Que signifie « aucune vulnérabilité exploitable connue » dans le Cyber Resilience Act ?

Alexis Hirschhorn· CEO, Acuna16 juillet 2026

Réponse directe

Le Règlement sur la cyberrésilience exige que les produits soient mis sur le marché sans vulnérabilité exploitable connue (annexe I). Il s'agit d'une exigence de qualité à la mise en circulation, distincte de l'obligation séparée de signaler les vulnérabilités activement exploitées par la suite. Le RCR est technologiquement neutre : il n'impose ni CVSS, ni EPSS, ni aucun modèle de scoring particulier.

Key Facts

  • L'annexe I exige une mise sur le marché sans vulnérabilité exploitable connue.
  • À distinguer d'une « vulnérabilité activement exploitée », déclencheur de signalement à l'article 14 (art. 3, point 42).
  • Technologiquement neutre : CVSS, EPSS et le catalogue KEV de la CISA sont des entrées utiles, pas des exigences légales.
  • Exige un tri systématique et défendable, pas un chiffre unique.
  • La gestion continue des vulnérabilités s'applique après la mise en circulation pendant toute la période de support.

« Aucune vulnérabilité exploitable connue » est une exigence de qualité à la mise sur le marché : un produit doit être mis à disposition sans faille exploitable connue et avec une configuration sécurisée par défaut (annexe I). Ce n'est pas la même chose que le déclencheur de signalement. Une « vulnérabilité activement exploitée », qui lance le compte à rebours de 24 heures, est une vulnérabilité pour laquelle existe une preuve fiable d'exploitation malveillante en conditions réelles (art. 3, point 42) ; l'obligation de l'annexe I porte sur ce que vous commercialisez, pas seulement sur ce que vous détectez ensuite. Le RCR est délibérément technologiquement neutre. Il exige une approche systématique et fondée sur les risques pour identifier et traiter les vulnérabilités, mais il ne codifie ni CVSS, ni EPSS, ni le catalogue KEV de la CISA. Les utiliser est pertinent pour démontrer un processus de tri défendable ; affirmer qu'ils sont légalement imposés est incorrect. Le règlement attend une décision documentée, pas un score particulier.

Et maintenant

Découvrez comment Acuna automatise ça

Que signifie « aucune vulnérabilité exploitable connue » dans le Cyber Resilience Act ? | Acuna GRC Answers | Acuna