CRA Compliance Hub
EN中文日本語한국어DEFRESIT繁中NLPL
OBL-ART13-06Binding

S'assurer qu'aucune vulnérabilité exploitable connue n'est présente lors de la mise sur le marché

S'applique à
Manufacturer
Citations sources
Art. 13(6)Annex I Part I §3
Last reviewed

Langage clair

Il est interdit de commercialiser en toute connaissance de cause un produit présentant des failles de sécurité exploitables. Avant chaque publication — y compris les mises à jour logicielles — le code propre au fabricant et l'ensemble des composants tiers doivent être vérifiés par rapport aux bases de données de vulnérabilités connues (telles que la NVD et l'EUVD). Les vulnérabilités identifiées doivent être corrigées avant la mise sur le marché.

Texte juridique

L'article 13(6) du règlement (UE) 2024/2847 et l'Annexe I Partie I §3 exigent que, lors de la mise sur le marché d'un produit comportant des éléments numériques, les fabricants veillent à ce que le produit ne contienne aucune vulnérabilité exploitable connue.

Cette obligation s'applique :

  • lors de la première mise sur le marché
  • à chaque mise à jour logicielle mise à la disposition des utilisateurs

Exigences clés

  1. Analyse de vulnérabilités avant publication — effectuer des analyses SCA et SAST avant chaque version
  2. Vérification CVE/EUVD — vérifier tous les composants (propriétaires et tiers) par rapport à la National Vulnerability Database (NVD), à la base de données européenne des vulnérabilités (EUVD) et aux flux d'avis pertinents
  3. Absence de publication avec vulnérabilité CVSS critique — ne pas commercialiser un produit avec des vulnérabilités exploitables connues de sévérité critique ou élevée, sauf en cas de décision documentée et limitée dans le temps d'acceptation du risque résiduel
  4. Contrôle du pipeline de mise à jour — la même exigence d'absence de vulnérabilité connue s'applique à chaque mise à jour de sécurité et publication de fonctionnalités transmise aux utilisateurs
  5. Documentation à chaque publication — conserver l'évaluation de l'état des vulnérabilités pour chaque version livrée à titre de preuve

Précision sur la portée

« Exploitable connue » désigne les vulnérabilités pour lesquelles un CVE ou un avis équivalent a été publié et pour lesquelles un chemin d'exploitation pratique existe dans le contexte du produit tel qu'il est déployé. Les risques théoriques ou hautement conditionnels ne pouvant être exercés dans le cadre d'une utilisation normale sont évalués selon le principe de proportionnalité au risque.

Preuves éventuellement requises

  • Rapports d'analyse SCA et SAST pour chaque version
  • Enregistrements des requêtes dans les bases CVE/EUVD à chaque date de publication
  • Enregistrements d'acceptation du risque résiduel (le cas échéant)
  • Arriéré de vulnérabilités montrant tous les problèmes résolus avant la publication
  • Résultats de tests de pénétration pour les versions majeures
S'assurer qu'aucune vulnérabilité exploitable connue n'est présente lors de la mise sur le marché — Hub Conformité CRA