Vulnérabilité
Une faiblesse dans un produit comportant des éléments numériques qui pourrait potentiellement être exploitée par un acteur menaçant pour compromettre la sécurité de ce produit ou des systèmes connectés. Le CRA impose de nombreuses obligations aux fabricants pour identifier, corriger et divulguer les vulnérabilités tout au long de la période de support.
Citations sources
Voir aussi
Texte réglementaire
L'article 3(48) du règlement (UE) 2024/2847 définit une vulnérabilité comme :
« une faiblesse, une susceptibilité ou une faille d'un produit comportant des éléments numériques qui peut être exploitée par une cybermenace ».
Cycle de vie des vulnérabilités selon le CRA
Découverte → Triage → Correction → Divulgation
| Phase | Obligation du fabricant |
|---|---|
| Identification | Surveiller en permanence les vulnérabilités (Annexe I Partie II, pt. 5) |
| Triage | Décrire et évaluer la sévérité, documenter les mesures correctives |
| Correction | Livrer des mises à jour de sécurité sans délai ; informer les utilisateurs |
| Divulgation | Signaler les vulnérabilités exploitées activement à l'ENISA dans les 24 h |
Gestion coordonnée des vulnérabilités
Le CRA s'appuie sur la CVD. Les fabricants sont encouragés à :
- Établir une politique CVD (Annexe I Partie II, pt. 5(a))
- Maintenir un canal de signalement sécurisé
- Coopérer avec les chercheurs en sécurité
Conservation des données
Les informations sur les vulnérabilités doivent être conservées dans la documentation technique pendant au moins dix ans après la fin de la période de support.