Cybersécurité

Reporting de vulnérabilités dans le Cyber Resilience Act : une fausse bonne idée ?

Ce règlement européen a pour vocation d’améliorer la sécurité des produits et services, avec composants numériques, en imposant des exigences à leurs fabricants et distributeurs. C’est un effort louable. Ce serait toutefois anormal si un texte avec cette ambition n’était pas perfectible. Focus sur ce processus qui interroge.

Vulnérabilités, incidents : la notification, c’est maintenant. Parmi les exigences de ce règlement sur le point d’être adopté, on note celles liées à la divulgation des vulnérabilités. L’article 11 du Cyber Resilience Act (CRA) impose aux fabricants/éditeurs de notifier les vulnérabilités activement exploitées à l’Agence européenne pour la cybersécurité (ENISA) et au CSIRT national, désigné en tant que coordinateur.

Cette notification se fera par le biais d’un « guichet unique », une plateforme dédiée développée et opérée par l’ENISA, dans un délai de 24 heures après en avoir eu connaissance. Des éléments complémentaires peuvent être fournis dans les 72 heures puis un rapport final au plus tard deux semaines après la mise à disposition d’un correctif ou mesure palliative.

Une procédure quasi-identique concerne les incidents, sous-entendu de sécurité, dont l’impact est évalué à « sévère », soit à une incidence significative sur le produit/service visé. Le délai de soumission du rapport final est ici porté à un mois après la clôture de l’incident.

Une difficulté majeure qu’on peut déjà anticiper est la confusion (opérationnelle) entre notifier une vulnérabilité activement exploitée, causant des problèmes, et un incident de sécurité résultant de l’exploitation d’une vulnérabilité. Bonnet blanc, blanc bonnet, et double reporting ? Et quelle articulation avec les obligations de notification d’incidents de sécurité dans la directive NIS2 quand les périmètres se rejoignent ?

Source

Veille-cyber

Recent Posts

Sécurité des mots de passe : bonnes pratiques pour éviter les failles

Sécurité des mots de passe : bonnes pratiques pour éviter les failles La sécurité des…

1 semaine ago

Ransomware : comment prévenir et réagir face à une attaque

Ransomware : comment prévenir et réagir face à une attaque Le ransomware est l’une des…

1 semaine ago

Cybersécurité et e-commerce : protéger vos clients et vos ventes

Cybersécurité et e-commerce : protéger vos clients et vos ventes En 2025, les sites e-commerce…

2 semaines ago

Les ransomwares : comprendre et se défendre contre cette menace

Les ransomwares : comprendre et se défendre contre cette menace En 2025, les ransomwares représentent…

2 semaines ago

RGPD et cybersécurité : comment rester conforme en 2025

RGPD et cybersécurité : comment rester conforme en 2025 Depuis sa mise en application en…

2 semaines ago

VPN : un outil indispensable pour protéger vos données

VPN : un outil indispensable pour protéger vos données Le VPN, ou « Virtual Private…

2 semaines ago

This website uses cookies.