Aller au contenu principal
Retour à l'aperçu

La base europeenne des vulnerabilites et la notification NIS2 : guide MSP

Par NIS2Certify
nis2divulgation-vulnerabiliteseuvdmspchaine-approvisionnement
La base europeenne des vulnerabilites et la notification NIS2 : guide MSP

En mai 2025, l'ENISA a discrètement mis en service la base de données européenne des vulnérabilités. À partir de septembre 2026, l'alimenter cesse d'être facultatif pour un large groupe de fournisseurs. Si vos clients développent, revendent ou intègrent des produits ICT, cette échéance figure désormais dans votre feuille de route — qu'ils le sachent ou non.

La plupart des discussions sur NIS2 tournent encore autour des registres de risques et de la notification d'incidents. La mécanique de divulgation coordonnée des vulnérabilités prévue à l'Article 12 est ignorée. C'est une erreur. C'est la partie de NIS2 qui change discrètement la façon dont vos clients découvrent les failles des produits qu'ils exploitent, et la façon dont leurs propres produits sont signalés quand quelque chose ne va pas.

Voici un guide pratique pour les consultants, MSP et vCISO : ce qu'est l'EUVD, ce que l'obligation de notification de septembre 2026 exige réellement, et comment opérationnaliser la divulgation coordonnée des vulnérabilités pour des clients qui n'y ont jamais réfléchi.

L'EUVD est la réponse de l'UE à un point de défaillance unique

Pendant vingt ans, le suivi mondial des vulnérabilités est passé par un seul programme financé par les États-Unis : le système CVE. Début 2025, ce financement a vacillé. Le programme CVE était à quelques jours d'une interruption avant une prolongation de dernière minute. L'Europe l'a remarqué.

La base de données européenne des vulnérabilités de l'ENISA — l'EUVD — est la réponse structurelle. Elle a été lancée en mai 2025 comme obligation au titre de l'Article 12 de NIS2. Ce n'est pas un remplacement de CVE ; elle intègre les enregistrements CVE, les avis des fournisseurs et le catalogue Known Exploited Vulnerabilities de la CISA, puis ajoute un contexte propre à l'UE.

Le résultat pratique se compose de trois vues de tableau de bord que vos clients peuvent utiliser dès aujourd'hui, gratuitement :

  • Vulnérabilités critiques — failles à impact sévère.
  • Vulnérabilités exploitées — ce qui est activement utilisé dans des attaques en ce moment.
  • Vulnérabilités coordonnées par l'UE — failles traitées via les CSIRT européens.

La vue « exploitées » est la plus importante sur le plan opérationnel. Elle indique au client lesquelles des milliers de CVE mensuelles sont réellement militarisées — c'est la différence entre un arriéré de correctifs et un exercice d'urgence.

L'Article 12 crée un pipeline de divulgation, pas seulement une base de données

La base de données est la partie visible. Le mécanisme sous-jacent est la divulgation coordonnée des vulnérabilités, et il change l'interlocuteur de vos clients lorsqu'ils trouvent une faille.

Chaque État membre a désigné l'un de ses CSIRT comme coordinateur national CVD. Ce coordinateur effectue un travail précis : il identifie et contacte les entités touchées par une vulnérabilité signalée, soutient le chercheur qui l'a signalée, négocie un calendrier de divulgation et gère les failles qui touchent plusieurs organisations à la fois. L'ENISA se situe au-dessus en tant que secrétariat du EU CSIRTs Network, coordonnant au-delà des frontières lorsqu'une seule faille menace des entités dans plusieurs pays.

Pour un consultant, la conclusion est concrète. Lorsque le chercheur en sécurité d'un client — ou un client, ou un participant à un programme de bug bounty — signale une faille dans le produit du client, il existe désormais un canal défini et une contrepartie définie. « On verra bien qui prévenir » n'est plus une réponse acceptable.

Calendrier de Notification des Incidents NIS2

24h

Alerte Précoce

Notifiez l'autorité compétente (CSIRT/ANC) dans les 24 heures suivant la prise de connaissance d'un incident significatif.

72h

Notification d'Incident

Soumettez une notification détaillée dans les 72 heures avec une première évaluation de la gravité, de l'impact et des indicateurs de compromission.

1mo

Rapport Final

Remettez un rapport final complet dans un délai d'un mois couvrant l'analyse des causes, les mesures prises et l'impact transfrontalier.

Septembre 2026 : la notification des vulnérabilités activement exploitées devient obligatoire

Voici la date à présenter aux clients. À partir de septembre 2026, la notification des vulnérabilités activement exploitées devient obligatoire pour les fabricants de produits ICT.

Cette obligation ne s'applique pas de manière égale à chaque entité NIS2. Elle vise les fournisseurs — les organisations qui développent et livrent des logiciels et du matériel connecté. Mais la portée est plus large que la plupart des clients ne le supposent, car elle voyage à travers la chaîne d'approvisionnement. Un MSP qui développe une intégration sur mesure, un fournisseur SaaS relevant du champ d'application en tant qu'entité importante, un fabricant intégrant un firmware dans un appareil — tous peuvent porter une obligation de notification.

L'exigence est étroite mais nette. Ce n'est pas « signaler chaque CVE ». C'est : lorsque vous savez qu'une vulnérabilité de votre produit est activement exploitée, vous la notifiez. Cette distinction — activement exploitée, et non simplement découverte — fait du flux des vulnérabilités exploitées de l'EUVD la colonne vertébrale opérationnelle de l'obligation.

Pour les clients qui livrent des produits, trois questions ont besoin de réponses avant septembre 2026 :

  1. Qui, au sein de l'organisation, est responsable de décider qu'une vulnérabilité est « activement exploitée » ?
  2. Quel est le chemin de notification vers le CSIRT compétent, et est-il testé ?
  3. À quelle vitesse l'organisation peut-elle passer de la connaissance interne à la notification formelle ?

Si un client ne peut pas répondre à ces trois questions aujourd'hui, c'est l'écart à combler.

Comment l'obligation de divulgation se répercute le long de la chaîne d'approvisionnement

NIS2 a été délibérément construit pour que les obligations ne s'arrêtent pas à l'entité relevant du champ d'application. Les exigences de chaîne d'approvisionnement de l'Article 21 imposent des attentes de sécurité aux fournisseurs, et la divulgation coordonnée des vulnérabilités suit le mouvement.

Un exemple pratique : une entité essentielle du secteur de l'énergie exploite un composant SCADA d'un fournisseur de taille moyenne. Ce fournisseur n'est peut-être pas lui-même une entité NIS2. Mais les obligations de l'Article 21 de l'exploitant énergétique signifient que celui-ci doit gérer le risque de chaîne d'approvisionnement — ce qui signifie de plus en plus exiger du fournisseur un processus CVD opérationnel et la notification des failles exploitées. L'obligation se répercute par contrat, même là où elle ne s'applique pas par la loi.

Escalade des sanctions NIS2 — Au-delà de l'amende

!

Déclencheur

Non-conformité détectée ou incident survenu

Une autorité de contrôle identifie une lacune de conformité ou une organisation ne respecte pas les exigences NIS2

Les autorités peuvent imposer
Sanctions non financières
1

Ordres de mise en conformité avec délais contraignants

2

Audits de sécurité obligatoires à vos frais

3

Divulgation publique des violations

4

Instructions contraignantes sur des mesures de sécurité spécifiques

Escalade vers
Conséquences opérationnelles et personnelles
1

Suspension de certifications ou licences d'exploitation

2

Interdiction temporaire de fonctions de direction pour les individus

3

Désignation publique des personnes physiques responsables

Déclencheur
Non financier
Opérationnel / personnel

C'est là que les consultants gagnent leurs honoraires. Le travail n'est pas de lire la directive aux clients. C'est de cartographier lesquels des fournisseurs d'un client portent des attentes de divulgation des vulnérabilités, d'inscrire ces attentes dans les contrats, et de donner au client un moyen de vérifier qu'elles sont respectées.

Ce que « opérationnaliser la CVD » signifie réellement pour un MSP

Pour les MSP qui exploitent l'infrastructure pour le compte de clients, l'EUVD modifie le flux quotidien de gestion des vulnérabilités. Trois changements concrets :

Surveillance. Ajoutez le flux des vulnérabilités exploitées de l'EUVD aux sources que vous surveillez déjà. Il porte des avis et des marquages d'exploitation propres à l'UE qu'un flux centré sur les États-Unis peut afficher plus tard ou pas du tout. Pour les clients européens, c'est plus proche de la vision du risque des régulateurs eux-mêmes.

Réception. Chaque client qui livre un produit a besoin d'un moyen publié de recevoir des signalements de vulnérabilités — un fichier security.txt, une adresse e-mail de divulgation, un contact défini. C'est le contrôle le moins coûteux et le plus précieux que vous puissiez mettre en place, et la plupart des clients PME ne l'ont pas.

Tri et notification. Définissez, par écrit, le seuil et le chemin. Lorsqu'une faille signalée est confirmée comme activement exploitée, qui décide, qui notifie le CSIRT, et dans quel délai. Documentez-le avant d'en avoir besoin.

Rien de tout cela n'est exotique. C'est la même discipline que la réponse aux incidents, appliquée aux vulnérabilités plutôt qu'aux violations. Les clients qui auront des difficultés en 2026 sont ceux qui traitent la divulgation comme une réflexion après coup.

Où cela s'inscrit dans une évaluation de préparation

La divulgation coordonnée des vulnérabilités n'est pas un projet autonome. C'est une tranche mesurable de la posture globale de conformité NIS2 d'un client, aux côtés de la notification d'incidents, des contrôles de chaîne d'approvisionnement et des mesures de l'Article 21.

Si vous réalisez une analyse des écarts pour un client cette année, trois vérifications spécifiques à la CVD doivent figurer sur la liste : surveillent-ils l'EUVD ou un flux équivalent conscient de l'UE, disposent-ils d'un canal de réception opérationnel pour les signalements entrants, et — pour les fournisseurs de produits — disposent-ils d'un chemin testé pour notifier les vulnérabilités exploitées avant septembre 2026.

Vous pouvez cartographier ces écarts rapidement. Notre quick scan NIS2 signale exactement où la posture de gestion des vulnérabilités et de chaîne d'approvisionnement d'un client est insuffisante, afin que vous puissiez passer directement à la remédiation au lieu de partir d'une page blanche.

L'échéance est réelle et la base de données existe déjà

L'EUVD n'est pas une proposition. Elle est en ligne, gratuite, et vos clients peuvent l'utiliser dès demain. L'obligation de notification des fabricants de septembre 2026 n'est pas non plus une consultation — c'est une date.

Les consultants qui prennent de l'avance passeront 2026 à aider les clients à construire des processus de divulgation opérationnels. Les autres le passeront à expliquer aux clients pourquoi personne ne les a prévenus. Le travail est simple. La fenêtre ne l'est pas illimitée.

Pour une vue d'ensemble de la façon dont ces obligations se connectent, consultez nos guides sur la sécurité de la chaîne d'approvisionnement NIS2 et les dix mesures de l'Article 21.

    La base europeenne des vulnerabilites et la notification NIS2 : guide MSP — NIS2Certify