Vulnérabilité activement exploitée
Une vulnérabilité dans un produit comportant des éléments numériques qu'un acteur malveillant utilise activement pour compromettre la sécurité des utilisateurs ou d'autres personnes affectées. La découverte d'une telle vulnérabilité déclenche une obligation de notification au CSIRT compétent et à l'ENISA dans les 24 heures (Art. 14(1)), avec des notifications complémentaires à 72 heures et après remédiation.
Citations sources
Voir aussi
Texte réglementaire
L'article 14(1) du règlement (UE) 2024/2847 oblige les fabricants à notifier toute vulnérabilité activement exploitée :
« Un fabricant notifie toute vulnérabilité activement exploitée contenue dans le produit comportant des éléments numériques dont il prend connaissance simultanément au CSIRT désigné comme coordinateur... et à l'ENISA. »
Ce qui ne constitue PAS une exploitation active
Des vulnérabilités découvertes par :
- Tests ou recherches en sécurité de bonne foi
- Audit ou évaluation interne
- Divulgation responsable par un chercheur (sans preuve d'exploitation malveillante)
...ne sont pas considérées comme activement exploitées au titre du CRA.
Calendrier de notification
| Étape | Délai | Contenu |
|---|---|---|
| Avertissement précoce | Dans les 24 heures | Notification que l'exploitation est en cours |
| Notification de vulnérabilité | Dans les 72 heures | Nature de l'exploit et mesures correctives |
| Rapport final | ≤14 jours après disponibilité d'un correctif | Informations détaillées sur la vulnérabilité |