Politique de divulgation coordonnée des vulnérabilités (CVD)
Un processus structuré permettant de signaler des vulnérabilités d'un produit à un fabricant de façon à lui permettre de les diagnostiquer et de les corriger avant que des informations détaillées soient divulguées à des tiers ou au public. Les fabricants sont tenus par l'Annexe I Partie II du CRA d'établir et d'appliquer une politique CVD.
Citations sources
Voir aussi
Texte réglementaire
L'Annexe I Partie II §5 du règlement (UE) 2024/2847 impose aux fabricants :
« de mettre en place et d'appliquer une politique de divulgation coordonnée des vulnérabilités ».
Éléments essentiels d'une politique CVD
Une politique CVD conforme doit préciser :
- Comment signaler — une adresse de contact ou un mécanisme pour les chercheurs en sécurité et les utilisateurs
- Processus de réponse — comment le fabricant accusera réception, classera et enquêtera sur les vulnérabilités signalées
- Calendrier de remédiation — délais raisonnables pour développer et publier un correctif
- Conditions de divulgation — quand et comment les informations seront publiées (voir Annexe I Partie II §4)
- Option de signalement anonyme — si des rapports anonymes sont acceptés
Format lisible par machine
Les fabricants devraient envisager de publier leurs politiques de sécurité dans un format lisible par machine pour faciliter le traitement automatisé.
Point de contact unique
Le canal de signalement CVD doit être lié au point de contact unique requis en vertu de l'Art. 13(17) (voir OBL-ART13-15).