DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
    Le spyware Pegasus pirate le téléphone d’un enquêteur européen
  • Illustration futuriste pour la veille IA : un cerveau numérique bleu translucide, parcouru de circuits dorés, est au centre d'un tunnel de lumière dynamique composé de flux de données rapides bleus, violets et or, symbolisant la vitesse du progrès technologique.
    IA & Cybersécurité : les 11 actus clés du 8 juillet 2026
  • Illustration de dcod.ch pour l'article "Le premier ransomware autonome piloté par une IA passe à l'action". Le visuel présente un écran divisé en diagonale avec des lignes de code informatique à gauche et un pirate informatique encapuchonné au milieu de données numériques à droite, symbolisant l'attaque de l'agent JadePuffer
    Le premier ransomware autonome piloté par une IA passe à l’action
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 14 incidents majeurs du 7 juillet 2026
  • Photographie d'un employé dans un bureau ouvert, bloqué et tendant la main vers un 'distributeur de jetons IA' rationné. Un panneau lumineux rouge au-dessus de l'appareil confirme que le 'RATIONNEMENT EST EN VIGUEUR' pour les modèles puissants, illustrant la Tokenpocalypse.
    Tokenpocalypse : les entreprises commencent à rationner les jetons IA
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Failles / vulnérabilités
  • À la une

Le programme CVE menacé : un pilier de la cybersécurité sauvé in extremis

  • Marc Barbezat
  • 24 avril 2025
  • 4 minutes de lecture
Vuln et CVE
▾ Sommaire
Une interruption qui aurait paralysé la sécurité mondialeUne décision de dernière minute pour éviter le chaosUne crise révélatrice des fragilités du systèmeVers une fragmentation du système mondial de suivi des vulnérabilités ?Maintenir la confiance et la continuité opérationnellePour en savoir plus(Re)découvrez également:
La base de données CVE, essentielle pour identifier les vulnérabilités, a failli disparaître faute de financement. Retour sur une crise évitée de justesse.

Une interruption qui aurait paralysé la sécurité mondiale

16 avril 2025. Cette date aurait pu marquer la fin d’une ère pour la cybersécurité mondiale. Le contrat liant l’organisation MITRE au gouvernement américain, qui assure la gestion du programme Common Vulnerabilities and Exposures (CVE), était sur le point d’expirer. À quelques heures près, ce référentiel mondial de suivi des vulnérabilités logicielles aurait cessé de fonctionner.

Depuis 25 ans, le programme CVE fournit des identifiants normalisés permettant aux entreprises, chercheurs, fournisseurs de sécurité et gouvernements de parler le même langage lorsqu’il s’agit de failles. Microsoft, Google, Intel, Apple, ou encore l’armée américaine s’appuient quotidiennement sur cette base pour comprendre, prioriser et corriger les vulnérabilités.

Une décision de dernière minute pour éviter le chaos

Alors que l’échéance approchait dangereusement, le vice-président de MITRE, Yosry Barsoum, a adressé une lettre d’alerte au comité de pilotage du CVE. Il y exprimait son inquiétude : une interruption de service aurait affecté non seulement la base CVE, mais également les bases dérivées, comme le CWE (Common Weakness Enumeration), les bases nationales de vulnérabilités (NVD) ou encore les outils utilisés par les équipes de réponse à incident.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Face à la pression croissante de la communauté, l’Agence américaine de cybersécurité (CISA) a finalement annoncé qu’elle renouvelait son contrat avec MITRE. Un financement a été débloqué in extremis pour éviter une rupture de service, que beaucoup auraient perçue comme une erreur « stupide et dangereuse » selon Wired. CISA a assuré que le programme restait une priorité stratégique.

Une crise révélatrice des fragilités du système

Si la menace de fermeture a été évitée, l’incident a mis en lumière des failles préoccupantes dans la gouvernance et la pérennité du programme CVE. Comment une infrastructure aussi critique peut-elle se retrouver suspendue à une décision budgétaire de dernière minute ?

L’incertitude persistante sur le financement à long terme — la reconduction actuelle ne couvrant qu’une période limitée — alimente les inquiétudes. Des discussions sont en cours pour faire évoluer le programme vers une structure à but non lucratif, plus indépendante et résiliente. Ce modèle viserait à garantir la continuité du service, quelles que soient les décisions politiques conjoncturelles.

Vers une fragmentation du système mondial de suivi des vulnérabilités ?

Déjà, des signes de désagrégation émergent. The Register évoque une « fragmentation » du système, avec l’apparition d’initiatives parallèles comme GCVE ou EUVD. Ces alternatives pourraient créer des standards concurrents, nuisant à la cohérence globale.

Une telle évolution représenterait un défi majeur pour les RSSI, les éditeurs de solutions de sécurité et les CERT. Une multiplication des référentiels rendrait plus difficile l’automatisation des réponses, la coordination internationale et le maintien d’un niveau d’alerte homogène. Chaque divergence sur l’identification d’une faille peut générer du bruit, des délais et des erreurs dans les chaînes de défense.

Maintenir la confiance et la continuité opérationnelle

Pour les professionnels, la stabilité du programme CVE est bien plus qu’un enjeu bureaucratique. Elle conditionne la capacité à détecter, analyser et réagir face aux menaces. L’incident de ce mois d’avril constitue un signal d’alarme : les systèmes de cybersécurité, même les plus fondamentaux, ne sont pas à l’abri de décisions politiques ou de coupes budgétaires.

À court terme, les experts recommandent de renforcer les mécanismes de surveillance des référentiels utilisés, d’anticiper d’éventuels changements de structure, et de suivre de près les évolutions institutionnelles autour du programme. Pour les organisations dépendantes du CVE, il devient crucial de diversifier les sources d’identification des vulnérabilités tout en maintenant une compatibilité avec les standards actuels.

Pour en savoir plus

« Stupide et dangereux » : le chaos financier de la CISA menace un programme essentiel de cybersécurité

Le programme CVE est le principal moyen de suivi des vulnérabilités logicielles. Son avenir à long terme reste incertain, même après le renouvellement de dernière minute du contrat du gouvernement américain qui le finance.

Lire la suite sur WIRED
« Stupide et dangereux » : le chaos financier de la CISA menace un programme essentiel de cybersécurité

L’administration Trump décide finalement de financer le système de suivi de la cybersécurité CVE

Le gouvernement continuera de financer le programme Common Vulnerabilities and Exposures (CVE). Dans une déclaration à The Verge, Jared Auchey, porte-parole de l’Agence américaine pour la cybersécurité et les infrastructures (CISA), a déclaré que le gouvernement avait « utilisé la période d’option du contrat pour garantir… ».

Lire la suite sur The Verge – Cybersecurities
L'administration Trump décide finalement de financer le système de suivi de la cybersécurité CVE

CVE, source mondiale d’informations sur la cybersécurité, était à deux doigts d’être supprimée par le DHS

Le référentiel CVE (Common Vulnerability and Exposures) contient les réponses à certaines des questions les plus cruciales en matière de sécurité informatique. De quel problème de sécurité s’agit-il exactement et comment fonctionne-t-il ? Le programme CVE, créé il y a 25 ans et essentiel…

Lire la suite sur Ars Technica
CVE, source mondiale d'informations sur la cybersécurité, était à deux doigts d'être supprimée par le DHS

Pourquoi la base de données CVE pour le suivi des failles de sécurité a failli disparaître – et que se passe-t-il ensuite ?

L’expiration du financement du gouvernement américain a failli perturber ce système de sécurité mondial. Comment pouvons-nous éviter qu’une telle situation ne se reproduise dans 11 mois ?

Lire la suite sur Latest topics for ZDNet in Security
Pourquoi la base de données CVE pour le suivi des failles de sécurité a failli disparaître – et que se passe-t-il ensuite ?

Conséquences de CVE : la fragmentation du système standard de suivi des vulnérabilités a commencé

MITRE, EUVD, GCVE… C’est quoi ce bordel ? Commentaire : La fragmentation du système mondial d’identification et de suivi des failles de sécurité des produits technologiques a commencé.

Lire la suite sur The Register
Conséquences de CVE : la fragmentation du système standard de suivi des vulnérabilités a commencé

(Re)découvrez également:

Initiative MITRE : Partage d’incidents liés à l’IA

Le développement rapide de l’IA présente des défis en cybersécurité. MITRE a lancé une initiative pour améliorer le partage d’incidents liés à l’IA.

Lire la suite sur dcod.ch
Initiative MITRE : Partage d'incidents liés à l'IA

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes
  • CVE
  • MITRE
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Illustration conceptuelle sur l'IA agentique et les trois angles morts qui menacent la cybersécurité, représentant un profil humain pensif superposé d'interfaces de données numériques à côté d'un grand chiffre 3 transparent.
Lire l'article

IA agentique : trois angles morts qui menacent la cybersécurité

Illustration d'un centre de commandement cyber pour l'alliance Five Eyes. Un opérateur est vu de dos face à un mur d'écrans de sécurité. Au centre, une carte mondiale projetée avec cinq yeux numériques contenant les drapeaux des pays membres (USA, UK, CA, AU, NZ). Des visualisations de données de menaces IA et des codes cyber flottent dans l'air.
Lire l'article

Five Eyes : l’alliance alerte sur les menaces cyber de l’IA

Graphisme DCOD scindé en diagonale : à gauche, un bouclier de sécurité vert lumineux sur fond de code binaire ; à droite, un paysage de campagne helvétique sous un filtre rouge arborant la croix blanche suisse. Ce visuel illustre le fait que l'OFCS teste son modèle de cyberrésilience en conditions réelles.
Lire l'article

L’OFCS teste son modèle de cyberrésilience en conditions réelles

Des idées de lecture recommandées par DCOD

Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois