Implications et prochaines étapes
Le financement du programme CVE (Common Vulnerabilities and Exposures), pilier du dispositif mondial de gestion des vulnérabilités depuis 25 ans, a été restauré par le gouvernement des États-Unis à la dernière minute, le 16 avril 2025.
Cette décision intervient après une annonce alarmante de MITRE indiquant que le contrat de financement public avec le Département de la Sécurité Intérieure (DHS) n’avait pas été renouvelé.
Contexte de la crise
Le 15 avril, Yosry Barsoum, vice-président chez MITRE, publiait une lettre sur Bluesky indiquant que le financement fédéral pour les programmes CVE et CWE (Common Weakness Enumeration) arrivait à expiration.
Il alertait sur les conséquences potentielles : interruption des services critiques liés à l’identification et la gestion des vulnérabilités, affaiblissement des bases de données nationales, impact sur les éditeurs d’outils de sécurité, la réponse à incident et la protection des infrastructures essentielles.
Initialement, la CISA (Cybersecurity and Infrastructure Security Agency) a reconnu l’urgence de la situation, promettant de maintenir les services. Le 16 avril au matin, elle a confirmé avoir prolongé de 11 mois le contrat de MITRE, assurant ainsi la continuité du service jusqu’en mars 2026.
Création de la CVE Foundation
Cette situation a accéléré la création officielle d’un nouvel organisme indépendant : la CVE Foundation. Issu d’un sous-groupe du CVE Board, cet organisme à but non lucratif vise à garantir la pérennité, l’indépendance et la neutralité du programme CVE.
La fondation souligne que la dépendance unique à un financement gouvernemental constitue en elle-même une vulnérabilité du programme. Elle précise avoir anticipé cette rupture possible en préparant depuis un an un modèle de gouvernance indépendant. Son objectif est de poursuivre la mission de délivrance d’identifiants CVE fiables, accessibles, et maintenus au bénéfice de l’ensemble de la communauté mondiale de la cybersécurité.
Pourquoi un arrêt du programme CVE serait problématique
Depuis 1999, le programme CVE constitue une méthode de référence universelle pour l’identification des failles de sécurité. Les identifiants CVE sont utilisés dans l’ensemble de l’écosystème : scanners de vulnérabilités, alertes de sécurité, outils d’analyse de surface d’attaque, systèmes SIEM, bulletins CERT, etc.
Un arrêt brutal du programme entraînerait une perte de coordination mondiale dans la gestion des vulnérabilités. Plusieurs experts, dont Brian Krebs et Satnam Narang (Tenable), ont souligné le risque de fragmentation du paysage, avec la multiplication d’initiatives concurrentes sans standardisation, comme c’est le cas aujourd’hui pour la désignation des groupes APT.
Conséquences techniques immédiates
Le NVD (National Vulnerability Database), maintenu par le NIST, n’est pas directement affecté par cette rupture contractuelle. En effet, bien que MITRE génère les identifiants CVE, c’est le NIST qui publie et maintient la base utilisée par la majorité des outils de sécurité.
L’interruption du financement aurait donc surtout impacté la génération de nouveaux identifiants CVE, sans affecter les bases historiques ni les outils exploitant les bases existantes. Par ailleurs, d’autres CNA (CVE Numbering Authorities) sont en capacité de délivrer des CVE en dehors de MITRE.
Que doivent faire les organisations maintenant ?
Diversifier les sources de renseignement Les entreprises doivent intégrer d’autres référentiels et flux d’information sur les vulnérabilités :
- OSV (Open Source Vulnerabilities) : https://osv.dev
- GitHub Security Advisories : https://github.com/advisories
- CISA KEV (Known Exploited Vulnerabilities) : https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- Flux spécifiques des éditeurs (Microsoft, Cisco, Oracle, etc.)
Tester la résilience des outils de sécurité Il est recommandé d’évaluer dans quelle mesure les outils utilisés en interne dépendent du programme CVE/MITRE, et de vérifier leur capacité à intégrer d’autres sources.
Soutenir les modèles de gouvernance ouverts La création de la CVE Foundation ouvre la voie à une gouvernance partagée, transparente et durable. Il est essentiel que les parties prenantes (éditeurs, CERT, chercheurs, décideurs) contribuent à cette dynamique.
Bref si on essaye de conclure cette journée
La prolongation du contrat entre MITRE et le DHS permet d’éviter une rupture immédiate, cette crise révèle une fragilité structurelle.
Le programme CVE, en tant qu’infrastructure essentielle à la cybersécurité mondiale, doit évoluer vers un modèle de gouvernance plus distribué, plus transparent et plus résilient.
La mise en place de la CVE Foundation constitue une réponse appropriée à cette exigence. Elle permet d’envisager une continuité de service, indépendante de toute décision politique unilatérale.
La suite dans 11 mois
Enjoy !
Sources complètes de l’article
- Kate O’Flaherty, CVE Program Funding Reinstated—What It Means And What To Do Next, Forbes, 16 avril 2025 https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
- MITRE CVE Program https://cve.mitre.org
- CISA – Cybersecurity and Infrastructure Security Agency https://www.cisa.gov
- CISA KEV Catalog (Known Exploited Vulnerabilities) https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- NVD – National Vulnerability Database (NIST) https://nvd.nist.gov
- OSV – Open Source Vulnerabilities https://osv.dev
- GitHub Security Advisories https://github.com/advisories
- CVE Foundation (communiqué de presse, 16 avril 2025) https://cve-foundation.org (adresse hypothétique en attendant publication officielle)
