évaluation aux exigences de l’EN 18031, avant tout déploiement. 

 

Vous développez un nouveau produit connecté  

On ne le répètera jamais assez, c’est le moment d’intégrer la conformité aux exigences cybersécurité de la RED dès la phase de conception. Cette approche « Secure-by-design » évite les correctifs coûteux en fin de parcours et garantit un produit robuste dès sa mise sur le marché. 

 

bonnes pratiques cyber

 

Et demain ? Anticipez le Cyber Resilience Act (CRA) prévu pour 2027 

La réglementation continue d’évoluer. Le CRA, adopté en 2024 et applicable dès décembre 2027, élargit le périmètre de ces exigences : 

  • Tous les produits numériques, pas seulement les équipements radio 
  • Logiciels, SaaS, équipements filaires  
  • Responsabilité étendue sur tout le cycle de vie du produit 
  • Obligation de déclaration des failles de sécurité 

 

Pas de panique : les bonnes pratiques mises en place aujourd’hui pour la RED constituent une base solide pour le CRA. Cette continuité concerne avant tout l’équipement radio lui-même — les exigences du CRA s’appliqueront différemment pour le Cloud ou les applications mobiles.
Se préparer dès maintenant à cette roadmap de conformité, c’est éviter le double effort et maîtriser les coûts d’adaptation. 

 

 

Un peu de lecture

Des articles, des podcasts, des webinars… et surtout des conseils pratiques ! En bref, une collection de ressources pour mener à bien votre projet.

detection somnolence au volant
Tech
10 septembre 2025

IA embarquée et caméras : cas d’usage concrets pour renforcer la sécurité

Rtone rejoint House of HR
Actualités
02 juillet 2025

Rtone change de direction

projet IoT Open Source
Tech
26 mai 2025

L’open source, un atout majeur dans la conception de produits IoT

Tech
03 mars 2025

L’energy Harvesting pour des objets connectés plus durables et responsables

index egalite
Actualités
26 février 2025

Index égalité Femmes-Hommes : Rtone progresse et ne compte pas s’arrêter là !

Conception
24 février 2025

Du PoC au prototype : passer les étapes avec brio !

Tech
24 janvier 2025

Robots mobiles autonomes : pourquoi utiliser Zephyr OS ?

securite bluetooth
Sécurité
28 novembre 2024

Sécurité Bluetooth : Quel niveau de sécurité pour mon objet connecté ?

bluetooth mesh
Tech

Qu’est-ce que le Bluetooth MESH ?

dispositif medical
Secteur
22 octobre 2024

Comment réussir son projet de dispositif médical ?