Photo by Matias Mango on <a href="https://www.pexels.com/photo/numbers-projected-on-face-5952651/" rel="nofollow">Pexels.com</a>
Publié le 18 avril 2025
Introduction
Une décision choc secoue le monde de la cybersécurité : le gouvernement américain a mis fin au financement du programme Common Vulnerabilities and Exposures (CVE), un pilier essentiel de la gestion des vulnérabilités informatiques. Géré par l’organisation à but non lucratif MITRE avec le soutien du Département de la Sécurité Intérieure (DHS), ce programme, opérationnel depuis 25 ans, risque de s’effondrer, mettant en péril la sécurité des infrastructures critiques et des entreprises à l’échelle mondiale. Cet article explore les implications de cette décision et les solutions possibles pour préserver ce système vital.
Qu’est-ce que le Programme CVE ?
Le programme CVE, lancé en 1999, attribue des identifiants uniques (par exemple, CVE-2024-12345) aux vulnérabilités découvertes dans les logiciels et matériels. Ces identifiants standardisés permettent aux entreprises, chercheurs, gouvernements et éditeurs de logiciels de parler le même langage lorsqu’il s’agit d’identifier et de corriger des failles. Par exemple, des vulnérabilités célèbres comme Heartbleed (CVE-2014-0160) ou Meltdown (CVE-2017-5754) ont été cataloguées via ce système.
Le CVE est géré par MITRE, qui collabore avec des CVE Numbering Authorities (CNA) dans 40 pays pour évaluer les rapports de vulnérabilités et leur attribuer des identifiants. Financé principalement par la Cybersecurity and Infrastructure Security Agency (CISA), une branche du DHS, le programme a coûté environ 30 millions de dollars depuis 2023. En 2024, plus de 40 000 nouveaux CVE ont été publiés, soulignant son importance cruciale.
Une Décision Inattendue
Le 16 avril 2025, MITRE a confirmé que son contrat avec le DHS, qui devait expirer ce jour-là, n’avait pas été renouvelé. Cette décision, attribuée à la volonté de l’administration Trump de réduire les dépenses fédérales, a provoqué une onde de choc dans la communauté cybersécurité. Selon Yosry Barsoum, vice-président de MITRE, une interruption du service pourrait entraîner :
- Une dégradation des bases de données nationales de vulnérabilités.
- Un ralentissement des réponses des éditeurs de logiciels.
- Des perturbations dans les opérations de réponse aux incidents.
- Des risques accrus pour les infrastructures critiques, des réseaux électriques aux systèmes bancaires.
Bien que les enregistrements CVE historiques resteront accessibles sur GitHub, aucun nouveau CVE ne sera publié après le 16 avril 2025, et le site officiel du programme pourrait disparaître.
Les Conséquences Potentielles
Sans le programme CVE, la coordination mondiale des efforts de cybersécurité risque de sombrer dans le chaos. Avant l’existence du CVE, chaque entreprise utilisait sa propre nomenclature pour les vulnérabilités, semant la confusion parmi les équipes de sécurité. Comme l’explique un expert du secteur, « sans CVE, c’est comme si chaque bibliothèque utilisait un système différent pour classer ses livres. Personne ne sait de quel problème on parle. »
Cette situation pourrait :
- Retarder les correctifs : Les éditeurs comme Microsoft ou Google auront du mal à synchroniser leurs efforts de divulgation et de correction.
- Augmenter les risques de cyberattaques : Les attaquants pourraient exploiter des failles non cataloguées avant que les défenses ne soient prêtes.
- Compliquer la conformité : Les entreprises peineront à démontrer leur conformité aux réglementations comme NIS2 ou ISO 27001.
Katie Moussouris, fondatrice de Luta Security, compare cette interruption à « priver l’industrie de la cybersécurité d’oxygène ». Les impacts seraient particulièrement graves pour les Opérateurs d’Importance Vitale (OIV) et les secteurs critiques, où une faille non corrigée peut avoir des conséquences dévastatrices.
Une Réaction de Dernière Minute
Face à l’indignation de la communauté cybersécurité, la CISA a annoncé, dans la nuit du 15 avril 2025, une extension de financement de 11 mois pour éviter une interruption immédiate du programme. Yosry Barsoum a salué cette décision, remerciant le soutien massif des professionnels du secteur. Cependant, cette solution temporaire ne résout pas le problème à long terme, car la dépendance à un seul financeur (le gouvernement américain) reste une faiblesse structurelle.
Parallèlement, des membres du conseil du CVE ont créé la CVE Foundation, une entité à but non lucratif visant à assurer la pérennité du programme via un modèle indépendant. Cette initiative, préparée depuis un an, cherche à éliminer le « point de défaillance unique » que représente le financement fédéral.
Vers une Solution Durable
La crise met en lumière la nécessité d’un modèle de financement diversifié pour le CVE. Voici quelques pistes envisagées :
- Consortium industriel : Les géants technologiques (Microsoft, Google, Apple) pourraient contribuer financièrement, car ils bénéficient directement du CVE pour sécuriser leurs produits.
- Modèle décentralisé : L’Union européenne, via l’ENISA, a lancé une base de données de vulnérabilités européenne (EUVD). Le Luxembourg développe également un système décentralisé appelé Global CVE (GCVE).
- Efforts communautaires : Des entreprises comme VulnCheck, une CNA, ont réservé 1 000 CVE pour 2025, offrant un sursis de 1 à 2 mois. Cependant, cette mesure est temporaire.
Que Faire en Tant qu’Organisation ?
Pour se préparer à une éventuelle interruption du CVE, les entreprises doivent :
- Consulter des sources alternatives : Suivre les bulletins de sécurité des éditeurs et les bases comme la National Vulnerability Database (NVD), malgré son propre backlog.
- Renforcer la veille : Utiliser des outils de threat intelligence pour détecter les vulnérabilités non cataloguées.
- Mettre à jour les processus : Adapter les workflows de gestion des vulnérabilités pour gérer l’incertitude.
- Soutenir la CVE Foundation : Participer aux initiatives communautaires pour maintenir le programme.
Conclusion
La fin initiale du financement américain du programme CVE a révélé sa fragilité, mais aussi son importance vitale pour la cybersécurité mondiale. Bien que la CISA ait offert un répit de 11 mois, l’avenir du CVE repose sur une collaboration internationale et un financement diversifié. Les organisations doivent se préparer à un paysage plus incertain tout en soutenant les efforts pour préserver ce « langage universel » de la cybersécurité. Comme le souligne un chercheur, « sans CVE, c’est le chaos. Et les cybercriminels adorent le chaos. »
Ressources supplémentaires :
Restez informés via notre blog pour suivre les évolutions de cette crise et protéger vos systèmes contre les menaces émergentes !
