ENISA intègre ses premières CNAs : ce que cela signifie pour l'Article 14 du CRA

ENISA intègre de nouvelles autorités européennes dans le Programme CVE. Découvrez l'impact sur le signalement des vulnérabilités au titre de l'Article 14 du CRA.

CRA Evidence Team Publié 6 mai 2026
ENISA CVE Root et signalement des vulnérabilités au titre de l'Article 14 du CRA : chaîne d'identification des vulnérabilités en Europe
Dans cet article

L'horloge des 24 heures prévue à l'Article 14 du CRA démarre dès que vous avez des raisons sérieuses de croire à une exploitation active. Cette horloge repose sur une chaîne d'identification des vulnérabilités qui doit fonctionner. ENISA vient de rendre cette chaîne plus directe.

Le 6 mai 2026, ENISA a annoncé que quatre nouvelles organisations rejoignent le Programme CVE en tant qu'autorités d'attribution de numéros CVE (CNA) sous la racine ENISA. Sept CNA européennes existantes ont également migré depuis la racine MITRE vers la racine ENISA. Pour tout fabricant qui prépare sa conformité à l'Article 14 du CRA, cette infrastructure opérationnelle devient enfin réelle.

Cette annonce a plus de portée qu'il n'y paraît. Le CRA ne fonctionne pas en vase clos. Il définit des obligations légales, mais ces obligations dépendent d'une infrastructure qui doit exister et fonctionner avant le 11 septembre 2026. Le développement de la racine CVE par ENISA fait partie de cette infrastructure. Le fait que cela se produise maintenant, avec une échéance aussi proche, est à la fois rassurant et révélateur : l'UE assemble encore ses mécanismes pendant que l'horloge tourne.

Résumé

  • ENISA est une racine CVE pour les entités européennes. ENISA a obtenu ce statut en novembre 2025 et a intégré ses premières CNA en mai 2026.
  • 4 nouvelles CNA rejoignent le Programme CVE sous la racine ENISA, formées et intégrées directement par ENISA. 7 CNA européennes existantes migrent depuis la racine MITRE.
  • Plus de 90 CNA européennes sont éligibles à la migration volontaire sous la racine ENISA. L'Europe représente déjà près d'un cinquième des 510 CNA réparties dans 42 pays à l'échelle mondiale.
  • L'Article 14 du CRA impose aux fabricants de signaler les vulnérabilités activement exploitées dans les 24 heures via la Plateforme de signalement unique d'ENISA (SRP), applicable à partir du 11 septembre 2026.
  • Les identifiants CVE constituent l'identifiant commun pour ce signalement. ENISA en tant que racine CVE signifie que l'Europe attribue désormais les identifiants CVE directement, sans passer par MITRE.
  • L'accélération par l'IA est un facteur explicitement cité. Hans de Vries d'ENISA a mentionné les modèles d'IA de pointe qui réduisent l'intervalle entre la découverte d'une vulnérabilité et son exploitation.
  • L'Acte sur la cybersécurité 2 propose des ressources opérationnelles supplémentaires pour ENISA afin de faire face à la montée en charge.
4
Nouvelles CNA sous la racine ENISA
intégrées en mai 2026
7
Migrées depuis MITRE
CNA européennes existantes, nouvelle racine
90+
CNA européennes éligibles
migration volontaire ouverte
Nov 2025
ENISA est devenue racine CVE
premières CNA intégrées en mai 2026

Source : annonce ENISA, 6 mai 2026.

Pourquoi les identifiants CVE sont essentiels à votre signalement Article 14

Lorsque l'Article 14 du CRA vous impose de signaler une vulnérabilité activement exploitée, le rapport doit identifier la vulnérabilité avec précision. Les identifiants CVE constituent le standard mondial pour cette identification. C'est ce qu'utilise la Base de données européenne des vulnérabilités (EUVD) d'ENISA. C'est ce qu'attendra la Plateforme de signalement unique d'ENISA.

L'attribution d'un identifiant CVE nécessite une CNA. Si aucune CNA européenne ne couvrait votre catégorie de logiciels, vous deviez passer par MITRE. MITRE est basée aux États-Unis. La coordination fonctionnait, mais elle introduisait une latence. Sous une horloge de 24 heures, cette latence constitue un risque de conformité.

ENISA en tant que racine CVE modifie ce routage. Les CNA européennes coordonnent désormais l'attribution des CVE directement avec ENISA. Pour la plupart des fabricants, ce changement est invisible au quotidien. Vous n'avez pas besoin d'être une CNA. Cependant, le chercheur en sécurité qui découvre une faille dans votre produit, ou le CSIRT qui traite votre divulgation, opère désormais sous une autorité racine géographiquement alignée avec l'agence à laquelle vous signalez au titre de l'Article 14.

C'est cette infrastructure dont dépend votre fenêtre de 24 heures. En France, l'ANSSI joue également un rôle central : en tant que CSIRT national, elle est désignée coordinatrice pour les entités françaises soumises à l'Article 14.

La chaîne de signalement au titre de l'Article 14 du CRA

L'Article 14(1) du CRA impose aux fabricants de signaler simultanément au CSIRT coordinateur et à ENISA, via la Plateforme de signalement unique d'ENISA. Vous déposez un seul rapport. Les deux destinataires le reçoivent.

Mais la SRP a besoin d'un identifiant CVE pour ancrer le rapport. Le rôle d'ENISA en tant que racine CVE signifie que l'étape d'identification et l'étape de signalement relèvent désormais de la même agence. L'organisme qui nomme la vulnérabilité est le même que celui auquel vous signalez. Cela comble un défaut de coordination qui existait lorsque ces deux fonctions étaient assurées par des organisations distinctes situées sur des continents différents.

Une agence, deux rôles

ENISA attribue désormais les identifiants CVE pour les entités européennes et reçoit les signalements au titre de l'Article 14 via la SRP. L'agence qui nomme la vulnérabilité est la même que celle à laquelle vous signalez au titre du CRA.

Consultez le guide de signalement Article 14 pour le détail complet des délais de 24 h, 72 h et 14 jours, ainsi que le contenu du dépôt via la SRP.

Le problème de l'accélération par l'IA

Hans de Vries, directeur des opérations de cybersécurité d'ENISA, a été direct sur les raisons pour lesquelles cela compte maintenant :

À l'heure où les modèles d'IA de pointe accélèrent la découverte et l'exploitation des vulnérabilités, la capacité européenne de gestion des vulnérabilités doit suivre le rythme et apporter un soutien opérationnel fiable à l'ensemble de la communauté de la cybersécurité.

Hans de Vries, directeur des opérations de cybersécurité, ENISA · 6 mai 2026

Les outils d'IA réduisent le délai entre la découverte d'une faille et son exploitation. L'intervalle entre « un chercheur la découvre » et « votre horloge Article 14 de 24 heures commence » se raccourcit. Deux conséquences en découlent. D'abord, votre processus de triage interne doit s'adapter à une chronologie des menaces plus rapide. Ensuite, l'étape d'attribution des CVE dans la chaîne doit suivre la même cadence. ENISA construit cette capacité maintenant. L'Acte sur la cybersécurité 2 propose des ressources opérationnelles supplémentaires pour ENISA spécifiquement destinées à cette fonction.

Ce que vous n'avez pas à faire

Vous n'avez pas à devenir une CNA. Le statut d'autorité d'attribution de numéros CVE est réservé aux organisations qui découvrent et publient des enregistrements de vulnérabilités. La plupart des fabricants ne sont pas des CNA et le CRA ne l'exige pas.

Ce que l'Annexe I, section II du CRA impose, c'est une politique de divulgation coordonnée des vulnérabilités (CVD). Cette politique décrit comment votre organisation reçoit, traite et divulgue les vulnérabilités. Dans ce cadre, vous travaillez avec des CNA ou des CSIRT qui s'occupent de l'attribution des CVE. ENISA en tant que racine CVE signifie que ces partenaires opèrent désormais sous une structure d'autorité européenne plus directe.

Vérifiez votre politique CVD à la lumière de trois questions avant le 11 septembre 2026 :

  1. Nomme-t-elle la voie de signalement ? La politique doit mentionner la SRP d'ENISA comme canal de dépôt pour les signalements au titre de l'Article 14.
  2. Précise-t-elle comment vous traitez les signalements entrants ? Lorsqu'un chercheur vous signale une vulnérabilité, la politique doit décrire votre délai de réponse et le processus de demande de CVE.
  3. Identifie-t-elle votre CSIRT coordinateur ? L'Article 14(7) impose aux fabricants de désigner un CSIRT coordinateur. En France, ce rôle est assuré par l'ANSSI. Cette désignation doit figurer dans la politique.

Consultez le modèle de politique CVD pour un point de départ structuré.

Notre analyse

La ligne « renforcer, ne pas fragmenter » est la bonne. Le risque lié à toute infrastructure spécifiquement européenne est la fragmentation. Un silo CVE européen qui divergerait de MITRE nuirait à tout le monde, y compris aux fabricants européens qui travaillent avec des chaînes d'approvisionnement mondiales. L'annonce est explicite : ENISA travaille avec la CISA et MITRE dans le cadre d'un engagement commun envers le programme mondial.

Le message le plus important pour les fabricants relève du calendrier. L'infrastructure s'assemble en même temps que vous êtes censés vous y conformer. La SRP n'est pas encore en ligne. La racine CVE compte 11 CNA sur plus de 90 éligibles. Ces éléments seront prêts d'ici septembre 2026, mais vous devez l'être aussi, et construire votre processus sur une infrastructure encore en cours de déploiement est plus difficile que de le bâtir sur des bases stables.

Questions fréquentes

Le fait qu'ENISA devienne racine CVE modifie-t-il mes obligations de signalement au titre de l'Article 14 ?

Non. Vos obligations au titre de l'Article 14 restent inchangées. Vous signalez toujours les vulnérabilités activement exploitées dans les 24 heures via la SRP d'ENISA à partir du 11 septembre 2026. Ce qui change, c'est l'infrastructure derrière la plateforme. ENISA prend désormais en charge l'attribution des identifiants CVE directement pour les entités européennes, ce qui réduit la latence de coordination entre l'identification d'une vulnérabilité et l'étape de signalement. Consultez le guide de signalement Article 14 pour le détail complet des obligations.

Dois-je devenir une autorité d'attribution de numéros CVE pour me conformer au CRA ?

Non. Le statut de CNA est réservé aux organisations qui découvrent et publient des enregistrements de vulnérabilités. Le CRA exige une politique de divulgation coordonnée des vulnérabilités au titre de l'Annexe I, section II, et un signalement via la SRP d'ENISA au titre de l'Article 14. Ces exigences sont distinctes de l'appartenance à une CNA. La plupart des fabricants se conforment en travaillant avec des CNA ou des CSIRT existants plutôt qu'en détenant eux-mêmes le statut de CNA.

Quand ENISA est-elle devenue racine CVE et qu'est-ce que cela signifie concrètement ?

ENISA est devenue racine CVE pour les entités européennes en novembre 2025. En tant que racine, elle recrute, intègre, forme et gère les CNA dans son périmètre, et coordonne l'attribution des identifiants CVE ainsi que la publication des enregistrements pour les entités européennes. Les premières intégrations de CNA sous la racine ENISA ont été annoncées le 6 mai 2026 : quatre nouvelles CNA et sept migrant depuis la racine MITRE. Concrètement, les CNA européennes coordonnent désormais l'attribution des CVE avec ENISA plutôt que de passer par MITRE, basée aux États-Unis.

Qu'est-ce que la Base de données européenne des vulnérabilités et quel est son lien avec la racine ENISA ?

ENISA exploite la Base de données européenne des vulnérabilités (EUVD), qui répertorie les vulnérabilités en utilisant les identifiants CVE comme référence commune. En tant que racine CVE, ENISA contrôle désormais l'attribution de ces identifiants pour les entités européennes. La base de données et l'autorité d'attribution sont alignées sous une même agence. Les fabricants peuvent utiliser l'EUVD pour vérifier si une vulnérabilité a déjà été enregistrée, avant ou après avoir déposé un signalement Article 14 via la SRP.

Pourquoi l'argument de l'accélération par l'IA compte-t-il pour votre préparation au CRA ?

Le directeur des opérations de cybersécurité d'ENISA a cité les modèles d'IA de pointe qui réduisent le délai entre la découverte d'une vulnérabilité et son exploitation. Une fenêtre découverte-exploitation plus courte signifie moins de marge entre le moment où un chercheur découvre une faille et le démarrage de votre horloge Article 14 de 24 heures. Votre processus de triage interne doit être conçu pour ce rythme. Réalisez un exercice de simulation face à la fenêtre de 24 heures avant le 11 septembre 2026 pour vérifier la robustesse de votre processus.

Quelle est la différence entre la racine MITRE et la racine ENISA pour les CNA européennes ?

MITRE est l'organisation américaine qui a historiquement servi de racine CVE mondiale. Les CNA européennes sous la racine MITRE coordonnaient l'attribution des CVE via MITRE. Sous la racine ENISA, ces CNA coordonnent directement avec ENISA. Le format des identifiants CVE et les règles du Programme CVE restent inchangés. La différence tient à l'autorité racine : européenne, mandatée par l'UE, et intégrée à la SRP d'ENISA et à l'EUVD par lesquelles les fabricants soumis au CRA signalez leurs vulnérabilités.

Ce que vous devez faire avant le 11 septembre 2026

  1. Vérifiez votre politique de divulgation coordonnée des vulnérabilités. Confirmez qu'elle nomme la SRP d'ENISA comme canal de signalement au titre de l'Article 14 et désigne un CSIRT coordinateur. En France, ce rôle revient à l'ANSSI. Utilisez le modèle de politique CVD comme référence.
  2. Réalisez un exercice de simulation face à la fenêtre Article 14 de 24 heures. Identifiez qui dans votre organisation déclenche l'horloge, qui dépose le signalement et comment l'identifiant CVE est obtenu. Consultez le guide de signalement Article 14 pour le détail complet de la cadence.
  3. Identifiez les CNA ou CSIRT avec lesquels vous travaillez pour les demandes d'identifiants CVE. S'ils sont européens, vérifiez s'ils opèrent sous la racine ENISA. Cela détermine votre premier point de contact lorsqu'une vulnérabilité a besoin d'un identifiant avant le signalement.
  4. Suivez les mises à jour de la SRP d'ENISA concernant la période de test et la date de mise en service. Aucune URL d'inscription n'a encore été publiée. Consultez la page SRP d'ENISA pour les mises à jour avant l'échéance de septembre.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des orientations spécifiques en matière de conformité, consultez un conseil juridique qualifié.

CRA ENISA Gestion des vulnérabilités Sécurité
Share

Articles connexes

Retour à tous les articles

Le CRA s'applique-t-il à votre produit ?

Répondez à 6 questions simples pour savoir si votre produit relève du champ d'application du Cyber Resilience Act de l'UE. Obtenez votre résultat en moins de 2 minutes.

Vérifier maintenant

Prêt à atteindre la conformité CRA ?

Commencez à gérer vos SBOMs et votre documentation de conformité avec CRA Evidence.

Démarrer l'essai gratuit de 14 jours

Exploration approfondie des thèmes du CRA

Evergreen guides covering the specific requirements, processes, and roles defined by the Cyber Resilience Act.

Déclaration UE de conformité

Ce que la Déclaration de conformité doit contenir, qui la signe et quand elle est requise.

Lire le guide →
Évaluation de la conformité

Comment fonctionne l'évaluation de conformité sous le CRA et quand un organisme notifié est requis.

Lire le guide →
Documentation technique

Ce que la documentation technique CRA doit contenir (Annexe VII section par section) et comment les fabricants doivent la structurer.

Lire le guide →
Classification des produits

Comment le CRA classe les produits par niveau de risque et ce que chaque catégorie implique pour les obligations.

Lire le guide →
Exigences SBOM

Ce que le CRA exige pour les SBOM et comment BSI TR-03183 définit les critères de qualité.

Lire le guide →
Notification des vulnérabilités

Comment fonctionne l'obligation de notification à l'ENISA sous 24 heures et ce qui compte comme une vulnérabilité activement exploitée.

Lire le guide →
Obligations de l'importateur

Ce que l'article 19 exige des importateurs et comment vérifier la conformité du fabricant.

Lire le guide →
Planification de la période de support

Ce que l'obligation de période de support du CRA implique pour les mises à jour de sécurité et la planification de fin de vie.

Lire le guide →
View full CRA compliance guide