💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories

Le programme CVE menacé : un pilier de la cybersécurité sauvé in extremis

La base de données CVE, essentielle pour identifier les vulnérabilités, a failli disparaître faute de financement. Retour sur une crise évitée de justesse.

Une interruption qui aurait paralysé la sécurité mondiale

16 avril 2025. Cette date aurait pu marquer la fin d’une ère pour la cybersécurité mondiale. Le contrat liant l’organisation MITRE au gouvernement américain, qui assure la gestion du programme Common Vulnerabilities and Exposures (CVE), était sur le point d’expirer. À quelques heures près, ce référentiel mondial de suivi des vulnérabilités logicielles aurait cessé de fonctionner.

Depuis 25 ans, le programme CVE fournit des identifiants normalisés permettant aux entreprises, chercheurs, fournisseurs de sécurité et gouvernements de parler le même langage lorsqu’il s’agit de failles. Microsoft, Google, Intel, Apple, ou encore l’armée américaine s’appuient quotidiennement sur cette base pour comprendre, prioriser et corriger les vulnérabilités.

Une décision de dernière minute pour éviter le chaos

Alors que l’échéance approchait dangereusement, le vice-président de MITRE, Yosry Barsoum, a adressé une lettre d’alerte au comité de pilotage du CVE. Il y exprimait son inquiétude : une interruption de service aurait affecté non seulement la base CVE, mais également les bases dérivées, comme le CWE (Common Weakness Enumeration), les bases nationales de vulnérabilités (NVD) ou encore les outils utilisés par les équipes de réponse à incident.

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

Face à la pression croissante de la communauté, l’Agence américaine de cybersécurité (CISA) a finalement annoncé qu’elle renouvelait son contrat avec MITRE. Un financement a été débloqué in extremis pour éviter une rupture de service, que beaucoup auraient perçue comme une erreur « stupide et dangereuse » selon Wired. CISA a assuré que le programme restait une priorité stratégique.

Une crise révélatrice des fragilités du système

Si la menace de fermeture a été évitée, l’incident a mis en lumière des failles préoccupantes dans la gouvernance et la pérennité du programme CVE. Comment une infrastructure aussi critique peut-elle se retrouver suspendue à une décision budgétaire de dernière minute ?

L’incertitude persistante sur le financement à long terme — la reconduction actuelle ne couvrant qu’une période limitée — alimente les inquiétudes. Des discussions sont en cours pour faire évoluer le programme vers une structure à but non lucratif, plus indépendante et résiliente. Ce modèle viserait à garantir la continuité du service, quelles que soient les décisions politiques conjoncturelles.

Vers une fragmentation du système mondial de suivi des vulnérabilités ?

Déjà, des signes de désagrégation émergent. The Register évoque une « fragmentation » du système, avec l’apparition d’initiatives parallèles comme GCVE ou EUVD. Ces alternatives pourraient créer des standards concurrents, nuisant à la cohérence globale.

Une telle évolution représenterait un défi majeur pour les RSSI, les éditeurs de solutions de sécurité et les CERT. Une multiplication des référentiels rendrait plus difficile l’automatisation des réponses, la coordination internationale et le maintien d’un niveau d’alerte homogène. Chaque divergence sur l’identification d’une faille peut générer du bruit, des délais et des erreurs dans les chaînes de défense.

Maintenir la confiance et la continuité opérationnelle

Pour les professionnels, la stabilité du programme CVE est bien plus qu’un enjeu bureaucratique. Elle conditionne la capacité à détecter, analyser et réagir face aux menaces. L’incident de ce mois d’avril constitue un signal d’alarme : les systèmes de cybersécurité, même les plus fondamentaux, ne sont pas à l’abri de décisions politiques ou de coupes budgétaires.

À court terme, les experts recommandent de renforcer les mécanismes de surveillance des référentiels utilisés, d’anticiper d’éventuels changements de structure, et de suivre de près les évolutions institutionnelles autour du programme. Pour les organisations dépendantes du CVE, il devient crucial de diversifier les sources d’identification des vulnérabilités tout en maintenant une compatibilité avec les standards actuels.

Pour en savoir plus

« Stupide et dangereux » : le chaos financier de la CISA menace un programme essentiel de cybersécurité

Le programme CVE est le principal moyen de suivi des vulnérabilités logicielles. Son avenir à long terme reste incertain, même après le renouvellement de dernière minute du contrat du gouvernement américain qui le finance.

Lire la suite sur WIRED
« Stupide et dangereux » : le chaos financier de la CISA menace un programme essentiel de cybersécurité

L’administration Trump décide finalement de financer le système de suivi de la cybersécurité CVE

Le gouvernement continuera de financer le programme Common Vulnerabilities and Exposures (CVE). Dans une déclaration à The Verge, Jared Auchey, porte-parole de l’Agence américaine pour la cybersécurité et les infrastructures (CISA), a déclaré que le gouvernement avait « utilisé la période d’option du contrat pour garantir… ».

Lire la suite sur The Verge – Cybersecurities
L'administration Trump décide finalement de financer le système de suivi de la cybersécurité CVE

CVE, source mondiale d’informations sur la cybersécurité, était à deux doigts d’être supprimée par le DHS

Le référentiel CVE (Common Vulnerability and Exposures) contient les réponses à certaines des questions les plus cruciales en matière de sécurité informatique. De quel problème de sécurité s’agit-il exactement et comment fonctionne-t-il ? Le programme CVE, créé il y a 25 ans et essentiel…

Lire la suite sur Ars Technica
CVE, source mondiale d'informations sur la cybersécurité, était à deux doigts d'être supprimée par le DHS

Pourquoi la base de données CVE pour le suivi des failles de sécurité a failli disparaître – et que se passe-t-il ensuite ?

L’expiration du financement du gouvernement américain a failli perturber ce système de sécurité mondial. Comment pouvons-nous éviter qu’une telle situation ne se reproduise dans 11 mois ?

Lire la suite sur Latest topics for ZDNet in Security
Pourquoi la base de données CVE pour le suivi des failles de sécurité a failli disparaître – et que se passe-t-il ensuite ?

Conséquences de CVE : la fragmentation du système standard de suivi des vulnérabilités a commencé

MITRE, EUVD, GCVE… C’est quoi ce bordel ? Commentaire : La fragmentation du système mondial d’identification et de suivi des failles de sécurité des produits technologiques a commencé.

Lire la suite sur The Register
Conséquences de CVE : la fragmentation du système standard de suivi des vulnérabilités a commencé

(Re)découvrez également:

Initiative MITRE : Partage d’incidents liés à l’IA

Le développement rapide de l’IA présente des défis en cybersécurité. MITRE a lancé une initiative pour améliorer le partage d’incidents liés à l’IA.

Lire la suite sur dcod.ch
Initiative MITRE : Partage d'incidents liés à l'IA

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Guide pratique pour disséquer les logiciels malveillants

Guide pratique pour disséquer les logiciels malveillants

🤔Lorsqu'un logiciel malveillant brise vos défenses, vous devez agir rapidement pour traiter les infections actuelles et prévenir les futures.

📘 Voir sur Amazon
Page frontale du livre Hacking et Cybersécurité Mégapoche pour les Nuls

Hacking et Cybersécurité Mégapoche pour les Nuls

Protéger-vous des hackers en déjouant toutes leurs techniques d'espionnage et d'intrusions et mettez en place une stratégie de cybersécurité dans votre entreprise grace à ce lvre 2 en 1.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏