Le Cyber Resilience Act concerne-t-il les sites WordPress ou PrestaShop ?

Oui, indirectement. Les éditeurs de thèmes, plugins et extensions commerciales pour WordPress ou PrestaShop sont concernés dès lors qu'ils distribuent des produits numériques dans l'UE. Les agences qui développent des solutions sur mesure doivent également s'assurer de la conformité de leurs livrables.

Quand le Cyber Resilience Act entre-t-il réellement en application ?

Le règlement a été adopté en 2024 et ses obligations principales s'appliqueront à partir du 11 décembre 2027, avec une obligation de notification des vulnérabilités active dès le 11 septembre 2026. Les éditeurs ont donc un calendrier serré pour se mettre en conformité.

Cyber Resilience Act 2026 : ce que les éditeurs web doivent savoir

Qu’est-ce que le Cyber Resilience Act ?

Le Cyber Resilience Act (CRA) est un règlement européen adopté en octobre 2024 qui impose des exigences de cybersécurité à tous les produits comportant des éléments numériques commercialisés dans l’Union européenne. C’est une première mondiale : aucun autre cadre législatif n’avait jusqu’ici couvert aussi largement la sécurité des logiciels.

Concrètement, le CRA vise les objets connectés, les applications, les systèmes d’exploitation, mais aussi — et c’est le point crucial pour notre secteur — les CMS, plugins, extensions e-commerce et logiciels SaaS.

Un calendrier à retenir

Le texte prévoit une mise en application progressive :

11 septembre 2026 : obligation de notification des vulnérabilités activement exploitées à l’ENISA (agence européenne de cybersécurité) sous 24 heures.
11 décembre 2027 : application complète de toutes les exigences (sécurité by design, mises à jour, documentation technique, marquage CE numérique).

Autrement dit, les éditeurs web disposent de moins de 18 mois avant les premières obligations concrètes.

Qui est concerné parmi les professionnels du web ?

Éditeurs de plugins et extensions

Si vous développez et commercialisez un plugin WooCommerce, un module PrestaShop ou une extension WordPress, vous êtes directement visé. Le CRA classe ces produits comme “éléments numériques” soumis aux exigences de sécurité.

Agences et développeurs sur mesure

Les agences qui livrent des solutions logicielles personnalisées (thèmes, connecteurs API, applications métier) entrent aussi dans le périmètre lorsque ces solutions sont distribuées commercialement. En revanche, les logiciels open source non commerciaux bénéficient d’une exemption — mais attention, les frontières sont étroites.

Hébergeurs et intégrateurs

Les fournisseurs d’infrastructure cloud ne sont pas directement concernés par le CRA, mais les solutions qu’ils pré-installent ou distribuent peuvent l’être.

Les obligations clés pour les éditeurs web

Voici les principales exigences à anticiper :

Sécurité dès la conception (security by design) : analyse de risques, réduction de la surface d’attaque, chiffrement des données.
Gestion des vulnérabilités : processus documenté de détection, correction et communication des failles.
Mises à jour de sécurité gratuites pendant au minimum 5 ans après la mise sur le marché.
Documentation technique : nomenclature logicielle (SBOM — Software Bill of Materials) listant tous les composants et dépendances.
Notification sous 24 h à l’ENISA en cas de vulnérabilité activement exploitée, puis rapport complet sous 72 heures.

Des sanctions dissuasives

Le CRA ne se contente pas de recommandations. Les sanctions sont alignées sur le niveau du RGPD :

Jusqu’à 15 millions d’euros d’amende.
Ou 2,5 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Possibilité de retrait du produit du marché européen.

Pour une PME éditrice de plugins générant 500 000 € de revenus annuels, l’amende pourrait donc atteindre 12 500 € — un montant significatif — tandis que pour les acteurs majeurs, on parle de millions.

Comment se préparer dès maintenant ?

Auditer l’existant

Commencez par dresser un inventaire de vos produits numériques commercialisés et de leurs dépendances. Un SBOM est un excellent point de départ.

Structurer la gestion des vulnérabilités

Mettez en place un processus clair : veille CVE, politique de correctifs, canal de signalement pour les chercheurs en sécurité (coordinated vulnerability disclosure).

Se faire accompagner

Chez Lueur Externe, agence web certifiée PrestaShop et AWS Solutions Architect depuis 2003, nous accompagnons déjà nos clients dans la sécurisation de leurs plateformes e-commerce et sites WordPress. L’arrivée du CRA renforce l’importance d’intégrer la sécurité applicative dès la phase de conception de chaque projet.

Conclusion : anticipez plutôt que subissez

Le Cyber Resilience Act marque un tournant réglementaire pour tout l’écosystème numérique européen. Pour les éditeurs web, agences et développeurs, attendre 2027 serait une erreur : les obligations de notification débutent dès septembre 2026, et la mise en conformité demande du temps.

L’équipe de Lueur Externe peut vous aider à auditer vos solutions, structurer votre gestion des vulnérabilités et sécuriser vos développements. N’attendez pas la date butoir pour agir.

👉 Contactez-nous pour un audit de conformité et de sécurité web