Security Academy
Security Academy

Mise en conformité EN 18031 : obligations et accompagnement

6 Fév 2026 | Security

Comment se mettre en conformité avec la norme EN 18031 obligatoire de cybersécurité IoT ?

La norme EN 18031 s’impose aujourd’hui comme une référence incontournable en matière de cybersécurité des produits IoT. Son entrée en application s’inscrit dans un contexte de renforcement du cadre réglementaire européen. Pour les fabricants et industriels, la mise en conformité EN 18031 n’est plus une option mais une condition d’accès au marché.

Cet article a pour objectif d’expliquer ce qu’est la norme EN 18031, qui est concerné, pourquoi elle est désormais incontournable et comment aborder concrètement la mise en conformité, avec un éclairage sur l’approche portée par LOOTUS SECURITY.

Qu’est-ce que la norme EN 18031 et ses grands principes ?

L’EN 18031 est une norme européenne harmonisée développée pour répondre aux exigences en matière de cybersécurité répertoriées dans l’article 3.3 (d), (e) et (f) de la directive RED (Radio Equipment Directive). Elle vise alors à définir des exigences communes de cybersécurité applicables aux équipements radio connectés à Internet, afin de renforcer leur résilience face aux menaces numériques.

Son objectif principal

Son objectif est double et consiste à la fois de réduire les risques d’atteinte au réseau, aux données et aux utilisateurs, mais également d’imposer une approche de sécurité intégrée dès la conception des produits.

Dans l’écosystème réglementaire européen, l’EN 18031 joue un rôle structurant, elle constitue aujourd’hui un socle technique reconnu, aligné avec les exigences émergentes du Cyber Resilience Act (CRA).

Ses grands principes reposent notamment sur :

  • La protection contre les accès non autorisés ;
  • L’authentification et la gestion des identités ;
  • La sécurisation des communications ;

La limitation de l’exposition aux vulnérabilités connues.

Les trois principales normes

La norme EN 18031 est accessible en 3 volets afin de catégoriser les exigences soumises selon l’équipement ciblé :

  • EN 18031-1 : s’applique à l’article 3.3 (d) pour les dispositifs connectés à Internet ;
  • EN 18031-2 : s’applique à l’article 3.3 (e) pour les dispositifs sans fil traitant des données personnelles, jouets et dispositifs portables ;
  • EN 18031-3 : s’applique à l’article 3.3 (f) pour les appareils sans fil traitant de la monnaie virtuelle ou de la valeur monétaire.

Des familles d’exigences se distingues dans les 3 volets tout en s’adaptant aux obligations soumises selon l’équipement ciblé quand a d’autre s’applique uniquement dans le volet concerné.

Voici le résumé de ces grandes familles :

  • [ACM] : Mécanisme de contrôle d’accès (Volets 1, 2 et 3)
  • [AUM] : Mécanisme d’authentification (Volets 1, 2 et 3)
  • [SUM] : Mécanisme de mise à jour sécurisé (Volets 1, 2 et 3)
  • [SSM] : Mécanisme de stockage sécurisé (Volets 1, 2 et 3)
  • [SCM] : Mécanisme de communication sécurisée (Volets 1, 2 et 3)
  • [RLM] : Mécanisme de résilience (Volet 1)
  • [NMM] : Mécanisme de surveillance du réseau (Volet 1)
  • [TCM] : Mécanisme de contrôle du trafic (Volet 1)
  • [DLM] : Mécanisme de suppression (Volet 2)
  • [UNM] : Mécanisme de notification à l’utilisateur (Volet 2)
  • [LGM] : Mécanisme de journalisation (Volets 2 et 3)
  • [CCK] : Clés cryptographiques confidentielles (Volets 1, 2 et 3)
  • [GEC] : Capacités générales de l’équipement (Volets 1, 2 et 3)
  • [CRY] : Cryptographie (Volets 1, 2 et 3)

EN 18031 obligatoire, ce qui a changé depuis son entrée en application

Avec son intégration dans le cadre réglementaire européen, la norme EN 18031 est désormais une voie privilégiée de démonstration de conformité aux exigences de cybersécurité applicables aux équipements radio.

Concrètement, cela signifie que :

  • La conformité conditionne l’accès au marché européen ;
  • La responsabilité du fabricant est directement engagée ;
  • L’absence de conformité expose à des risques réglementaires, commerciaux et réputationnels.

Depuis l’été 2025, les demandes de mise en conformité se multiplient, notamment en raison :

De la proximité des échéances liées au CRA.

De la montée en maturité des autorités de surveillance du marché ;

De la pression exercée par les donneurs d’ordre ;

À qui s’applique la norme EN 18031 ?

domotique

La norme EN 18031 concerne principalement :

  • Les équipements radio connectés à Internet (Wi-Fi, Bluetooth, LTE…) ;
  • Les produits IoT destinés à un usage professionnel ou industriel ;
  • Les systèmes intégrant des fonctions de communication sans fil.

Elle impacte plusieurs acteurs :

  • Les fabricants, en tant que responsables de la conformité ;
  • Les intégrateurs, tenus à une diligence raisonnable sur les composants utilisés ;
  • Indirectement, les partenaires de la chaîne d’approvisionnement.

Des cas concrets incluent par exemple des passerelles industrielles, des capteurs connectés, des équipements embarqués communicants ou des produits intégrant des modules radio tiers.

EN 18031 VS CRA, faut-il se conformer aux deux ?

La norme EN 18031 et le Cyber Resilience Act ne s’opposent pas, ils s’inscrivent dans une trajectoire commune.

L’EN 18031 est une norme harmonisée, offrant une présomption de conformité à certaines exigences réglementaires.

Tandis que le CRA est un règlement européen, juridiquement contraignant, couvrant l’ensemble du cycle de vie des produits comportant des éléments numériques.

Se conformer à l’EN 18031 aujourd’hui permet :

  • De structurer une démarche de sécurité by design ;
  • D’anticiper les exigences du CRA prévues à partir de 2026–2027 ;
  • De limiter les efforts de mise à niveau futurs.

À long terme, la conformité produit en Europe repose sur une vision cohérente : normes techniques, réglementation et pratiques d’ingénierie doivent converger.

Comment se mettre en conformité avec la norme EN 18031 ?

La mise en conformité repose sur une démarche structurée et progressive en 5 étapes clés :

  1. Évaluer la maturité cybersécurité des produits existants ;
  2. Identifier les écarts par rapport aux exigences de la norme ;
  3. Mettre en œuvre les mesures techniques nécessaires, au niveau matériel, logiciel et réseau ;
  4. Constituer la documentation attendue, traçable et cohérente ;
  5. Valider la robustesse par des tests objectifs, notamment de sécurité.

Cette approche permet d’ancrer la conformité dans la réalité technique du produit, et non dans une logique purement déclarative.

Pourquoi se faire accompagner pour la conformité EN 18031 ?

La norme EN 18031 soulève des enjeux techniques complexes, tels que l’interprétation fine des exigences, l’articulation entre matériel / Firmware et réseau, mais également les risques d’une conformité partielle ou uniquement documentaire.

Pour cela l’accompagnement d’un expert permet :

  • De réduire les délais de mise en conformité ;
  • De sécuriser l’accès au marché ;
  • De renforcer la crédibilité réglementaire du produit.

Comment LOOTUS SECURITY accompagne la mise en conformité EN 18031 ?

LOOTUS SECURITY s’appuie sur une expertise reconnue en cybersécurité embarquée et IoT, couvrant aussi bien les architectures MCU que les systèmes Linux embarqué.

Son approche repose sur :

  • La maîtrise des référentiels techniques et réglementaires ;
  • Une évaluation approfondie des produits ;
  • Un accompagnement structuré vers la conformité ;
  • Une validation objective de la robustesse des mesures mises en place.

La conformité est abordée non comme une contrainte, mais comme un levier de confiance, de performance et de pérennité produit.

EN 18031, une obligation aujourd’hui, un avantage demain !

La conformité aux exigences de la directive RED en s’appuyant sur la norme EN 18031 n’est plus optionnelle pour les acteurs des équipements communiquant. Anticiper cette obligation permet de réduire les risques, de sécuriser les mises sur le marché et d’inscrire les produits dans une dynamique durable. Engager dès maintenant une démarche structurée est un choix stratégique pour transformer la contrainte réglementaire en avantage concurrentiel. C’est aussi une réponse à l’anticipation du CRA qui généralise la cybersécurité des IoT et plus généralement des systèmes embarqués.

Vous souhaitez évaluer la conformité de vos systèmes embarqués communiquant imposé par la Directive RED en lien avec la norme EN 18031 ? Contactez nos experts en cybersécurité embarquée.

Catégories