Navigation
Les derniers articles
Suivez en direct

NIST : comment l’organisme trie les failles pour éviter le chaos

Image d'illustration sur l'urgence cyber : Gros plan en tons chauds sur un cadran d'horloge. Au centre, une note adhésive porte l'inscription manuscrite "NEVER TOO LATE", soulignant la nécessité pour le NIST de trier les vulnérabilités pour éviter le chaos. Le logo DCOD.ch est visible dans le coin inférieur droit.
Le NIST change la gestion de sa base de données NVD pour cibler les menaces les plus graves depuis le 15 avril face au déluge de failles logicielles.

TL;DR : L’essentiel

  • Les soumissions de vulnérabilités ont bondi d’un peu plus de 260% entre 2020 et 2025. Cette hausse massive sature les capacités d’analyse habituelles de l’agence fédérale américaine.
  • Le nouveau modèle de gestion privilégie désormais les failles exploitées et celles touchant les infrastructures critiques. L’enrichissement des données devient sélectif pour assurer la pérennité du système.
  • Les vulnérabilités jugées non prioritaires ne recevront plus de score de sévérité direct de l’agence. Ces entrées conserveront uniquement les notations fournies par les autorités de numérotation initiales.

Le NIST transforme radicalement la gestion de la National Vulnerability Database (NVD). Selon GBHackers, l’agence adopte un modèle basé sur le risque. Cette décision répond à un flux de données devenu ingérable pour les équipes. L’organisation a traité 42 000 failles en 2025. Cela représente une augmentation de 45% par rapport au précédent record.

CVE : le dictionnaire universel des erreurs logicielles

Chaque faille de sécurité découverte reçoit un identifiant unique nommé CVE, pour Common Vulnerabilities and Exposures. Ce code fonctionne comme une plaque d’immatriculation universelle pour les erreurs de programmation. Il permet aux scanners de vulnérabilités, aux pare-feux et aux chercheurs de synchroniser leurs données instantanément. Sans ce système, les entreprises perdraient un temps précieux à traduire des alertes disparates pour un même problème technique.

Le format de ces identifiants permet de dater et de classer les menaces avec une grande précision. L’organisation mondiale s’appuie sur des autorités de numérotation agréées, souvent appelées CNA. Ces entités, regroupant des géants de la technologie ou des laboratoires spécialisés, attribuent les numéros officiels dès qu’une brèche est confirmée. Elles documentent minutieusement la nature du défaut technique et les composants logiciels affectés. Ce recensement centralisé empêche qu’une faille critique ne soit traitée plusieurs fois sous des noms différents, fluidifiant ainsi la réponse aux incidents à l’échelle mondiale.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

NIST : un filtrage par les risques pour protéger les réseaux

Dès la mi-avril, le service concentre ses efforts d’enrichissement sur trois catégories majeures de menaces. Les vulnérabilités présentes dans le catalogue des failles exploitées de la CISA reçoivent une attention immédiate. Les systèmes affectant les infrastructures critiques profitent également d’une analyse complète. Ce travail ajoute des métadonnées cruciales comme les scores de sévérité.

Les autres soumissions reçoivent désormais une étiquette de priorité basse. Comme l’indique BleepingComputer, ces failles restent visibles dans la NVD. Elles ne bénéficient toutefois plus d’une analyse approfondie de l’agence. Les équipes de sécurité peuvent demander un enrichissement manuel par courrier électronique pour des cas spécifiques.

NVD : une visibilité accrue sur le pipeline de traitement

L’agence déploie de nouveaux outils pour améliorer la transparence de cette transition technique. Le tableau de bord de la NVD affiche des statistiques de traitement en temps réel. Des étiquettes claires indiquent si une vulnérabilité est en attente ou en cours d’analyse. Ce système permet aux professionnels de visualiser l’état de la file d’attente globale.

Les milliers de dossiers accumulés depuis début 2024 subissent un traitement spécifique. Les soumissions publiées avant mars 2026 et non traitées basculent dans une catégorie non programmée. Cette décision permet de stabiliser le fonctionnement futur de la plateforme. La gestion des CVE par le NIST devient ainsi un outil de triage stratégique plutôt qu’un inventaire exhaustif.

Questions clés : Tout savoir sur le nouveau fonctionnement de la NVD

Qu’est-ce qu’une CVE et quelle est son utilité concrète ?

Une CVE est une référence standardisée pour une vulnérabilité logicielle spécifique. Elle permet aux techniciens de désigner sans ambiguïté une faille de sécurité. Ce code unique facilite la communication entre les éditeurs et les outils de défense.

Quels sont les facteurs expliquant la restructuration de la base NVD par le NIST ?

Le volume des vulnérabilités CVE a augmenté de plus de 260% en cinq ans. Cette accélération sature les capacités techniques de l’agence. Le service adopte un modèle basé sur le risque pour garantir la viabilité du système.

Comment le NIST définit-il une vulnérabilité CVE comme prioritaire dans la NVD ?

Le processus cible les failles déjà exploitées par les attaquants ou listées par la CISA. Les menaces pesant sur les infrastructures critiques reçoivent également une priorité maximale.

Quelles sont les conséquences d’un classement en priorité basse par le NIST ?

L’agence ne calcule plus son propre score de sévérité pour ces entrées. Ces vulnérabilités restent publiques, mais elles dépendent exclusivement des données fournies par les autorités de numérotation d’origine.

Pour approfondir le sujet

Actualités liées

EUVD : l’Europe lance sa base de vulnérabilités pour renforcer sa cybersécurité
[ACTU] 19 mai 2025

EUVD : l’Europe lance sa base de vulnérabilités pour renforcer sa cybersécurité

dcod.ch

L’Union européenne déploie l’EUVD, une base de données stratégique pour sécuriser ses infrastructures et affirmer sa souveraineté numérique face aux incertitudes du CVE. Lire la suite

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.