Établir et publier une politique de divulgation coordonnée des vulnérabilités (DCV)

L'article 13(7) du règlement (UE) 2024/2847 et l'Annexe I Partie II §1 exigent que les fabricants :

• Identifient et documentent les vulnérabilités et les composants contenus dans le produit
• Disposent d'une politique de divulgation coordonnée des vulnérabilités
• Prennent des mesures pour faciliter le partage d'informations sur les vulnérabilités potentielles

La politique de DCV doit être publiquement accessible afin que les auteurs de signalements externes puissent la trouver.

1. Politique de DCV publique — publiée sur le site web et facilement accessible
2. Contact de sécurité — adresse de courriel ou formulaire en ligne dédié aux signalements de vulnérabilités (ex. security@example.com)
3. Fichier security.txt — publier à l'adresse /.well-known/security.txt conformément à la RFC 9116 pour permettre la découverte automatique du contact
4. Engagement d'accusé de réception — indiquer un délai d'accusé de réception (l'ENISA recommande ≤ 5 jours ouvrés)
5. Calendrier de divulgation — décrire le processus de divulgation coordonnée, y compris la gestion des périodes d'embargo avec les chercheurs
6. Déclaration de périmètre — préciser les produits et versions couverts par la politique

Sur la base des orientations de l'ENISA en matière de DCV et de l'Annexe I Partie II du CRA :

• Adresse de contact et moyen de contact privilégié
• Clé PGP / S/MIME pour les soumissions chiffrées (recommandé)
• Langues acceptées pour les signalements
• Délai d'accusé de réception
• Calendrier prévu pour les mises à jour correctives
• Processus de coordination de la divulgation (embargo, crédit au chercheur, attribution du CVE)
• Déclaration de protection pour les chercheurs de bonne foi

• Politique de DCV publiée (URL)
• Fichier /.well-known/security.txt
• Journal de réception des vulnérabilités (confidentiel — non requis publiquement)
• Enregistrements des signalements reçus et de leur traitement