Notifier sans délai les utilisateurs des vulnérabilités activement exploitées
- S'applique à
- Manufacturer
- Citations sources
- Art. 14(4)
- Classes de produits
- DefaultImportant — Class IImportant — Class IICritical
Langage clair
Si une faille dans le produit est utilisée pour attaquer des utilisateurs, il faut les prévenir immédiatement. L'attente d'un correctif n'est pas permise. Il convient d'expliquer le risque et les mesures que les utilisateurs peuvent prendre dès à présent pour se protéger. Les canaux habituels de mise à jour ou d'alerte doivent être utilisés — mais l'action doit être rapide.
Texte juridique
L'article 14(4) du règlement (UE) 2024/2847 exige que les fabricants notifient les utilisateurs des produits comportant des éléments numériques affectés par une vulnérabilité activement exploitée, sans délai injustifié, avec des informations suffisantes pour permettre à ces utilisateurs de prendre des mesures de protection.
Cette obligation de notification s'exerce parallèlement aux obligations de signalement à l'ENISA (OBL-ART14-01, OBL-ART14-02, OBL-ART14-03) — la notification à l'ENISA ne se substitue pas à la notification aux utilisateurs.
Date d'entrée en vigueur
Cette obligation s'applique à compter du 11 septembre 2026.
Contenu requis de la notification aux utilisateurs
La notification aux utilisateurs doit inclure :
- Produit et versions affectés — précisément quels produits et versions de micrologiciel/logiciel sont concernés
- Nature de la vulnérabilité — description en langage accessible du risque
- Confirmation de l'exploitation — déclaration que l'exploitation active a été observée
- Mesures d'atténuation disponibles — actions immédiates que les utilisateurs peuvent entreprendre (mesures compensatoires, modifications de configuration, isolation réseau) dans l'attente d'un correctif complet
- Disponibilité de la mise à jour — indication de la disponibilité d'un correctif et des modalités pour l'obtenir ; à défaut, calendrier prévisionnel
- Conseils d'urgence — priorité recommandée pour l'application de la mise à jour
Canaux de notification
Les canaux accessibles aux utilisateurs qui ne consultent pas proactivement les mises à jour doivent être utilisés :
- Alerte de sécurité intégrée au produit (notification push ou bannière)
- Courriel aux utilisateurs enregistrés
- Avis bien visible sur le site web du produit ou du support
- Notes de mise à jour de la boutique d'applications ou de la plateforme
Le choix du canal doit être proportionné à la gravité et à l'exploitabilité.
Preuves éventuellement requises
- Enregistrements de notification des utilisateurs — horodatage, contenu, canaux utilisés
- Confirmation de livraison (accusés de réception des courriels, analyses des notifications)
- Bulletin de sécurité publié avec des conseils de remédiation à l'intention des utilisateurs
- Enregistrements prouvant que la notification a précédé ou accompagné la publication du correctif