Aller au contenu principal

Gestion et signalement des vulnérabilités

Obligations CRA

L’Annexe I, Partie II et les Articles 53–57 imposent des obligations fortes en matière de :

  • réception des rapports de vulnérabilités,
  • triage et correction,
  • fourniture de mises à jour de sécurité,
  • signalement de certains incidents aux autorités.

Politique CVD

Alignée sur ISO/IEC 29147 et 30111 : point de contact sécurité, clé de chiffrement, délais de réponse, périmètre de tests, « safe harbour » juridique, processus interne d’enregistrement et de suivi des tickets.

Processus Intake → Triage → Remédiation

  1. Intake – enregistrement, évaluation rapide de la sévérité (CVSS, exploitabilité).
  2. Triage – reproduction sur matériel représentatif, identification de toutes les variantes affectées (via SBOM).
  3. Remédiation – correction, tests, nouvelles images signées, mise à jour SBOM/VEX, avis de sécurité.
  4. Déploiement & suivi – déploiement via pipeline sécurisé, surveillance de la télémétrie.

L’utilisation de VEX pour relier chaque CVE aux composants SBOM et aux versions de produit démontre une gestion systématique des vulnérabilités.1

Partager cette page

Partager sur LinkedIn