Divulgation Coordonnée des Vulnérabilités sous le CRA : Modèle de Politique et Configuration

Le CRA exige que les fabricants mettent en œuvre une divulgation coordonnée des vulnérabilités. Ce n'est pas optionnel. C'est une obligation légale. Pourtant, de nombreuses organisations n'ont pas de politique CVD ou en ont une qui ne répond pas aux attentes réglementaires.

Ce guide fournit tout ce dont vous avez besoin : modèles de politique, cadres de communication avec les chercheurs et conseils de calendrier.

Ce que le CRA Exige

L'Annexe I, Partie II du CRA exige que les fabricants :

"mettent en place et appliquent une politique de divulgation coordonnée des vulnérabilités"

Cela signifie :

• Avoir une politique : Écrite, publiée, accessible
• La mettre en œuvre : Réellement suivre la politique quand des rapports arrivent
• L'appliquer : Application cohérente sur tous les produits

Le CRA ne spécifie pas le contenu exact de la politique, mais les standards de l'industrie et les attentes réglementaires sont clairs.

Composants Essentiels de la Politique

Votre politique CVD doit aborder ces éléments :

1. Champ d'Application

Quels produits et services sont couverts ?

EXEMPLE DE CHAMP D'APPLICATION :
Cette politique s'applique à :
- Tous les produits [Nom de l'Entreprise] avec éléments numériques
- Firmware et logiciels associés
- Applications web à *.entreprise.com
- Applications mobiles publiées par [Nom de l'Entreprise]

Cette politique NE s'applique PAS à :
- Produits tiers vendus mais non fabriqués par nous
- Services fournis par des partenaires sous leurs propres politiques

2. Méthodes de Contact

Comment les chercheurs peuvent-ils vous joindre ?

Canaux requis :

• Adresse email (security@entreprise.com)
• Formulaire web (préféré, réception structurée)
• Fichier security.txt pointant vers les méthodes de contact

Améliorations optionnelles :

• Clé PGP pour les rapports chiffrés
• Intégration de plateforme de bug bounty
• Portail dédié aux chercheurs

3. Engagements de Réponse

Que peuvent attendre les chercheurs ?

4. Calendrier de Divulgation

Quand les chercheurs peuvent-ils publier ?

Standard de l'industrie : 90 jours du rapport à la divulgation publique

Votre politique doit spécifier :

• Fenêtre de divulgation standard (ex. 90 jours)
• Conditions d'extension (correctifs complexes, multi-fournisseurs coordonnés)
• Conditions de divulgation anticipée (exploitation active, fournisseur non réactif)
• Droit du chercheur à divulguer si vous ne répondez pas

5. Protection Juridique (Safe Harbor)

Protéger les chercheurs de bonne foi contre les poursuites judiciaires.

EXEMPLE DE SAFE HARBOR :
[Nom de l'Entreprise] n'engagera pas de poursuites judiciaires contre les chercheurs qui :
- Font des efforts de bonne foi pour se conformer à cette politique
- Évitent les violations de vie privée, la destruction de données et la perturbation des services
- N'exploitent pas les vulnérabilités au-delà de la démonstration nécessaire
- Signalent les découvertes rapidement et permettent un délai de remédiation raisonnable
- Ne divulguent pas publiquement avant le calendrier coordonné

Cette protection couvre les activités qui pourraient autrement violer :
- Les lois sur la fraude informatique et les abus
- Les réglementations de protection des données
- Les dispositions des conditions d'utilisation

6. Reconnaissance et Récompenses

Comment vous reconnaissez les chercheurs.

Options :

• Reconnaissance publique (Hall of Fame)
• Remerciement privé
• Paiements de bug bounty
• Goodies/merchandising
• Lettres de recommandation

7. Éléments Hors Champ

Ce que vous ne voulez pas voir signalé (ou gérez différemment).

HORS CHAMP :
- Attaques d'ingénierie sociale contre les employés
- Problèmes de sécurité physique
- Tests de déni de service
- Signalements de spam ou phishing
- Problèmes dans les services tiers que nous ne contrôlons pas
- Vulnérabilités déjà signalées

Modèle Complet de Politique CVD

Utilisez ce modèle comme point de départ. Personnalisez pour votre organisation.

# Politique de Divulgation des Vulnérabilités [Nom de l'Entreprise]

## Introduction

[Nom de l'Entreprise] est engagée dans la sécurité de nos produits et la protection
de nos clients. Nous valorisons la communauté de recherche en sécurité et accueillons
favorablement la divulgation responsable des vulnérabilités.

## Champ d'Application

Cette politique s'applique à :
- Tous les produits fabriqués par [Nom de l'Entreprise]
- Logiciels et firmware dans nos produits
- Propriétés web à *.entreprise.com
- Applications mobiles publiées par [Nom de l'Entreprise]

## Comment Signaler

**Méthode Préférée :** Soumettez via notre formulaire sécurisé à :
https://entreprise.com/security/report

**Alternative :** Email security@entreprise.com
- Clé PGP : [ID de clé ou lien vers la clé]

**Référence :** Notre fichier security.txt est à :
https://entreprise.com/.well-known/security.txt

## Que Inclure

Veuillez fournir :
- Produit(s) et version(s) affectés
- Description de la vulnérabilité
- Étapes pour reproduire
- Évaluation de l'impact potentiel
- Votre suggestion de remédiation (optionnel)
- Vos coordonnées pour le suivi

## Nos Engagements

| Délai | Action |
|-------|--------|
| 3 jours ouvrables | Accusé de réception de votre rapport |
| 10 jours ouvrables | Évaluation initiale et notation de sévérité |
| Tous les 14 jours | Mise à jour de statut jusqu'à résolution |
| 90 jours | Objectif de résolution pour la plupart des vulnérabilités |

Nous pouvons demander des extensions pour les vulnérabilités complexes nécessitant
des correctifs coordonnés sur plusieurs produits ou fournisseurs.

## Divulgation Coordonnée

Nous suivons un calendrier de divulgation de 90 jours :
- Jour 0 : Vous signalez la vulnérabilité
- Jours 1-90 : Nous travaillons sur la remédiation
- Jour 90 : Divulgation publique coordonnée

**Extensions :** Nous pouvons demander jusqu'à 30 jours supplémentaires pour :
- Correctifs complexes multi-composants
- Vulnérabilités matérielles nécessitant une coordination de chaîne d'approvisionnement
- Coordination multi-fournisseurs

**Divulgation Anticipée :** Vous pouvez divulguer plus tôt si :
- Nous ne répondons pas sous 14 jours
- Nous indiquons aucune intention de corriger
- La vulnérabilité est activement exploitée

## Safe Harbor

Nous n'engagerons pas de poursuites judiciaires contre les chercheurs qui :
- Agissent de bonne foi et se conforment à cette politique
- Évitent d'accéder, modifier ou supprimer des données utilisateur
- Ne perturbent pas nos services ni ne nuisent à nos clients
- Signalent les vulnérabilités rapidement
- Permettent un délai raisonnable pour la remédiation avant divulgation

Ce safe harbor s'applique aux violations potentielles de :
- Lois sur les abus informatiques
- Nos conditions d'utilisation
- Exigences de protection des données (pour accès incident pendant la recherche)

## Reconnaissance

Nous maintenons un Hall of Fame Sécurité à entreprise.com/security/thanks
reconnaissant les chercheurs qui ont aidé à améliorer notre sécurité.

Nous n'exploitons pas actuellement de programme de bug bounty payant.
[OU : Nous offrons des bounties via [plateforme]. Voir [lien] pour les détails.]

## Hors Champ

Les éléments suivants sont hors du champ de cette politique :
- Ingénierie sociale des employés ou clients
- Attaques physiques sur nos installations
- Attaques de déni de service
- Découvertes de scanners automatisés sans impact démontré
- Problèmes dans les services tiers
- Vulnérabilités déjà signalées

## Contact

Équipe Sécurité : security@entreprise.com
Questions sur la Politique : security-policy@entreprise.com
Clé PGP : [lien]

Dernière Mise à Jour : [Date]

Checklist d'Implémentation

Configuration de l'Infrastructure

CHECKLIST INFRASTRUCTURE CVD

CANAUX DE CONTACT :
[ ] security@entreprise.com configuré et surveillé
[ ] Formulaire web créé avec champs requis
[ ] Clé PGP générée et publiée
[ ] Fichier security.txt déployé (voir guide séparé)
[ ] Page /security ou /security/report créée

PROCESSUS INTERNE :
[ ] Équipe de triage identifiée
[ ] Chemin d'escalade défini
[ ] Système de suivi SLA en place
[ ] Réponses modèles préparées
[ ] Processus de coordination de divulgation documenté

DOCUMENTATION :
[ ] Politique CVD écrite et approuvée
[ ] Politique publiée sur le site web
[ ] Procédures de gestion internes documentées
[ ] Modèles de communication chercheur prêts
[ ] Page Hall of Fame créée (optionnel)

TESTS :
[ ] Rapport test soumis en interne
[ ] Suivi des temps de réponse vérifié
[ ] Processus d'escalade testé
[ ] Coordination de divulgation testée

Modèles de Communication avec les Chercheurs

Accusé de Réception (Jour 0-3) :

Objet : [Ticket #] - Rapport de Vulnérabilité Reçu

Cher [Chercheur],

Merci d'avoir signalé une vulnérabilité de sécurité potentielle dans
[Nom du Produit]. Nous avons reçu votre rapport et lui avons attribué
le numéro de suivi [Ticket #].

Notre équipe sécurité examinera votre soumission et fournira une
évaluation initiale sous 10 jours ouvrables.

Veuillez référencer [Ticket #] dans les correspondances futures.

Des questions ? Répondez à cet email ou contactez security@entreprise.com.

Cordialement,
Équipe Sécurité [Nom de l'Entreprise]

Évaluation Initiale (Jour 10) :

Objet : [Ticket #] - Évaluation Initiale Terminée

Cher [Chercheur],

Nous avons terminé notre évaluation initiale de la vulnérabilité
signalée dans [Nom du Produit].

Résumé de l'Évaluation :
- Sévérité : [Critique/Haute/Moyenne/Basse]
- Statut : [Confirmé/En Investigation/Impossible à Reproduire]
- Versions Affectées : [Liste]
- Objectif de Résolution : [Date, typiquement sous 90 jours]

Prochaines Étapes :
[Description de l'approche de remédiation planifiée]

Nous fournirons des mises à jour de statut tous les 14 jours. Date
cible de divulgation actuelle : [Date].

Merci d'aider à améliorer notre sécurité.

Cordialement,
Équipe Sécurité [Nom de l'Entreprise]

Notification de Résolution :

Objet : [Ticket #] - Vulnérabilité Résolue

Cher [Chercheur],

Nous avons résolu la vulnérabilité que vous avez signalée dans [Nom du Produit].

Détails de la Résolution :
- Version Correctif : [Numéro de version]
- Date de Publication : [Date]
- ID CVE : [Si attribué]

Divulgation Coordonnée :
Nous prévoyons de publier un avis de sécurité le [Date].

Souhaitez-vous être crédité dans notre avis ?
[ ] Oui, créditez-moi en tant que : [Nom/Pseudo]
[ ] Oui, créditez-moi anonymement
[ ] Pas de crédit nécessaire

Merci pour votre divulgation responsable. Votre contribution
a été ajoutée à notre Hall of Fame Sécurité à [URL].

Cordialement,
Équipe Sécurité [Nom de l'Entreprise]

Gérer les Scénarios Courants

Scénario 1 : Le Chercheur Exige une Divulgation Immédiate

Situation : Le chercheur insiste sur un calendrier de 30 jours au lieu de 90.

Réponse :

1. Expliquez votre calendrier standard et la raison (correctif approfondi, tests)
2. Proposez un compromis si possible (60 jours avec mises à jour de statut)
3. Si le chercheur insiste, escaladez en interne
4. Documentez le désaccord et vos efforts de bonne foi
5. Priorisez le correctif, vous devrez peut-être accélérer

Scénario 2 : Rapport en Double

Situation : Vulnérabilité déjà connue ou précédemment signalée.

Réponse :

Objet : [Ticket #] - Rapport en Double

Cher [Chercheur],

Merci pour votre rapport concernant [type de vulnérabilité] dans
[Nom du Produit].

Ce problème a été précédemment signalé et est actuellement en cours
de traitement. Ticket original : [Référence].

Résolution attendue : [Date]

Bien que nous ne puissions pas offrir de reconnaissance pour les rapports
en double, nous apprécions votre attention à notre sécurité.

Cordialement,
Équipe Sécurité [Nom de l'Entreprise]

Scénario 3 : Rapport Hors Champ

Situation : Le rapport couvre quelque chose hors de votre champ CVD.

Réponse :

Objet : [Ticket #] - Hors Champ

Cher [Chercheur],

Merci pour votre rapport. Après examen, nous avons déterminé que ce
problème est hors du champ de notre politique de divulgation des vulnérabilités.

Raison : [ex. "Service tiers non contrôlé par nous"]

Si vous pensez que cette évaluation est incorrecte, veuillez répondre avec
un contexte supplémentaire.

Pour les problèmes avec [tiers], veuillez les contacter à [contact].

Cordialement,
Équipe Sécurité [Nom de l'Entreprise]

Scénario 4 : Exploitation Active Découverte

Situation : Pendant l'investigation, vous découvrez que la vulnérabilité est exploitée.

Réponse :

1. Déclenchez le signalement ENISA (exigence 24 heures)
2. Informez le chercheur du changement de situation
3. Accélérez la remédiation
4. Considérez une divulgation coordonnée anticipée
5. Préparez la notification client

Objet : [Ticket #] - Mise à Jour Urgente

Cher [Chercheur],

Nous avons découvert une exploitation active de la vulnérabilité que vous
avez signalée. Nous :

1. Accélérons notre calendrier de remédiation
2. Notifions les autorités compétentes comme requis
3. Préparons la communication client

Nous devons coordonner la divulgation de manière urgente. Veuillez nous
contacter à [téléphone/canal sécurisé] pour discuter du calendrier.

NE divulguez PAS publiquement pour le moment, cela pourrait augmenter
les dommages aux utilisateurs avant que les correctifs ne soient disponibles.

Contact urgent : [Téléphone/Signal]

Équipe Sécurité [Nom de l'Entreprise]

Intégrer CVD et Signalement ENISA

Votre processus CVD doit se connecter à votre obligation de signalement ENISA :

ARRIVÉE DU RAPPORT DU CHERCHEUR
         │
         ▼
    TRIAGE & ÉVALUATION
         │
         ├── Pas d'exploitation active ──→ Processus CVD standard
         │                                 (calendrier 90 jours)
         │
         └── Exploitation active ──→ DÉCLENCHER SIGNALEMENT ENISA
              détectée                    │
                                         ▼
                                   Alerte Précoce 24h
                                         │
                                         ▼
                                   Rapport Détaillé 72h
                                         │
                                         ▼
                                   CVD Accéléré
                                   (coordonner avec ENISA)

Erreurs Courantes

Pas de Politique Publiée

Problème : La politique existe en interne mais n'est pas publique.

Correction : Publiez à une URL découvrable. Les chercheurs ne peuvent pas suivre une politique qu'ils ne peuvent pas trouver.

Délais Irréalistes

Problème : Promettre une réponse en 7 jours quand vous ne pouvez pas livrer.

Correction : Définissez des engagements atteignables. Promettez moins, livrez plus.

Safe Harbor Manquant

Problème : Pas de protection juridique pour les chercheurs.

Correction : Ajoutez un langage de safe harbor explicite. Sans lui, les chercheurs pourraient ne pas vous signaler.

Traiter les Chercheurs comme des Menaces

Problème : Menaces juridiques, réponses agressives, ignorer les rapports.

Correction : Les chercheurs vous aident. Traitez-les comme des partenaires.

Pas de Processus Interne

Problème : Politique publiée mais personne ne sait comment gérer les rapports.

Correction : Documentez les procédures internes. Formez l'équipe. Testez avec des simulations.

Checklist Politique CVD

CHECKLIST COMPLÉTUDE POLITIQUE CVD

CHAMP D'APPLICATION :
[ ] Produits couverts listés
[ ] Éléments hors champ définis
[ ] Champ géographique clair (si pertinent)

CONTACT :
[ ] Adresse email fournie
[ ] Formulaire web disponible
[ ] Clé PGP publiée
[ ] security.txt déployé
[ ] Canaux de réponse surveillés

CALENDRIER :
[ ] Délai d'accusé de réception indiqué
[ ] Délai d'évaluation indiqué
[ ] Objectif de résolution indiqué
[ ] Calendrier de divulgation indiqué
[ ] Conditions d'extension définies

JURIDIQUE :
[ ] Déclaration de safe harbor incluse
[ ] Activités couvertes définies
[ ] Exigences de bonne foi indiquées

RECONNAISSANCE :
[ ] Processus de crédit expliqué
[ ] Hall of Fame (si applicable)
[ ] Programme bounty (si applicable)

PROCESSUS :
[ ] Triage interne documenté
[ ] Chemin d'escalade défini
[ ] Réponses modèles prêtes
[ ] Intégration ENISA planifiée

Important : Une politique de Divulgation Coordonnée des Vulnérabilités (CVD) est obligatoire sous le CRA. Vous devez la publier et la rendre facilement accessible (idéalement via security.txt).

Conseil : Engagez-vous sur des délais de réponse précis dans votre politique CVD : accusé de réception sous 3 jours, évaluation initiale sous 10 jours, objectif de résolution sous 90 jours.

Guides Connexes

• Configuration de security.txt pour la Conformité CRA
• Signalement des Vulnérabilités à l'ENISA : L'Exigence de 24 Heures
• Guide des Sanctions et de l'Application du CRA

Comment CRA Evidence Aide

CRA Evidence inclut le support de workflow CVD :

• Suivi de réception des rapports : Enregistrez et suivez les rapports des chercheurs
• Gestion des délais : Suivi automatique des SLA
• Intégration ENISA : Déclenchez le signalement quand une exploitation est détectée
• Documentation : Piste d'audit pour la conformité réglementaire

Établissez votre processus CVD avec app.craevidence.com.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié.