Signalement ENISA des vulnérabilités : l'horloge des 24 heures démarre le 11 septembre 2026

11 septembre 2026. À partir de cette date, vous avez 24 heures pour signaler les vulnérabilités activement exploitées à ENISA. Manquez le délai et vous faites face à des mesures d'application. L'ANSSI (Agence nationale de la sécurité des systèmes d'information) sera votre interlocuteur national dans ce processus.

Qu'est-ce qui déclenche le signalement CRA ?

Le CRA définit deux catégories nécessitant une notification obligatoire :

1. Vulnérabilités activement exploitées

Une vulnérabilité dans votre produit qui :

• Vous est connue (découverte en interne ou signalée de l'extérieur)
• A été exploitée par un acteur malveillant
• Affecte ou pourrait affecter les utilisateurs de votre produit

2. Incidents graves

Incidents de sécurité qui :

• Impactent la sécurité de votre produit
• Compromettent votre environnement de développement de manière affectant la sécurité du produit
• Causent une interruption de service significative aux utilisateurs
• Résultent en une compromission généralisée

Les deux catégories déclenchent les mêmes délais de signalement mais ont des fenêtres de rapport final différentes.

Avertissement : Le compteur de 24 heures démarre à la connaissance de l'exploitation active, pas à la confirmation. Si vous disposez de preuves fiables, le compteur tourne déjà.

Que signifie « activement exploitée » au sens du CRA ?

Le CRA définit une vulnérabilité activement exploitée comme une vulnérabilité où « un acteur malveillant utilise une faille ».

Ce n'est pas la même chose que :

• Une vulnérabilité rendue publique
• Une preuve de concept publiée
• Un chercheur démontrant l'exploitabilité

Cela signifie une utilisation malveillante réelle.

Scénarios à signaler vs non signalables

Le standard de « croyance raisonnable »

Vous n'avez pas besoin de preuve forensique de l'exploitation. Le standard est une croyance raisonnable basée sur les preuves disponibles :

• Patterns d'accès inhabituels cohérents avec des techniques d'exploit connues
• Rapports clients de compromission
• Renseignements sur les menaces indiquant que votre produit est ciblé
• Détection de code d'exploit conçu pour votre produit

En cas d'incertitude : Préférez signaler. Une alerte précoce prématurée qui s'avère infondée est bien meilleure qu'un délai manqué pour une exploitation réelle.

Délais de signalement

Les vulnérabilités et incidents suivent tous deux un modèle de signalement par étapes :

Chronologie vulnérabilité activement exploitée

DÉCOUVERTE → 24 HEURES → 72 HEURES → PATCH DISPONIBLE → 14 JOURS
    │           │           │            │                  │
    │           │           │            │                  └── Rapport Final
    │           │           │            └── Le compteur redémarre
    │           │           └── Notification Détaillée
    │           └── Alerte Précoce
    └── Le compteur démarre

Chronologie incident grave

DÉCOUVERTE → 24 HEURES → 72 HEURES → 1 MOIS
    │           │           │           │
    │           │           │           └── Rapport Final
    │           │           └── Notification Détaillée
    │           └── Alerte Précoce
    └── Le compteur démarre

Ce que contient chaque rapport

Alerte précoce (24 heures)

Information minimale pour alerter les autorités :

• Votre identité (fabricant)
• Identification du/des produit(s) affecté(s)
• Brève description de la vulnérabilité/incident
• Évaluation initiale de la gravité
• Si l'exploitation est confirmée ou suspectée
• Indication de la portée d'impact potentielle

Ce n'est pas une analyse complète. C'est une alerte que quelque chose de grave se passe.

Notification détaillée (72 heures)

Information élargie pour l'évaluation :

• Détails techniques de la vulnérabilité
• Versions et configurations affectées
• Méthode d'exploitation (si connue)
• Statut actuel de mitigation
• Estimation du calendrier de remédiation
• Utilisateurs/portée affectés connus
• Coordination avec d'autres parties (autres fournisseurs, CSIRTs)

Rapport final (14 jours pour vulns / un mois pour les incidents)

Analyse complète après remédiation :

• Analyse des causes profondes
• Description technique complète
• Actions de remédiation prises
• Leçons apprises
• Mesures de prévention mises en place
• Évaluation d'impact (utilisateurs affectés confirmés, exposition de données, etc.)

Où déclarez-vous une vulnérabilité à l'ENISA ?

Plateforme unique de signalement ENISA (SRP)

La SRP n'est pas opérationnelle en avril 2026. ENISA a contractualisé avec un prestataire et la plateforme est prévue pour ouvrir le 11 septembre 2026, date à laquelle les obligations de signalement entrent en vigueur. Une période de test est prévue avant cette date. Aucune URL d'inscription n'a été publiée. Surveillez la page SRP d'ENISA pour les mises à jour : https://www.enisa.europa.eu/topics/product-security-and-certification/single-reporting-platform-srp

Ce qui est confirmé :

• Plateforme web pour les soumissions
• Formulaires de signalement standardisés
• Une soumission unique acheminée vers le CSIRT national concerné

Ce que les fabricants peuvent faire maintenant :

• Préparer des modèles de rapport en utilisant la structure ci-dessous
• Identifier votre CSIRT coordinateur (voir ci-dessous)
• Définir les voies d'escalade internes et les personnes autorisées à signaler

Csirts nationaux

En vertu de l'Article 14(7) du Règlement (UE) 2024/2847, vous soumettez une seule fois via la SRP au CSIRT de l'État membre où votre organisation a son établissement principal. L'établissement principal désigne l'endroit où les décisions relatives à la cybersécurité des produits sont principalement prises.

Or, si vous êtes établi en dehors de l'UE, le CSIRT concerné est celui de votre mandataire dans l'UE. Si vous n'avez pas de mandataire, la cascade se reporte sur votre importateur, puis distributeur, puis le pays comptant la plus grande concentration d'utilisateurs.

Vous n'êtes pas tenu de notifier chaque CSIRT dans chaque pays où votre produit est vendu. En vertu de l'Article 16, ENISA achemine la notification vers les CSIRTs des pays de marché après votre soumission. Cette étape n'est pas de la responsabilité du fabricant.

Pour les produits dans plusieurs États membres

Une soumission à la SRP couvre votre obligation de signalement. Vous pouvez recevoir des suivis de plusieurs autorités nationales, mais il n'y a qu'une seule voie de soumission.

Checklist de préparation interne

Conseil : Pré-approuvez les modèles de notification et établissez des voies d'escalade 24/7 maintenant. On ne rédige pas des modèles pendant un délai de 24 heures.

N'attendez pas septembre 2026. Construisez vos processus maintenant.

1. Canaux de réception des vulnérabilités

Établissez des voies claires pour les signalements de vulnérabilités :

Fichier security.txt :

# https://votreproduit.com/.well-known/security.txt
Contact: mailto:security@votreentreprise.com
Contact: https://votreentreprise.com/security/report
Expires: 2027-01-01T00:00:00.000Z
Preferred-Languages: fr
Canonical: https://votreentreprise.com/.well-known/security.txt
Policy: https://votreentreprise.com/security/policy

Formulaire web pour les rapports structurés

Email dédié surveillé 24/7 (ou avec SLA clair)

2. Processus de triage interne

Définissez comment les rapports sont évalués :

TRIAGE RÉCEPTION VULNÉRABILITÉ

1. Réception Initiale (< 4 heures)
   - Accuser réception
   - Assigner à un membre de l'équipe sécurité
   - Vérification initiale de validité

2. Triage Technique (< 24 heures)
   - Confirmer que la vulnérabilité existe
   - Déterminer les versions affectées
   - Évaluer l'exploitabilité
   - Vérifier les preuves d'exploitation active

3. Évaluation de Gravité (< 24 heures)
   - Score CVSS (ou équivalent)
   - Évaluation d'impact business
   - Probabilité d'exploitation

4. Décision de Signalement (IMMÉDIAT si exploitation confirmée)
   - Cela nécessite-t-il une notification ENISA ?
   - Si oui, déclencher le compteur de 24 heures

3. Voies d'escalade

Définissez qui peut déclencher le signalement externe :

Principe clé : La personne qui découvre une exploitation potentielle doit pouvoir escalader immédiatement, 24/7.

4. Couverture hors heures ouvrées

Le compteur de 24 heures ne s'arrête pas le week-end ou les jours fériés.

Options :

• Rotation d'astreinte pour l'équipe sécurité
• Service de surveillance avec autorité d'escalade
• Chaîne de contact hors heures claire
• Signaleurs pré-autorisés pouvant soumettre des alertes précoces

5. Modèles de rapport

Préparez les modèles avant d'en avoir besoin :

Modèle d'Alerte Précoce :

ALERTE PRÉCOCE CRA ENISA

Fabricant : [Nom de l'Entreprise]
Date du Rapport : [Date/Heure UTC]
Type de Rapport : [ ] Vulnérabilité Activement Exploitée [ ] Incident Grave

PRODUIT(S) AFFECTÉ(S) :
- Nom du Produit :
- Version(s) :
- Catégorie de Produit :

RÉSUMÉ VULNÉRABILITÉ/INCIDENT :
[Brève description - 2-3 phrases]

STATUT D'EXPLOITATION :
[ ] Exploitation confirmée
[ ] Exploitation suspectée
Preuves : [Brève description des preuves]

ÉVALUATION INITIALE DE GRAVITÉ :
[ ] Critique [ ] Élevée [ ] Moyenne [ ] Faible
Base : [Score CVSS ou autre justification]

PORTÉE D'IMPACT POTENTIELLE :
- Utilisateurs affectés estimés :
- Portée géographique :
- Données à risque :

STATUT ACTUEL :
[ ] En cours d'investigation
[ ] Mitigation en cours
[ ] Patch en développement

CONTACT POUR SUIVI :
Nom :
Email :
Téléphone :

Ceci est une alerte précoce. Notification détaillée à suivre dans les 72 heures.

6. Testez votre processus

Effectuez des exercices de simulation avant septembre 2026 :

Scénario 1 : Vendredi 17h - Un chercheur en sécurité signale une vulnérabilité critique avec PoC

• À quelle vitesse pouvez-vous évaluer le risque d'exploitation ?
• Qui prend la décision de signalement le week-end ?

Scénario 2 : Un client signale une activité suspecte suggérant que votre produit était le point d'entrée

• Comment rassemblez-vous les preuves pour confirmer/infirmer l'exploitation ?
• Quel est votre seuil pour la « croyance raisonnable » ?

Scénario 3 : Les renseignements sur les menaces indiquent que votre produit est ciblé par un groupe APT

• Avez-vous une visibilité sur l'exploitation réelle ?
• Comment coordonnez-vous avec les fournisseurs externes de threat intel ?

Pièges courants

Attendre la certitude

Problème : Vouloir une preuve forensique avant de signaler.

Réalité : Le compteur de 24 heures démarre quand vous avez une croyance raisonnable. Si vous attendez la certitude, vous manquerez le délai.

Solution : Signalez tôt. Vous pouvez mettre à jour avec « plus considéré comme exploité » dans la notification détaillée si les preuves ne le confirment pas.

Confondre CVD et signalement

Problème : Traiter les rapports de chercheurs comme des notifications ENISA.

Réalité : La divulgation coordonnée des vulnérabilités et le signalement ENISA sont des processus séparés.

• CVD : Comment vous gérez les rapports de chercheurs, convenez des délais de divulgation
• ENISA : Notification obligatoire quand une exploitation se produit

Solution : Le processus CVD doit inclure un point de contrôle : « Y a-t-il des preuves d'exploitation ? » Si oui, déclenchez le signalement ENISA parallèlement au CVD.

Point unique de défaillance

Problème : Une seule personne peut autoriser les signalements, et elle est injoignable.

Réalité : L'exploitation peut être découverte à tout moment. Week-ends. Jours fériés. 3h du matin.

Solution : Plusieurs signaleurs autorisés. Délégation claire. Chaîne de contact d'urgence.

Pas de relation avec les csirts

Problème : Premier contact avec votre CSIRT national lors d'un incident.

Réalité : Construire des relations en amont rend la réponse aux incidents plus fluide.

Solution : Engagez-vous avec votre CSIRT national maintenant. Pour les fabricants français, l'ANSSI publie des ressources sur la coordination des incidents. Comprenez leurs processus. Rejoignez tout programme de sensibilisation des fabricants.

Exemptions pour les micro-entreprises et petites entreprises

Info : Les micro-entreprises et les petites entreprises sont exemptées des amendes spécifiques aux délais de 24 heures, mais doivent tout de même signaler. C'est un allègement de pénalité, pas une exemption de signalement.

Les micro-entreprises et les petites entreprises bénéficient d'un certain allègement en vertu de l'Article 64(10)(a) :

Exemption de délai de notification : Exemptées des amendes pour non-respect de l'alerte précoce de 24 heures prévue aux Articles 14(2)(a) et 14(4)(a). Le délai de notification détaillée de 72 heures (Articles 14(2)(b) et 14(4)(b)) n'est pas couvert. Le manquer peut entraîner des amendes quelle que soit la taille de l'entreprise.

Toujours requis :

• Le signalement (juste pas pénalisé pour le délai de 24 heures)
• Toutes les autres obligations CRA
• Les rapports finaux

Définition (Article 64(10)(a)) : S'applique aux micro-entreprises (moins de 10 salariés, chiffre d'affaires annuel ou bilan ≤ 2 millions EUR) et aux petites entreprises (moins de 50 salariés, chiffre d'affaires annuel ou bilan ≤ 10 millions EUR). Les moyennes entreprises (jusqu'à 250 salariés) ne sont pas couvertes par cette exemption.

Cette exemption couvre uniquement la pénalité de délai de l'alerte précoce de 24 heures. Tous les fabricants, y compris les micro-entreprises, doivent mettre en place des capacités de signalement.

Intégration avec les processus existants

Si vous avez déjà une réponse aux incidents

Mappez le signalement CRA à votre processus existant :

PROCESSUS IR EXISTANT          INTÉGRATION CRA
───────────────────────────────────────────────
Détection
    │
Triage ──────────────────→  Vérifier : Exploitation d'un produit CRA ?
    │                             │
Confinement                       ├─ OUI : Déclencher compteur 24h
    │                             │        Soumettre alerte précoce
Investigation                     │
    │                             │
Remédiation ──────────────→  Notification détaillée 72h
    │
Récupération
    │
Leçons Apprises ──────────→  Rapport final 14j / 1 mois

Si vous avez des obligations NIS 2

Certaines organisations ont à la fois des obligations NIS 2 et CRA :

• NIS 2 : Incidents au niveau organisation/service
• CRA : Vulnérabilités et incidents au niveau produit

Ces obligations peuvent se chevaucher. Un seul incident peut nécessiter :

• Notification NIS 2 à l'autorité compétente
• Notification CRA à ENISA/CSIRT

ENISA a indiqué que la SRP prendra en charge le routage pour les deux régimes le cas échéant. Cela n'a pas été confirmé dans la guidance finale.

Checklist de préparation au signalement ENISA

CHECKLIST PRÉPARATION SIGNALEMENT ENISA

AVANT SEPTEMBRE 2026 :

CANAUX & CONTACTS
[ ] security.txt publié et à jour
[ ] Formulaire de signalement de vulnérabilité disponible
[ ] Email sécurité surveillé (définir SLA : ____ heures)
[ ] Contact CSIRT national identifié
[ ] Inscription SRP ENISA (quand disponible)

PROCESSUS INTERNE
[ ] Critères de triage documentés
[ ] Checklist d'évaluation d'exploitation créée
[ ] Voie d'escalade définie (noms, contacts)
[ ] Signaleurs autorisés identifiés
[ ] Couverture hors heures établie

DOCUMENTATION
[ ] Modèle d'alerte précoce préparé
[ ] Modèle de notification détaillée préparé
[ ] Modèle de rapport final préparé
[ ] Documents de briefing interne prêts

TESTS
[ ] Exercice de simulation complété
[ ] Escalade hors heures testée
[ ] Revue des modèles complétée

QUAND UNE EXPLOITATION EST DÉTECTÉE :

IMMÉDIAT (dans les 4 heures)
[ ] Évaluation initiale : Est-ce activement exploité ?
[ ] Heure de début du compteur documentée : ____________
[ ] Escalade au signaleur autorisé

DANS LES 24 HEURES
[ ] Alerte précoce soumise à ENISA SRP
[ ] Confirmation de soumission reçue
[ ] Parties prenantes internes notifiées

DANS LES 72 HEURES
[ ] Notification détaillée soumise
[ ] Statut de mitigation mis à jour
[ ] Communication client lancée (si approprié)

DANS LES 14 JOURS (vulnérabilité) / UN MOIS (incident)
[ ] Rapport final soumis
[ ] Leçons apprises documentées
[ ] Améliorations de processus identifiées

Prochaines étapes

Vous gérez la conformité CRA pour plusieurs produits ? CRA Evidence suit les échéances et fournit des modèles de rapports préremplis pour les divulgations de vulnérabilités de chaque produit.

Une fois votre processus de triage en place, configurez votre réception des vulnérabilités avec notre modèle de politique CVD. Consultez le guide des sanctions pour comprendre les conséquences en cas de délai manqué.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Pour des conseils de conformité spécifiques, consultez un conseiller juridique qualifié familier avec les réglementations produits de l'UE.