Guide de préparation à la notification des vulnérabilités au titre du CRA de l’UE 2026
Il est 08 h 17, un lundi matin de septembre 2026. Anna, RSSI d’une entreprise SaaS européenne en forte croissance, repense encore à la réunion du conseil d’administration de la semaine précédente. Le directeur général avait posé la question que tous les responsables sécurité entendent désormais : « Si nous nous sommes déjà préparés à NIS2 et que nos clients fintech nous interrogent régulièrement sur DORA, que change le Cyber Resilience Act ? »
La réponse arrive alors dans sa boîte de réception.
Un chercheur indépendant signale une vulnérabilité exploitable à distance dans un composant de mise à jour de firmware utilisé par l’un des produits connectés de l’entreprise. Le message comprend une preuve de concept, le nom d’une dépendance et un avertissement indiquant qu’une exploitation similaire a été observée en conditions réelles.
En quelques minutes, chacun attend une réponse différente. Le directeur technique demande si la vulnérabilité est avérée. Le service juridique demande si les obligations de notification prévues par le Cyber Resilience Act de l’UE sont déclenchées. L’équipe produit demande quelles versions sont affectées. Le RSSI demande si la dépendance figure dans les SBOM. L’équipe commerciale demande si les clients du secteur financier ont besoin de preuves DORA. Le responsable conformité ouvre le registre des risques ISO 27001 et trouve un processus de gestion des vulnérabilités, mais aucun circuit de décision clair pour la notification relative aux produits.
C’est le véritable enjeu de la préparation au CRA. La plupart des organisations ne partent pas de zéro. Elles disposent déjà de politiques de réponse aux incidents, de routines de gestion des correctifs, de pratiques de développement sécurisé, de revues fournisseurs, de scanners de vulnérabilités et de preuves ISO 27001. Mais le CRA ne récompense pas les documents isolés. Il exige un processus rapide et défendable, capable de répondre simultanément à cinq questions :
- S’agit-il d’une vulnérabilité activement exploitée ou d’un incident grave ayant une incidence sur la sécurité du produit ?
- Quels produits, versions, clients, dépendances et fournisseurs sont affectés ?
- Quelle autorité, quel client ou quel destinataire contractuel doit être notifié, et dans quel délai ?
- Quelles preuves démontrent que le triage, l’atténuation et la divulgation ont été maîtrisés ?
- Comment cela s’aligne-t-il sur ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF et les attentes d’audit ?
La réponse n’est pas un « dossier CRA » séparé. Elle consiste à intégrer la notification des vulnérabilités au titre du CRA dans le SMSI, le processus de divulgation coordonnée des vulnérabilités, la discipline SBOM, la gouvernance des fournisseurs et la chaîne de collecte des preuves de réponse aux incidents dont vous avez déjà besoin pour une gouvernance de cybersécurité mature.
Pourquoi le Cyber Resilience Act de l’UE change le modèle de notification
Le Cyber Resilience Act de l’UE, règlement (UE) 2024/2847, fait entrer la sécurité des produits au cœur de la conformité. Il s’applique aux produits comportant des éléments numériques mis sur le marché de l’UE, ce qui peut inclure les appareils connectés, les logiciels, les firmwares, les systèmes embarqués et les produits logiciels d’entreprise.
Le changement opérationnel le plus important pour les RSSI, les responsables de la sécurité produit et les équipes conformité commence le 11 septembre 2026. CRA Article 14 impose une notification par étapes pour les vulnérabilités activement exploitées et les incidents graves ayant une incidence sur la sécurité des produits comportant des éléments numériques. En pratique, les fabricants doivent être prêts pour :
| Événement de notification CRA | Délai attendu | Preuves opérationnelles nécessaires |
|---|---|---|
| Alerte précoce concernant une vulnérabilité activement exploitée | Dans les 24 heures suivant la prise de connaissance | Horodatage de la prise de connaissance, évaluation de l’exploitation, hypothèse sur le produit affecté |
| Notification plus complète de la vulnérabilité | Dans les 72 heures suivant la prise de connaissance | Gravité, produits affectés, état de l’atténuation, preuves SBOM, plan correctif initial |
| Rapport final sur la vulnérabilité | Après mise à disposition d’une mesure corrective ou d’atténuation | Cause racine, impact, remédiation, détails de la mise à jour de sécurité, consignes utilisateur |
| Alerte précoce concernant un incident grave ayant une incidence sur la sécurité du produit | Dans les 24 heures suivant la prise de connaissance | Chronologie de l’incident, impact produit, impact opérationnel, confinement initial |
| Notification plus complète de l’incident grave | Dans les 72 heures suivant la prise de connaissance | Analyse d’impact, utilisateurs affectés, actions correctives, enregistrements de coordination |
| Rapport final sur l’incident grave | Dans le mois suivant la notification initiale de l’incident | Chronologie complète, cause, atténuation, enseignements tirés, risque résiduel |
L’analyse juridique exacte doit toujours être réalisée par un conseil qualifié, mais l’enseignement opérationnel est clair. Les premières 24 à 72 heures ne valent que par la préparation effectuée des mois auparavant.
Si vos SBOM sont incomplètes, si votre boîte de réception CVD est surveillée de manière informelle, si les contrats fournisseurs n’imposent pas la notification des vulnérabilités ou si votre politique de réponse aux incidents ne distingue pas la notification des vulnérabilités produit des incidents relatifs à la vie privée ou aux opérations, l’horloge réglementaire avancera plus vite que votre processus de collecte des preuves.
Utiliser ISO/IEC 27001:2022 comme ossature de la préparation au CRA
ISO/IEC 27001:2022 ne se substitue pas à la conformité juridique au CRA, mais constitue la meilleure ossature de système de management pour intégrer les obligations CRA dans la gouvernance quotidienne.
Les clauses 4.1 à 4.4 exigent que l’organisation comprenne son contexte interne et externe, ses parties intéressées, leurs exigences, ses interfaces avec d’autres organisations et le périmètre du SMSI ISO/IEC 27001:2022. Pour la préparation au CRA, cela signifie que le périmètre de votre SMSI doit identifier les produits comportant des éléments numériques, les responsabilités liées au cycle de vie produit, les composants hébergés, les pipelines de build, les dépendances open source, les fournisseurs, les utilisateurs, les importateurs, les distributeurs, les clients réglementés et les autorités compétentes.
Les clauses 6.1.1 à 6.1.3 exigent l’appréciation des risques et le traitement des risques, y compris les propriétaires du risque, les conséquences, la vraisemblance, les décisions de traitement, la Déclaration d’applicabilité et l’acceptation du risque résiduel. La notification CRA doit être traitée comme un scénario de risque de sécurité produit dans ce processus, et non comme un exercice d’interprétation juridique en situation d’urgence.
ISO/IEC 27002:2022 ISO/IEC 27002:2022 fournit ensuite la structure pratique des contrôles. Les contrôles les plus importants pour la notification des vulnérabilités CRA sont :
| Contrôle ISO/IEC 27002:2022 | Intitulé correct du contrôle | Rôle dans la préparation au CRA |
|---|---|---|
| 8.8 | Gestion des vulnérabilités techniques | Identifie, évalue, priorise, traite et suit les vulnérabilités |
| 8.25 | Cycle de vie du développement sécurisé | Intègre la sécurité produit, la revue des dépendances et l’ingénierie sécurisée dans le développement |
| 5.21 | Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC | Relie les composants fournisseurs, les entrées SBOM et les notifications amont au risque produit |
| 5.20 | Prise en compte de la sécurité de l’information dans les accords fournisseurs | Convertit les obligations fournisseurs en clauses contractuelles opposables |
| 5.24 | Planification et préparation de la gestion des incidents de sécurité de l’information | Définit les rôles liés aux incidents, les playbooks, l’escalade, la notification et la gestion des preuves |
| 5.26 | Réponse aux incidents de sécurité de l’information | Soutient le confinement, l’éradication, le rétablissement et les communications de manière maîtrisée |
| 8.15 | Journalisation | Préserve les preuves nécessaires à l’évaluation de l’exploitation et à la reconstruction de l’incident |
| 8.16 | Activités de surveillance | Détecte les signaux d’exploitation et soutient les décisions relatives à l’exploitation active |
Dans Zenith Controls : le guide de conformité croisée, Clarysec cartographie le contrôle ISO/IEC 27002:2022 8.8, Gestion des vulnérabilités techniques, comme un contrôle préventif soutenant la confidentialité, l’intégrité et la disponibilité. Ses attributs s’alignent sur les concepts de cybersécurité Identify et Protect, avec la gestion des menaces et des vulnérabilités comme capacité opérationnelle.
Ce cadrage est important. La notification CRA ne consiste pas seulement à notifier des autorités. Elle consiste à prouver qu’une capacité préventive de gestion des vulnérabilités existait avant l’arrivée du signalement.
Construire le modèle opérationnel autour de la CVD, des SBOM et de l’horloge de notification
Un processus crédible de gestion des vulnérabilités CRA commence avant même qu’un chercheur ne vous contacte. Il commence par la capacité à recevoir des signalements de vulnérabilités, à les valider, à identifier les composants affectés, à évaluer l’exploitation, à coordonner l’atténuation, à communiquer avec les utilisateurs et à préserver les preuves.
Le premier bloc constitutif est un canal public de signalement des vulnérabilités. La Politique de divulgation coordonnée des vulnérabilités de Clarysec, clause 6.1 des exigences de mise en œuvre, indique :
Canaux de divulgation publique : l’organisation doit maintenir un canal clair pour le signalement des vulnérabilités, tel qu’une adresse électronique de contact sécurité dédiée (par exemple, security@company.com) ou un formulaire web. Ces informations doivent être publiées sur la page sécurité du site web de l’entreprise, avec la clé publique PGP de l’organisation afin de permettre des soumissions chiffrées.
Cela corrige une défaillance d’audit fréquente. De nombreuses entreprises déclarent accepter les signalements de vulnérabilités, mais le circuit de signalement est caché, non administré ou routé vers une file de support générale. Dans le contexte du CRA, le canal de signalement devient le point de déclenchement de la prise de connaissance juridique, de l’évaluation de la gravité et de la capture des preuves.
Le deuxième bloc constitutif est le triage. La Politique de divulgation coordonnée des vulnérabilités, clause 6.4 des exigences de mise en œuvre, indique :
Triage et accusé de réception : à la réception d’un signalement, la VRT doit l’enregistrer et envoyer un accusé de réception au déclarant dans un délai de 2 jours ouvrés, en attribuant une référence de suivi. La VRT doit réaliser une évaluation préliminaire de la gravité, par exemple à l’aide d’une notation CVSS, et valider le problème, y compris avec l’appui des équipes informatiques et de développement lorsque cela est nécessaire, dans un délai cible de 5 jours ouvrés. Les vulnérabilités critiques, telles que celles permettant l’exécution de code à distance ou une violation majeure de données, doivent être traitées en priorité.
Pour la préparation au CRA, cet enregistrement de triage doit être étendu avec des champs soutenant la décision juridique de notification :
| Champ de triage CRA | Pourquoi il est important | Responsable des preuves |
|---|---|---|
| Statut d’exploitation active | Détermine si la notification des vulnérabilités CRA peut s’appliquer | Équipe de réponse aux vulnérabilités (VRT) |
| Produit et version affectés | Relie le problème aux produits comportant des éléments numériques et à l’impact client | Sécurité produit |
| Correspondance avec une dépendance SBOM | Confirme si les composants affectés existent dans les builds publiés | Ingénierie ou DevSecOps |
| Indicateur d’incident produit grave | Distingue la gestion des vulnérabilités de la notification des incidents de sécurité produit | Équipe des opérations de sécurité |
| Décision de notification réglementaire | Enregistre si le CRA, NIS2, DORA, GDPR ou une notification contractuelle s’applique | Juridique, RSSI et conformité |
Le troisième bloc constitutif est la discipline SBOM. La Politique de développement sécurisé de Clarysec, clause 5.4 des exigences de gouvernance, indique :
L’utilisation de code open source ou de code tiers doit être approuvée, suivie et validée au moyen de : 5.4.1 Analyse de la composition logicielle (SCA) 5.4.2 Revue des licences (GPL, MIT, BSD, etc.) 5.4.3 Scan des vulnérabilités connues (CVE, OSS Index, etc.)
Pour les organisations de plus petite taille, la Politique relative aux exigences de sécurité des applications - PME, clause 6.4.2 des exigences de mise en œuvre de la politique, formule la même attente de manière pratique :
Un enregistrement de chaque composant externe utilisé doit être maintenu par le développeur ou le prestataire informatique, comprenant :
Cet enregistrement de composant devient l’ensemble minimal de preuves pour une réponse aux vulnérabilités pilotée par SBOM. Il doit relier le nom du composant, la version, la source, le fournisseur ou le référentiel, la licence, la version du produit, la date de build et l’état du scan de vulnérabilités. Lorsqu’une CVE, un signalement de chercheur ou une notification fournisseur arrive, votre équipe doit pouvoir répondre en quelques heures : « Quels produits publiés contiennent ce composant ? »
Cartographier CRA, NIS2, DORA et GDPR dans une matrice unique de décision de notification
Le Cyber Resilience Act ne fonctionnera pas isolément. Une seule vulnérabilité produit peut déclencher une notification CRA, une évaluation d’incident NIS2, des obligations de preuve client au titre de DORA, une évaluation de violation au titre du GDPR et des obligations contractuelles de notification.
NIS2 Article 21 exige que les entités essentielles et importantes mettent en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées. Ces mesures incluent l’analyse des risques, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’acquisition, le développement et la maintenance sécurisés, la gestion et la divulgation des vulnérabilités, l’évaluation de l’efficacité, l’hygiène cyber, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs, l’authentification multifacteur et les communications sécurisées.
NIS2 Article 23 établit un modèle de notification des incidents par étapes : alerte précoce dans les 24 heures suivant la prise de connaissance, notification d’incident dans les 72 heures, mises à jour intermédiaires sur demande et rapport final au plus tard un mois après la notification de l’incident. NIS2 Article 20 instaure également la responsabilité de l’organe de direction dans l’approbation et la supervision des mesures de gestion des risques de cybersécurité.
DORA s’applique depuis le 17 janvier 2025 et crée un cadre uniforme de résilience opérationnelle numérique de l’UE pour les entités financières. Pour les fournisseurs SaaS, les éditeurs logiciels et les prestataires TIC, DORA apparaît souvent par l’intermédiaire des contrats clients. Votre client du secteur financier peut être l’entité réglementée au titre de DORA, mais votre gestion des vulnérabilités, vos preuves SBOM, votre support incident, vos droits d’audit et vos engagements de notification peuvent être nécessaires pour que ce client respecte ses propres obligations.
GDPR ajoute une autre branche. Si la vulnérabilité ou l’incident entraîne une destruction, une perte, une altération, une divulgation non autorisée ou un accès non autorisé à des données à caractère personnel, une évaluation de violation de données à caractère personnel est requise. GDPR Article 5 inclut également l’intégrité, la confidentialité et la responsabilité, ce qui signifie que l’organisation doit être en mesure de démontrer son processus décisionnel.
La Politique de réponse aux incidents de Clarysec, clause 6.4.1 des exigences de mise en œuvre de la politique, soutient déjà cette évaluation multi-régimes :
Si un incident entraîne une exposition confirmée ou probable de données à caractère personnel ou d’autres données réglementées, le service juridique et le DPO doivent évaluer l’applicabilité de : 6.4.1.1 GDPR Article 33 (notification à l’autorité de contrôle dans les 72 heures) 6.4.1.2 GDPR Article 34 (notification aux personnes concernées, lorsqu’un risque élevé s’applique) 6.4.1.3 NIS2 Article 23 (notification dans les 24 heures suivant la prise de connaissance de l’incident) 6.4.1.4 DORA Article 17 (reporting des incidents graves liés aux TIC)
Pour la préparation au CRA, étendez ce playbook afin d’y inclure l’évaluation de la notification prévue par CRA Article 14 pour les vulnérabilités activement exploitées et les incidents graves ayant une incidence sur la sécurité produit.
Une matrice de décision unifiée évite aux équipes d’exécuter des playbooks de notification séparés et incohérents :
| Question déclencheuse | CRA | NIS2 | DORA | GDPR | Preuves |
|---|---|---|---|---|---|
| La vulnérabilité est-elle activement exploitée dans un produit comportant des éléments numériques ? | Évaluer la notification prévue par CRA Article 14 | Peut soutenir l’évaluation d’un incident significatif | Peut soutenir la classification d’un incident TIC ou d’une menace | Évaluer si des données à caractère personnel sont affectées | Enregistrement de triage, renseignement sur les menaces, journaux |
| La sécurité produit ou la fourniture du service a-t-elle été gravement perturbée ? | Évaluer la notification d’incident grave | Évaluer l’incident significatif | Évaluer l’impact d’un incident majeur lié aux TIC | Généralement uniquement en cas de violation de données à caractère personnel | Chronologie de l’incident, analyse d’impact |
| Des clients du secteur financier sont-ils affectés ? | La notification produit peut rester applicable | Dépend du périmètre de l’entité | Le client peut avoir besoin de preuves DORA | Dépend des rôles relatifs aux données | Liste clients, contrats, annexe DORA |
| Des données à caractère personnel ont-elles été exposées ou consultées ? | Peut affecter la gravité et la notification aux utilisateurs | Peut affecter l’évaluation d’impact | Peut affecter l’impact client | Évaluation de violation requise | Évaluation du DPO, preuves forensiques |
| Un composant fournisseur est-il impliqué ? | Le fabricant doit toujours disposer d’une vision de l’impact produit | Preuves du risque lié à la chaîne d’approvisionnement | Des preuves relatives aux tiers TIC peuvent être nécessaires | Analyse sous-traitant ou responsable du traitement | SBOM, notification fournisseur, clause contractuelle |
Pour les PME, la Politique de réponse aux incidents - PME de Clarysec, clause 5.3.2 des exigences de gouvernance, énonce le même principe sous une forme plus simple :
Les délais de réponse, y compris la restauration des données et les obligations de notification, doivent être documentés et alignés sur les exigences légales, telles que l’obligation de notification d’une violation de données à caractère personnel dans les 72 heures au titre du GDPR.
La préparation au CRA étend simplement ce principe de la notification des violations de données à caractère personnel à la notification des vulnérabilités produit et des incidents de sécurité produit.
Les preuves fournisseurs sont désormais des preuves de sécurité produit
De nombreuses vulnérabilités pertinentes au regard du CRA proviendront de l’extérieur de votre base de code. Elles peuvent venir de paquets open source, de modules firmware, de SDK, d’interfaces de programmation (API) hébergées, d’outils de build, de services cloud, de composants sous-traités ou de bibliothèques amont. La gouvernance des fournisseurs devient donc centrale dans la préparation au CRA.
La clause 8.1 d’ISO 27001:2022 exige que les organisations maîtrisent les processus, produits ou services fournis par des tiers et pertinents pour le SMSI. Le contrôle 5.21 d’ISO/IEC 27002:2022, Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC, fournit l’ancrage de contrôle.
Dans Zenith Controls, Clarysec cartographie le contrôle 5.21 comme un contrôle préventif soutenant la confidentialité, l’intégrité et la disponibilité. Sa capacité opérationnelle est la sécurité des relations fournisseurs, et ses domaines incluent la gouvernance, l’écosystème et la protection. Le message est simple : les contrôles fournisseurs ne sont pas de la paperasserie achats. Ce sont des contrôles de protection de l’écosystème.
La Politique de sécurité des tiers et des fournisseurs - PME de Clarysec, clause 5.3 des exigences de gouvernance, établit la base contractuelle :
Les contrats doivent inclure des clauses obligatoires couvrant :
Pour les programmes d’entreprise, le Zenith Blueprint : feuille de route d’audit en 30 étapes, phase Contrôles en action, étape 23, contrôles organisationnels 5.19 à 5.37, explique le contrôle ISO/IEC 27002:2022 5.20, Prise en compte de la sécurité de l’information dans les accords fournisseurs :
Lorsqu’il s’agit de fournisseurs, la confiance ne peut pas reposer sur des hypothèses. Elle doit être codifiée.
Pour la préparation au CRA, les accords fournisseurs doivent inclure des clauses de sécurité produit soutenant une réponse rapide aux vulnérabilités :
| Clause fournisseur | Pertinence CRA | Preuves à demander |
|---|---|---|
| Notification des vulnérabilités | Garantit que les fournisseurs amont vous alertent rapidement lorsque leur composant est affecté | Enregistrements de notification de vulnérabilité fournisseur et SLA |
| SBOM ou inventaire de composants | Soutient l’évaluation d’impact sur les différentes versions produit | SBOM, liste de composants ou attestation |
| Support des mises à jour sécurisées | Permet les mesures correctives et les consignes client | Notes de version des correctifs et plan de remédiation |
| Coordination de la divulgation | Évite les messages publics incohérents et la divulgation prématurée | Journal de coordination CVD |
| Assistance en cas d’incident | Soutient l’analyse forensique, l’évaluation de l’impact utilisateur et la notification | Enregistrements de support et notes d’enquête |
| Droits d’audit et d’assurance | Aide à satisfaire les clients, les autorités de régulation et l’audit interne | Rapports d’audit et attestations de contrôle |
DORA renforce la même orientation. Les entités financières doivent gérer le risque lié aux tiers TIC, tenir des registres des contrats de services TIC, évaluer la criticité, réaliser des revues de due diligence, gérer le risque de concentration, définir des mesures de protection contractuelles, sécuriser les droits d’audit et planifier les sorties. Si vous vendez des logiciels ou des services TIC à des entités financières, attendez-vous à ce que les clients demandent si votre processus de notification des vulnérabilités et votre capacité SBOM peuvent soutenir leurs besoins DORA en matière d’incidents, de résilience et de preuves liées aux tiers.
Le processus de préparation CRA de Clarysec
Clarysec aide ses clients à opérationnaliser la notification CRA dans un SMSI aligné sur ISO 27001:2022 au moyen d’un processus pratique.
1. Ajouter les obligations CRA au registre des exigences du SMSI
Commencez par les clauses 4.1 à 4.4 d’ISO 27001:2022. Mettez à jour le contexte organisationnel, les parties intéressées et le périmètre afin d’inclure les produits comportant des éléments numériques, l’exposition au marché de l’UE, les utilisateurs, les importateurs, les distributeurs, les autorités de régulation, les CSIRT, les fournisseurs et les clients réglementés.
Créez des entrées dans le registre des exigences pour la notification des vulnérabilités CRA, la notification des incidents graves de sécurité produit CRA, la notification des incidents NIS2, les obligations d’assistance client DORA, l’évaluation des violations de données à caractère personnel au titre du GDPR, les notifications contractuelles d’incident, les engagements CVD et les communications avec les chercheurs.
Cela donne aux auditeurs un chemin traçable entre l’obligation externe et le contrôle interne.
2. Créer un formulaire de réception des vulnérabilités produit
Fondez le formulaire de réception sur la Politique de divulgation coordonnée des vulnérabilités. Il doit capturer l’identité du déclarant, ses coordonnées de contact sécurisées, la version du produit, le module, l’environnement, la preuve de concept, les étapes de reproduction, le statut d’exploitation, l’exposition potentielle des données, l’impact sur le service, la correspondance avec un composant SBOM, la gravité CVSS ou équivalente, le propriétaire, la référence de suivi et le point de contrôle réglementaire.
Le formulaire doit créer automatiquement un ticket dans la file de réponse aux vulnérabilités. Il doit également déclencher un minuteur de décision de notification, même si la réponse finale est « non déclarable ».
3. Relier les données SBOM aux versions publiées
Pour chaque version produit publiée, maintenez une SBOM ou un inventaire de composants équivalent. Les preuves minimales utiles incluent le nom du composant, la version, la source, la licence, le fournisseur ou le référentiel, la version du produit, la date de build et l’état du scan de vulnérabilités.
La Politique de développement sécurisé et la Politique relative aux exigences de sécurité des applications - PME fournissent la base de politique pour la SCA, la revue des composants et les enregistrements des composants externes.
4. Préserver les preuves dès le premier jour
Chaque ticket de vulnérabilité pertinent au regard du CRA doit conserver :
- Signalement initial
- Horodatage de l’accusé de réception
- Notes de triage
- Raisonnement relatif à la gravité CVSS ou équivalente
- Résultats de correspondance SBOM
- Évaluation de l’exploitation
- Journaux, indicateurs et instantanés forensiques
- Communications fournisseurs
- Acceptation du risque, si l’atténuation est retardée
- Plan de correctif, notes de version et preuves de test
- Décisions de notification aux clients et aux autorités
- Entrées du rapport final et enseignements tirés
Cela s’aligne sur la clause 8.1 d’ISO 27001:2022, qui exige des informations documentées suffisantes pour prouver que les processus ont fonctionné comme prévu, ainsi que sur les clauses 8.2 et 8.3, qui exigent des résultats documentés d’appréciation des risques et de traitement des risques.
5. Tester avec un scénario de dépendance réaliste
Réalisez un exercice sur table à partir d’une vulnérabilité de dépendance simulée et activement exploitée. Incluez les équipes ingénierie, sécurité, juridique, protection des données, produit, communication, gestion des fournisseurs et relation client. Le test doit démontrer que votre organisation peut identifier les versions affectées, évaluer l’exploitation, prendre une décision de notification, contacter les fournisseurs, préparer des consignes utilisateur et préserver les preuves.
Comment les auditeurs testeront la préparation à la notification des vulnérabilités CRA
Une revue de préparation au CRA se limitera rarement à une checklist CRA. Différents auditeurs testeront les mêmes preuves à travers différents référentiels.
Dans Zenith Controls, Clarysec cartographie le contrôle ISO/IEC 27002:2022 5.24, Planification et préparation de la gestion des incidents de sécurité de l’information, comme un contrôle correctif soutenant la confidentialité, l’intégrité et la disponibilité. Il s’aligne sur Respond et Recover, avec la gouvernance et la gestion des événements de sécurité de l’information comme capacités opérationnelles.
Ce contrôle constitue le pont entre la découverte d’une vulnérabilité et la notification réglementaire.
| Profil de l’auditeur | Ce qu’il demandera | Preuves répondant à la question |
|---|---|---|
| Auditeur ISO 27001:2022 | La notification des vulnérabilités est-elle intégrée à l’appréciation des risques, au traitement des risques, aux contrôles de l’Annexe A et aux processus documentés du SMSI ? | Périmètre du SMSI, registre des risques, SoA, procédure de gestion des vulnérabilités, politique CVD, enregistrements d’incidents, revue de direction |
| Évaluateur des contrôles ISO/IEC 27002:2022 | Les contrôles 8.8, 8.25, 5.21, 5.24, 5.20 et les contrôles associés sont-ils mis en œuvre de manière cohérente ? | Journaux des correctifs, SBOM, points de contrôle SDLC sécurisé, clauses fournisseurs, playbooks incidents, enregistrements de preuves |
| Autorité ou évaluateur NIS2 | Les procédures relatives à la gouvernance Article 20, aux mesures Article 21 et à la notification Article 23 sont-elles opérationnelles ? | Comptes rendus du conseil d’administration, mesures de risque, procédures d’incident, enregistrements de notification, preuves liées à la chaîne d’approvisionnement |
| Auditeur orienté DORA | Les incidents TIC, les vulnérabilités, les dépendances vis-à-vis de tiers, les tests et les communications client soutiennent-ils les obligations de résilience du secteur financier ? | Inventaire des dépendances TIC, classifications d’incidents, enregistrements de test, registre des fournisseurs, preuves contractuelles |
| Relecteur GDPR | L’organisation a-t-elle évalué si la vulnérabilité a créé une violation de données à caractère personnel et documenté sa responsabilité ? | Évaluation de violation, notes du DPO, enregistrement de décision Article 33 et 34, cartographie des flux de données, constats forensiques |
| Évaluateur NIST CSF 2.0 | L’organisation peut-elle gouverner, identifier, protéger, détecter, répondre et rétablir au moyen d’un modèle unique fondé sur les risques ? | Current and Target Profiles, programme de risque fournisseur, indicateurs de détection, preuves de réponse et de rétablissement |
NIST CSF 2.0 est particulièrement utile comme couche de communication au niveau du conseil d’administration. Ses fonctions GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND et RECOVER aident à expliquer comment la notification des vulnérabilités produit s’inscrit dans la gouvernance de cybersécurité de l’entreprise, plutôt que comme une exception d’ingénierie.
Défaillances fréquentes de préparation au CRA à corriger avant 2026
Clarysec observe régulièrement les mêmes lacunes.
La première est une CVD sans notification. Une entreprise dispose d’une adresse électronique de sécurité ou d’un fichier security.txt, mais aucun chemin interne ne relie le signalement d’un chercheur à l’évaluation juridique de notification.
La deuxième est une SBOM sans propriétaire. L’ingénierie peut générer une SBOM pendant le build, mais personne n’est responsable de son exactitude pour les produits publiés ni n’explique comment les constats SBOM alimentent la réponse aux vulnérabilités.
La troisième est un certificat ISO sans périmètre produit. Le SMSI couvre l’informatique d’entreprise et l’exploitation SaaS, mais pas les logiciels embarqués, les firmwares, l’infrastructure de mise à jour produit, les pipelines de build ni la divulgation des vulnérabilités.
La quatrième concerne les contrats fournisseurs dépourvus de clauses relatives aux vulnérabilités. Les achats exigent la confidentialité et la protection des données, mais pas la notification des vulnérabilités, la transparence des composants, l’assistance incident, la divulgation coordonnée ou les preuves d’audit.
La cinquième est une réponse aux incidents sans logique de vulnérabilité produit. Le plan d’incident couvre le rançongiciel, le phishing et les violations de données à caractère personnel, mais pas les vulnérabilités produit activement exploitées lorsque les systèmes des clients peuvent être exposés avant même que l’environnement propre du fabricant ne soit compromis.
La sixième est une gestion manuelle des preuves client DORA. Les équipes commerciales ou customer success répondent aux questionnaires du secteur financier au cas par cas, tandis que la sécurité ne dispose pas d’un pack standard de preuves montrant la gestion des vulnérabilités, la gouvernance SBOM, le support incident et les contrôles fournisseurs.
Chaque lacune peut être corrigée. Chacune devient coûteuse si elle est découverte pendant une vulnérabilité réelle.
Checklist de préparation à la notification des vulnérabilités CRA en 90 jours
Utilisez les 90 prochains jours pour établir une base défendable :
- Identifier les produits comportant des éléments numériques mis sur le marché de l’UE ou mis à disposition sur celui-ci.
- Mettre à jour le périmètre du SMSI et l’analyse des parties intéressées afin d’inclure les parties prenantes CRA.
- Ajouter l’évaluation de notification CRA Article 14 au registre des exigences légales et réglementaires.
- Publier et surveiller un canal sécurisé de signalement des vulnérabilités.
- Créer une équipe de réponse aux vulnérabilités (VRT) avec des rôles juridique, produit, ingénierie, sécurité et communication.
- Maintenir des SBOM ou inventaires de composants pour les versions produit publiées.
- Relier les résultats SCA aux tickets de vulnérabilité et aux versions produit.
- Ajouter les critères d’exploitation active et d’incident produit grave aux formulaires de triage.
- Créer une matrice de décision combinée pour les notifications CRA, NIS2, DORA, GDPR et contractuelles.
- Mettre à jour les contrats fournisseurs avec des clauses de notification des vulnérabilités, de SBOM, d’assistance incident et de coordination de la divulgation.
- Maintenir les journaux des correctifs et les preuves de remédiation.
- Tester le processus avec une vulnérabilité de dépendance simulée et activement exploitée.
- Présenter les résultats à la direction avec les lacunes, les risques résiduels et les propriétaires des remédiations.
- Ajouter le pack de preuves à l’audit interne et à la revue de direction.
La Politique de gestion des vulnérabilités et des correctifs - PME de Clarysec, clause 6.2.1 des exigences de mise en œuvre de la politique, soutient la base de surveillance :
La fonction informatique doit surveiller les vulnérabilités en utilisant :
La même politique, clause 5.4.1 des exigences de gouvernance, ajoute la piste d’audit :
Un journal des correctifs doit être maintenu et revu lors des audits et des activités de réponse aux incidents
Ce journal des correctifs peut devenir l’un des livrables justificatifs les plus importants dans un rapport final CRA. Il prouve la découverte, la priorisation, la remédiation, les tests et la clôture.
Rendre septembre 2026 ennuyeux
Le meilleur événement de notification CRA n’est pas simple parce que la vulnérabilité est simple. Il est simple parce que l’organisation a déjà répété le processus.
Avant septembre 2026, Clarysec peut vous aider à transformer la notification des vulnérabilités en un système prêt pour l’audit en cartographiant votre SMSI ISO 27001:2022 actuel, votre processus CVD, votre capacité SBOM, vos clauses fournisseurs et vos playbooks de réponse aux incidents par rapport aux attentes CRA, NIS2, DORA, GDPR et NIST CSF.
Commencez par une évaluation ciblée de préparation à la notification des vulnérabilités CRA. Clarysec examinera vos politiques, vos preuves SBOM, vos contrats fournisseurs, vos tickets de vulnérabilité, vos playbooks d’incident et votre piste d’audit. Nous utiliserons ensuite Zenith Blueprint et Zenith Controls pour construire une feuille de route de remédiation pratique, et non un classeur théorique de conformité.
Si vous utilisez déjà les politiques Clarysec, nous les ajusterons pour la notification CRA. Sinon, nous pouvons vous aider à mettre en œuvre le bon ensemble de politiques, notamment la Politique de divulgation coordonnée des vulnérabilités, la Politique de développement sécurisé, la Politique de réponse aux incidents, la Politique de gestion des vulnérabilités et des correctifs - PME, la Politique relative aux exigences de sécurité des applications - PME et la Politique de sécurité des tiers et des fournisseurs - PME, le cas échéant.
Septembre 2026 est suffisamment proche pour planifier et suffisamment éloigné pour se préparer avec discipline. Les organisations qui agissent maintenant ne se demanderont pas : « Qui est responsable de cette vulnérabilité ? » pendant les premières 24 heures. Elles auront déjà la réponse, les preuves et le circuit de notification.
Contactez Clarysec pour planifier une évaluation de préparation à la notification des vulnérabilités CRA et transformer la complexité réglementaire en avantage défendable pour la sécurité produit.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
