La CISA explore des financements alternatifs pour sécuriser le programme CVE, essentiel à l’identification des vulnérabilités.
En bref
- Le programme CVE, lancé en 1999, fournit des identifiants uniques pour les vulnérabilités afin de faciliter leur suivi par la communauté mondiale.
- En avril, le financement du CVE a failli s’interrompre, suscitant une vive réaction de la communauté qui a permis de rétablir le soutien en urgence.
- La CISA envisage désormais des sources de financement diversifiées pour renforcer la pérennité du CVE et garantir la continuité de ses services.
- L’agence américaine veut également accroître son contrôle sur le programme, ce qui suscite un débat sur la gouvernance de cet outil mondial.
Le programme Common Vulnerabilities and Exposures (CVE) occupe une place centrale dans l’écosystème de la cybersécurité. Il fournit un langage commun permettant d’identifier et de référencer les failles logicielles, facilitant la communication entre chercheurs, éditeurs et autorités. Pourtant, son avenir a récemment été menacé par des difficultés financières. Selon NextGov, l’agence américaine de cybersécurité CISA a dû envisager des financements alternatifs après que le soutien fédéral eut failli disparaître en avril.
Un programme vital mais financièrement fragile
Le CVE a été lancé en 1999 pour répondre au besoin d’un système unifié d’identification des vulnérabilités. Chaque faille reçoit un identifiant unique, par exemple CVE-2025-12345, qui sert de référence dans les bulletins de sécurité, les bases de données et les alertes officielles. Ce mécanisme est aujourd’hui indispensable : sans lui, le suivi et la correction des vulnérabilités seraient fragmentés et inefficaces.
Cependant, le financement du programme repose historiquement sur des soutiens fédéraux et sur l’organisation MITRE, qui en assure une grande partie de la gestion. En avril 2025, cette dépendance a révélé sa fragilité, quand MITRE a signalé un risque d’arrêt brutal du financement. La mobilisation immédiate de la communauté cybersécurité a permis de rétablir le soutien, mais cet épisode a mis en lumière la vulnérabilité structurelle du programme.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
CISA a depuis confirmé sa volonté de garantir la pérennité du CVE, mais reconnaît que de nouvelles solutions de financement sont nécessaires. Parmi les pistes évoquées : diversifier les sources de revenus et renforcer les partenariats avec le secteur privé et les gouvernements étrangers.
Vers un contrôle accru de la CISA
Outre les questions financières, CISA semble vouloir accroître son rôle dans la gouvernance du CVE. Comme le rapporte The Register, l’agence a publié un document de « vision » qui affirme son intention de maintenir une forme de contrôle sur ce standard mondial. Cette orientation ouvre un débat : faut-il confier davantage de pouvoir à une agence nationale, au risque de limiter l’aspect collaboratif et international du projet ?
Les défenseurs d’une gouvernance partagée craignent que ce recentrage réduise la transparence et l’indépendance du programme, pourtant essentiel à l’écosystème mondial. De son côté, CISA justifie cette position par la nécessité de garantir la stabilité et la qualité des informations, notamment face à la multiplication des vulnérabilités signalées chaque année.
Un enjeu global et des alternatives émergentes
L’avenir du CVE dépasse largement les frontières américaines. Utilisé dans le monde entier, il constitue une infrastructure importante au même titre que les normes Internet ou les protocoles de chiffrement. Les entreprises, les administrations et les chercheurs s’appuient sur ce référentiel pour assurer la cohérence de leurs défenses. Sa fragilisation aurait des répercussions directes sur la sécurité numérique mondiale.
Cependant, cette dépendance à un modèle financé et piloté principalement par les États-Unis révèle aussi ses limites. L’instabilité récente a renforcé l’émergence d’alternatives comme l’EUVD, la base européenne des vulnérabilités lancée par l’ENISA. Cette initiative vise à réduire la dépendance au CVE en centralisant et enrichissant les informations de sécurité pour les acteurs du continent, tout en affirmant la souveraineté numérique de l’Europe.
Ainsi, le paysage tend à se diversifier : aux côtés du CVE américain s’ajoutent désormais d’autres bases telles que l’EUVD en Europe ou le CNVD en Chine. Si cette fragmentation accroît la complexité pour les professionnels, elle constitue aussi une réponse stratégique pour limiter les risques liés à la dépendance à un seul référentiel mondial.
En conclusion, l’épisode d’avril a montré à quel point le programme CVE est à la fois indispensable et vulnérable. Son avenir repose sur la capacité de CISA à stabiliser son financement et à définir une gouvernance acceptable. Mais cette instabilité a aussi ouvert la voie à d’autres initiatives qui rappellent que la gestion des vulnérabilités est désormais un enjeu partagé entre plusieurs pôles, où l’Europe, avec l’EUVD, entend jouer un rôle de premier plan.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
