À partir du 11 septembre 2026, les fabricants de produits comportant des éléments numériques concernés par le Cyber Resilience Act devront signaler les vulnérabilités activement exploitées et les incidents graves affectant la sécurité de leurs produits.
Pour une vulnérabilité activement exploitée, le calendrier est particulièrement court :
Ces délais ne pourront pas être gérés efficacement avec une procédure improvisée au moment de l’attaque.
Pour un éditeur logiciel ou SaaS concerné par le CRA, la préparation doit commencer en amont : critères de qualification, responsables désignés, circuit de validation court, informations techniques disponibles, preuves conservées et exercices réguliers.
L’objectif n’est pas seulement de savoir remplir une notification. Il faut être capable de détecter, qualifier, décider et documenter en moins de 24 heures.
Non. Le simple fait de proposer un service SaaS ne signifie pas automatiquement que l’entreprise entre dans le champ du CRA.
Le règlement s’applique aux produits comportant des éléments numériques mis à disposition sur le marché européen, notamment des logiciels et matériels. Il peut aussi couvrir certaines solutions de traitement de données à distance lorsqu’elles sont intégrées à un produit et nécessaires à son fonctionnement.
Un éditeur doit donc vérifier précisément :
La Commission européenne travaille encore en 2026 sur des orientations concernant notamment les solutions de traitement de données à distance. Une analyse de périmètre doit donc précéder la mise en place du reporting.
Même lorsqu’un SaaS n’est pas directement concerné, la méthode présentée ici reste utile pour structurer la gestion des vulnérabilités et répondre aux attentes des clients ou partenaires soumis au CRA.
Le CRA distingue notamment deux situations :
Une vulnérabilité activement exploitée n’est pas simplement une faiblesse technique découverte dans le code ou publiée dans une base de vulnérabilités.
Elle suppose l’existence d’éléments fiables montrant qu’un acteur malveillant a exploité cette vulnérabilité dans un système sans l’autorisation de son propriétaire.
Il faut donc distinguer rapidement :
| Situation | Notification CRA obligatoire ? |
| Vulnérabilité théorique découverte en interne | Pas automatiquement |
| CVE publiée sans preuve d’exploitation active | Pas automatiquement |
| Tentative d’exploitation observée sans compromission confirmée | Analyse nécessaire |
| Exploitation active confirmée dans le produit | Oui, si le produit entre dans le champ du CRA |
| Incident grave affectant la sécurité du produit | Oui, selon les critères du règlement |
Cette qualification doit être documentée. Une vulnérabilité non déclarée doit pouvoir être réévaluée si de nouveaux éléments apparaissent.
Le fabricant doit transmettre une alerte initiale dans les 24 heures après avoir pris connaissance de la vulnérabilité activement exploitée.
Cette première notification peut être réalisée alors que l’analyse technique est encore incomplète.
Elle doit permettre de signaler rapidement :
Le point essentiel est le déclenchement du délai : il commence lorsque l’entreprise prend connaissance de la situation.
Cette notion impose de définir clairement en interne à quel moment une information devient suffisamment crédible pour être escaladée.
Dans les 72 heures, l’entreprise doit fournir une notification plus détaillée.
Elle doit notamment préciser, dans la mesure des informations disponibles :
La notification à 72 heures ne signifie pas que l’enquête doit être terminée. Elle doit cependant être suffisamment structurée pour permettre aux autorités de comprendre la situation.
Pour une vulnérabilité activement exploitée, le rapport final doit être transmis au plus tard 14 jours après la mise à disposition d’une mesure corrective ou d’atténuation.
Il doit notamment documenter :
Pour un incident grave, le délai du rapport final est différent : il doit être transmis dans le mois suivant la notification à 72 heures.
Les déclarations seront réalisées via la Single Reporting Platform, la plateforme unique de notification mise en place par l’ENISA.
La notification sera adressée au CSIRT de l’État membre dans lequel le fabricant possède son établissement principal. Sauf circonstance exceptionnelle, les informations seront également mises à disposition de l’ENISA.
La plateforme doit être opérationnelle au 11 septembre 2026, avec une phase de test prévue avant cette date.
Un éditeur ne doit donc pas attendre son premier incident pour découvrir :
Le principal risque est de rédiger une procédure CRA sans la relier aux opérations techniques.
Pour respecter le délai de 24 heures, plusieurs équipes doivent pouvoir travailler ensemble :
Une alerte peut provenir :
Si ces canaux ne convergent pas vers un processus commun, l’entreprise peut perdre plusieurs heures avant même de commencer la qualification.
Avant de construire le processus, l’éditeur doit recenser :
Cette cartographie permet d’éviter une question critique pendant l’incident :
Ce produit est-il réellement soumis à l’obligation de notification ?
La réponse doit être préparée et validée avant septembre 2026.
Il faut formaliser des critères simples permettant de distinguer :
Exemples de signaux d’escalade :
Le processus doit aussi prévoir les situations incertaines. En cas de doute, une cellule réduite doit pouvoir se réunir immédiatement pour décider si le délai CRA a commencé.
Le dispositif doit avoir un responsable principal et des suppléants.
| Rôle | Responsabilité |
| Responsable sécurité produit | Pilote la qualification et le processus CRA |
| Équipe technique | Analyse la vulnérabilité et les versions touchées |
| Responsable produit | Confirme le périmètre et l’impact utilisateur |
| Juridique ou conformité | Valide l’applicabilité et le contenu réglementaire |
| Direction | Arbitre les situations critiques |
| Communication | Prépare l’information des clients |
| Déclarant habilité | Soumet la notification sur la plateforme |
| Suppléant | Assure la continuité hors horaires ou en cas d’absence |
La responsabilité ne doit pas reposer sur une seule personne.
Le CRA peut se déclencher la nuit, pendant un week-end ou durant une période de congés. Il faut donc prévoir un mécanisme d’astreinte ou d’escalade adapté au niveau de risque du produit.
Un processus classique de validation juridique, technique et managériale peut prendre plusieurs jours. Il doit être adapté à l’échéance de 24 heures.
Un circuit réaliste peut être organisé ainsi :
L’alerte initiale ne doit pas attendre la fin de l’analyse technique.
L’entreprise doit accepter qu’elle sera parfois transmise avec des informations provisoires, clairement identifiées comme telles.
La meilleure façon de gagner du temps est de préparer les champs à l’avance.
Ces modèles doivent être compatibles avec les champs définitifs de la Single Reporting Platform dès qu’ils seront disponibles.
Le reporting CRA sera difficile si l’éditeur ne connaît pas précisément ses produits.
Il faut pouvoir retrouver rapidement :
Une nomenclature logicielle ou SBOM peut faciliter cette analyse, notamment lorsqu’une vulnérabilité provient d’un composant tiers.
Mais disposer d’une SBOM ne suffit pas. Elle doit être actualisée, exploitable et reliée aux versions réellement distribuées.
La conformité ne reposera pas uniquement sur la notification envoyée.
L’éditeur doit conserver :
La chronologie est particulièrement importante.
Elle doit permettre de démontrer :
La notification réglementaire ne remplace pas nécessairement l’information des utilisateurs.
L’éditeur doit prévoir :
La communication doit trouver un équilibre entre transparence et maîtrise du risque. Une publication trop détaillée avant le déploiement du correctif pourrait faciliter de nouvelles attaques.
Le circuit doit donc associer sécurité, produit, juridique et communication.
Une procédure non testée restera fragile.
Avant septembre 2026, un éditeur devrait organiser au minimum un exercice sur table simulant une vulnérabilité activement exploitée.
Un chercheur informe le support qu’une vulnérabilité d’authentification permet de contourner certains contrôles. Quelques heures plus tard, un client transmet des journaux montrant une exploitation probable.
L’exercice doit vérifier :
À la fin de l’exercice, un plan d’amélioration doit être produit avec un responsable et une échéance pour chaque action.
| Délai interneAction attendue | |
| 0 à 1 heure | Enregistrer le signalement et alerter la sécurité produit |
| 1 à 4 heures | Évaluer la crédibilité et identifier le produit |
| 4 à 8 heures | Réunir la cellule CRA et confirmer le périmètre |
| 8 à 16 heures | Préparer et valider l’alerte initiale |
| Avant 24 heures | Envoyer la notification initiale |
| 24 à 48 heures | Approfondir l’analyse et confirmer les versions |
| Avant 72 heures | Envoyer la notification complète |
| Après 72 heures | Finaliser la correction et informer les utilisateurs |
| Après publication du correctif | Préparer le rapport final |
| Sous 14 jours | Envoyer le rapport final sur la vulnérabilité |
Ces délais internes doivent être plus courts que les délais réglementaires afin de conserver une marge en cas de difficulté.
Un dispositif CRA opérationnel devrait contenir au minimum :
Le but n’est pas de produire une documentation excessive. Chaque document doit servir directement à respecter les délais ou à démontrer le fonctionnement du processus.
Certaines modalités continueront d’être précisées, mais les délais et les principales obligations sont déjà connus.
Il est possible de préparer les rôles, le circuit, les informations nécessaires et les exercices dès maintenant.
Toutes les vulnérabilités ne doivent pas être notifiées. Il faut disposer d’un processus de qualification documenté.
Le délai commence lorsque le fabricant prend connaissance de la situation, pas lorsque le comité de direction valide la déclaration.
L’alerte sous 24 heures est précisément conçue pour permettre une notification rapide avant la fin de l’enquête.
Les obligations de reporting concernent aussi les produits avec éléments numériques déjà mis sur le marché de l’Union, y compris avant l’entrée en application générale du CRA en décembre 2027.
Une exploitation active peut être découverte à tout moment. Le processus doit rester exécutable en dehors des horaires habituels.
La préparation peut être pilotée avec quelques indicateurs simples :
Ces indicateurs doivent servir à identifier les blocages, et non à produire un tableau de bord purement décoratif.
La préparation au reporting CRA ne repose pas sur un seul document. Elle implique plusieurs mesures, responsables, échéances, preuves et actions de remédiation.
CompliKey permet de structurer cette préparation en centralisant :
L’objectif n’est pas de remplacer la Single Reporting Platform ni de réaliser automatiquement la notification réglementaire.
Il est d’aider l’éditeur à vérifier que son dispositif est prêt avant septembre 2026 et que chaque obligation possède un responsable, une preuve et un plan de traitement.
À partir du 11 septembre 2026, les fabricants concernés devront signaler les vulnérabilités activement exploitées et les incidents graves affectant la sécurité de leurs produits.
Pour une vulnérabilité activement exploitée :
Pour être prêt, un éditeur doit :
Elles s’appliquent à partir du 11 septembre 2026. Les principales autres obligations du CRA entreront en application le 11 décembre 2027.
Une alerte initiale doit être envoyée dans les 24 heures après que le fabricant en a pris connaissance. Une notification plus complète doit suivre dans les 72 heures.
Pour une vulnérabilité activement exploitée, le rapport final doit être transmis au plus tard 14 jours après la mise à disposition d’une mesure corrective ou d’atténuation.
Non. L’obligation vise notamment les vulnérabilités activement exploitées. Une vulnérabilité théorique ou simplement publiée ne déclenche pas automatiquement la notification.
Non. L’applicabilité dépend de la qualification du produit, de son mode de mise à disposition et du rôle éventuel d’une solution de traitement de données à distance. Une analyse de périmètre est nécessaire.
Elles devront être transmises par l’intermédiaire de la Single Reporting Platform mise en place par l’ENISA.
Non. L’ENISA prévoit une période de test avant son entrée en service. Les entreprises doivent préparer en parallèle leurs comptes, habilitations, contacts et processus internes.
Le reporting CRA ne sera pas seulement une obligation juridique. Il deviendra un test concret de la maturité de la gestion des vulnérabilités des éditeurs.
Respecter le délai de 24 heures suppose de savoir rapidement :
Les entreprises qui attendront leur première vulnérabilité activement exploitée pour organiser ce circuit prendront un risque important.
La priorité avant le 11 septembre 2026 est donc claire : transformer les délais réglementaires en un processus testé, documenté et exécutable, y compris lorsque les informations sont encore incomplètes.