prestataire cyber
Ce règlement européen a pour vocation d’améliorer la sécurité des produits et services, avec composants numériques, en imposant des exigences à leurs fabricants et distributeurs. C’est un effort louable. Ce serait toutefois anormal si un texte avec cette ambition n’était pas perfectible. Focus sur ce processus qui interroge.
Vulnérabilités, incidents : la notification, c’est maintenant. Parmi les exigences de ce règlement sur le point d’être adopté, on note celles liées à la divulgation des vulnérabilités. L’article 11 du Cyber Resilience Act (CRA) impose aux fabricants/éditeurs de notifier les vulnérabilités activement exploitées à l’Agence européenne pour la cybersécurité (ENISA) et au CSIRT national, désigné en tant que coordinateur.
Cette notification se fera par le biais d’un « guichet unique », une plateforme dédiée développée et opérée par l’ENISA, dans un délai de 24 heures après en avoir eu connaissance. Des éléments complémentaires peuvent être fournis dans les 72 heures puis un rapport final au plus tard deux semaines après la mise à disposition d’un correctif ou mesure palliative.
Une procédure quasi-identique concerne les incidents, sous-entendu de sécurité, dont l’impact est évalué à « sévère », soit à une incidence significative sur le produit/service visé. Le délai de soumission du rapport final est ici porté à un mois après la clôture de l’incident.
Une difficulté majeure qu’on peut déjà anticiper est la confusion (opérationnelle) entre notifier une vulnérabilité activement exploitée, causant des problèmes, et un incident de sécurité résultant de l’exploitation d’une vulnérabilité. Bonnet blanc, blanc bonnet, et double reporting ? Et quelle articulation avec les obligations de notification d’incidents de sécurité dans la directive NIS2 quand les périmètres se rejoignent ?
Sécurité des mots de passe : bonnes pratiques pour éviter les failles La sécurité des…
Ransomware : comment prévenir et réagir face à une attaque Le ransomware est l’une des…
Cybersécurité et e-commerce : protéger vos clients et vos ventes En 2025, les sites e-commerce…
Les ransomwares : comprendre et se défendre contre cette menace En 2025, les ransomwares représentent…
RGPD et cybersécurité : comment rester conforme en 2025 Depuis sa mise en application en…
VPN : un outil indispensable pour protéger vos données Le VPN, ou « Virtual Private…
This website uses cookies.