Tendances, limites et enjeux
Je vous propose comme à chaque début de trimestre un retour de l’équipe de prévision des vulnérabilités du FIRST.org qui s’attache à analyser les résultats du trimestre précédent avant de projeter les évolutions à venir.
Cette démarche repose sur deux principes : apprendre de ses erreurs et renforcer la confiance dans l’approche statistique employée.
Bilan du 1er trimestre 2025 : une prévision robuste
Pour le T1 2025, la prévision moyenne s’établissait à 11 420 CVEs. Au final, ce sont 12 035 vulnérabilités qui ont été publiées par la base NVD (National Vulnerability Database), un chiffre légèrement supérieur à la moyenne attendue, mais parfaitement situé dans l’intervalle de confiance de 10 266 à 12 575 (à 95 %).
Cette précision souligne la fiabilité du modèle malgré les perturbations observées en 2024.
Prévision pour le 2e trimestre 2025 : continuité et incertitudes
À l’issue du trimestre, soit le 30 juin 2025, l’équipe prévoit une moyenne de 11 663 nouvelles CVEs publiées par la NVD, avec une fourchette de confiance de 10 477 à 12 848.
Source : Fondation FIRST
Enjeux persistants autour de la base NVD
L’année 2024 a marqué une rupture notable dans la continuité des années précédentes, notamment en raison de difficultés de gestion interne et de sous-dotation budgétaire à la NVD. Ces perturbations ont affecté la régularité de la publication des CVEs et continuent d’impacter la modélisation des prévisions :
- Retards de publication, avec un backlog qui s’accroît ;
- Périodes d’interruption de la gestion de contenu ;
- Erreurs dans les dates de publication, parfois corrigées a posteriori.
Le 19 mars 2025, la NVD a reconnu publiquement dans son blog les difficultés rencontrées pour maintenir un rythme de traitement constant, avec une augmentation des demandes de 32 % en 2024.
Ces dysfonctionnements ne concernent pas seulement la NVD : ils ont des répercussions pour l’ensemble des acteurs chargés d’analyser, prioriser et corriger les vulnérabilités. En d’autres termes, le retard accumulé dans la base publique se répercute dans les cycles de gestion des vulnérabilités au sein des entreprises.
Une équipe renforcée, une ambition élargie
Le travail de prévision ne se limite pas à des algorithmes : il nécessite une compréhension fine des biais, retards, et limitations des bases de données.
C’est pourquoi l’équipe s’est élargie cette année avec l’arrivée de Mara M. Fernández Bermúdez et Angelo, qui contribueront à affiner les modèles et à enrichir les analyses futures.
Le FIRST.org continue également d’explorer d’autres sources comme JVN, CNNVD ou Trend Micro ZDI, avec l’ambition d’offrir des prévisions consolidées adaptées aux besoins métiers.
Appel à la communauté : rendez-vous à Cambridge
Les professionnels intéressés par ces thématiques sont invités à participer au Vulnerability Forecasting Technical Colloquia organisé à Cambridge en septembre prochain. Ce rendez-vous sera l’occasion d’échanger sur les usages concrets des prévisions dans les stratégies de cybersécurité, de protection des données et de réponse aux incidents.
Enjoy !
🔗 Source originale : FIRST.org – 2025 Q2 Vulnerability Forecast
