La base de données CVE, essentielle pour identifier les vulnérabilités, a failli disparaître faute de financement. Retour sur une crise évitée de justesse.
Une interruption qui aurait paralysé la sécurité mondiale
16 avril 2025. Cette date aurait pu marquer la fin d’une ère pour la cybersécurité mondiale. Le contrat liant l’organisation MITRE au gouvernement américain, qui assure la gestion du programme Common Vulnerabilities and Exposures (CVE), était sur le point d’expirer. À quelques heures près, ce référentiel mondial de suivi des vulnérabilités logicielles aurait cessé de fonctionner.
Depuis 25 ans, le programme CVE fournit des identifiants normalisés permettant aux entreprises, chercheurs, fournisseurs de sécurité et gouvernements de parler le même langage lorsqu’il s’agit de failles. Microsoft, Google, Intel, Apple, ou encore l’armée américaine s’appuient quotidiennement sur cette base pour comprendre, prioriser et corriger les vulnérabilités.
Une décision de dernière minute pour éviter le chaos
Alors que l’échéance approchait dangereusement, le vice-président de MITRE, Yosry Barsoum, a adressé une lettre d’alerte au comité de pilotage du CVE. Il y exprimait son inquiétude : une interruption de service aurait affecté non seulement la base CVE, mais également les bases dérivées, comme le CWE (Common Weakness Enumeration), les bases nationales de vulnérabilités (NVD) ou encore les outils utilisés par les équipes de réponse à incident.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Face à la pression croissante de la communauté, l’Agence américaine de cybersécurité (CISA) a finalement annoncé qu’elle renouvelait son contrat avec MITRE. Un financement a été débloqué in extremis pour éviter une rupture de service, que beaucoup auraient perçue comme une erreur « stupide et dangereuse » selon Wired. CISA a assuré que le programme restait une priorité stratégique.
Une crise révélatrice des fragilités du système
Si la menace de fermeture a été évitée, l’incident a mis en lumière des failles préoccupantes dans la gouvernance et la pérennité du programme CVE. Comment une infrastructure aussi critique peut-elle se retrouver suspendue à une décision budgétaire de dernière minute ?
L’incertitude persistante sur le financement à long terme — la reconduction actuelle ne couvrant qu’une période limitée — alimente les inquiétudes. Des discussions sont en cours pour faire évoluer le programme vers une structure à but non lucratif, plus indépendante et résiliente. Ce modèle viserait à garantir la continuité du service, quelles que soient les décisions politiques conjoncturelles.
Vers une fragmentation du système mondial de suivi des vulnérabilités ?
Déjà, des signes de désagrégation émergent. The Register évoque une « fragmentation » du système, avec l’apparition d’initiatives parallèles comme GCVE ou EUVD. Ces alternatives pourraient créer des standards concurrents, nuisant à la cohérence globale.
Une telle évolution représenterait un défi majeur pour les RSSI, les éditeurs de solutions de sécurité et les CERT. Une multiplication des référentiels rendrait plus difficile l’automatisation des réponses, la coordination internationale et le maintien d’un niveau d’alerte homogène. Chaque divergence sur l’identification d’une faille peut générer du bruit, des délais et des erreurs dans les chaînes de défense.
Maintenir la confiance et la continuité opérationnelle
Pour les professionnels, la stabilité du programme CVE est bien plus qu’un enjeu bureaucratique. Elle conditionne la capacité à détecter, analyser et réagir face aux menaces. L’incident de ce mois d’avril constitue un signal d’alarme : les systèmes de cybersécurité, même les plus fondamentaux, ne sont pas à l’abri de décisions politiques ou de coupes budgétaires.
À court terme, les experts recommandent de renforcer les mécanismes de surveillance des référentiels utilisés, d’anticiper d’éventuels changements de structure, et de suivre de près les évolutions institutionnelles autour du programme. Pour les organisations dépendantes du CVE, il devient crucial de diversifier les sources d’identification des vulnérabilités tout en maintenant une compatibilité avec les standards actuels.
Pour en savoir plus
« Stupide et dangereux » : le chaos financier de la CISA menace un programme essentiel de cybersécurité
Le programme CVE est le principal moyen de suivi des vulnérabilités logicielles. Son avenir à long terme reste incertain, même après le renouvellement de dernière minute du contrat du gouvernement américain qui le finance.
L’administration Trump décide finalement de financer le système de suivi de la cybersécurité CVE
Le gouvernement continuera de financer le programme Common Vulnerabilities and Exposures (CVE). Dans une déclaration à The Verge, Jared Auchey, porte-parole de l’Agence américaine pour la cybersécurité et les infrastructures (CISA), a déclaré que le gouvernement avait « utilisé la période d’option du contrat pour garantir… ».
CVE, source mondiale d’informations sur la cybersécurité, était à deux doigts d’être supprimée par le DHS
Le référentiel CVE (Common Vulnerability and Exposures) contient les réponses à certaines des questions les plus cruciales en matière de sécurité informatique. De quel problème de sécurité s’agit-il exactement et comment fonctionne-t-il ? Le programme CVE, créé il y a 25 ans et essentiel…
Pourquoi la base de données CVE pour le suivi des failles de sécurité a failli disparaître – et que se passe-t-il ensuite ?
L’expiration du financement du gouvernement américain a failli perturber ce système de sécurité mondial. Comment pouvons-nous éviter qu’une telle situation ne se reproduise dans 11 mois ?
Conséquences de CVE : la fragmentation du système standard de suivi des vulnérabilités a commencé
MITRE, EUVD, GCVE… C’est quoi ce bordel ? Commentaire : La fragmentation du système mondial d’identification et de suivi des failles de sécurité des produits technologiques a commencé.
(Re)découvrez également:
Initiative MITRE : Partage d’incidents liés à l’IA
Le développement rapide de l’IA présente des défis en cybersécurité. MITRE a lancé une initiative pour améliorer le partage d’incidents liés à l’IA.
Cette veille indépendante vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
