La CISA a prolongé son contrat pour le programme CVE géré par MITRE
Le programme CVE de suivi des failles de sécurité est sur le point de perdre son financement fédéral, le soutien financier au système de suivi des cybervulnérabilités rendues publiques expirant le 16 avril
La société à but non lucratif MITRE Corporation a affirmé que les incertitudes concernant le financement du gouvernement américain pourraient entraîner la perturbation et la « détérioration » du programme Common Vulnerabilities and Exposures (CVE).
Le système CVE (Common Vulnerabilities and Exposures) fournit une méthode de référence pour les vulnérabilités et les expositions connues publiquement en matière de sécurité de l'information. Le National Cybersecurity FFRDC des États-Unis, géré par The MITRE Corporation, assure la maintenance du système, avec le financement de la National Cyber Security Division du ministère américain de la sécurité intérieure. Le système a été officiellement lancé pour le public en septembre 1999. Le Security Content Automation Protocol utilise le CVE, et les identifiants CVE sont répertoriés dans le système de MITRE ainsi que dans la base de données nationale des vulnérabilités des États-Unis.
Dans une lettre adressée au conseil d'administration de CVE, Yosry Barsoum, vice-président et directeur du Center for Securing the Homeland de MITRE, a déclaré que le contrat conclu avec le gouvernement américain pour la gestion du programme expirera le 16 avril et qu'il n'y a aucune information sur le financement à venir.
Yosry Barsoum a prévenu qu'une interruption potentielle du service pourrait déclencher une cascade d'effets négatifs sur le programme CVE. Selon lui, une telle interruption risquerait de détériorer les bases de données et les avis nationaux sur les vulnérabilités, d'entraver la réactivité des fournisseurs d'outils, de limiter les opérations de réponse aux incidents et d'avoir un impact sur toute une série d'infrastructures critiques.
Dans une publication sur le réseau social X, Lukasz Olejnik, chercheur et consultant en cybersécurité, a commenté :
En réduisant ce qui équivaut à des coûts de quelques centimes, l'administration Trump va effectivement (au moins temporairement) paralyser le système mondial de cybersécurité - CVE. Qu'est-ce que CVE ? Il s'agit d'un système mondial d'identification et de suivi des vulnérabilités qui sert de langage commun aux entreprises, aux gouvernements et aux chercheurs du monde entier depuis 1999. La conséquence sera une rupture de la coordination entre les fournisseurs, les analystes et les systèmes de défense - personne ne sera certain de se référer à la même vulnérabilité. Un chaos total et un affaiblissement soudain de la cybersécurité dans tous les domaines.By cutting what amounts to penny costs, the Trump administration will effectively (at least temporarily) cripple the global cybersecurity system — CVE. What is CVE? It is a global system for identifying and tracking vulnerabilities that has served as a common language for… pic.twitter.com/WBCdLz0DdT
— Lukasz Olejnik (@lukOlejnik) April 15, 2025
Le programme CVE, créé pour cataloguer les vulnérabilités de cybersécurité divulguées publiquement, est un élément essentiel du processus de divulgation et de documentation des vulnérabilités et est largement utilisé par les pirates, les fournisseurs et les organisations pour partager des informations précises et cohérentes sur les risques de cybersécurité.
Géré par MITRE Corporation, une organisation à but non lucratif qui exploite des centres fédéraux de recherche et de développement, le programme CVE est financé par de multiples canaux, dont le gouvernement américain, des partenariats industriels et des organisations internationales.
Au début du mois d'avril, en prévision des réductions de financement du gouvernement américain, MITRE a procédé à des licenciements qui ont touché plus de 400 employés dans son bureau de Virginie. Les réductions ont été ordonnées après que l'administration Trump a annoncé l'annulation de contrats d'une valeur de plus de 28 millions de dollars pour l'entreprise.
Les inquiétudes concernant le financement du programme CVE font suite à la nouvelle selon laquelle le National Institute of Standards and Technology (NIST) peine toujours à résorber l'arriéré croissant de CVE dans la base de données officielle des vulnérabilités nationales (NVD).
Selon le NIST, alors que la base de données nationale sur les vulnérabilités (NVD) traite les CVE entrants au même rythme qu'avant le ralentissement au printemps et au début de l'été 2024, un bond de 32 % des soumissions l'année dernière signifie que l'arriéré continue de croître.
« Nous prévoyons que le taux de soumissions continuera d'augmenter en 2025 », a déclaré l'institut, notant qu'il explore l'utilisation de l'IA et de l'apprentissage automatique pour automatiser certaines tâches de traitement.
Les effets de l'arriéré se font déjà sentir dans les milieux de la gestion des vulnérabilités où les données NVD sont présentées comme une source de vérité avec un triage et un enrichissement continus des données.
Sans un traitement plus rapide des données de vulnérabilité, l'écart entre les problèmes signalés et les renseignements exploitables s'est creusé et pose des problèmes majeurs aux organisations qui comptent sur des informations opportunes pour protéger leurs systèmes.
Le NIST a expliqué que les flux de travail et les systèmes d'ingestion de données actuels du NVD ont été conçus pour des volumes de soumission de CVE plus faibles et que des formats obsolètes et des procédures d'enrichissement manuelles ont créé des goulets d'étranglement importants.
Le contenu de la lettre adressée par Yosry Barsoum au conseil d'administration de CVE est présenté ci-dessous :
L'incertitude qui entoure l'avenir du programme CVE s'inscrit dans le cadre de préoccupations plus générales concernant la priorité accordée à la cybersécurité par l'administration Trump. En février 2025, Donald Trump a nommé Sean Cairncross au poste de directeur national de la cybersécurité, malgré son manque d'expérience dans le domaine. Une décision qui illustre une tendance inquiétante à faire passer les considérations politiques avant les qualifications techniques.Envoyé par Yosry Barsoum
Quelques semaines auparavant, juste après son investiture, Donald Trump a également démantelé plusieurs organes consultatifs du ministère de la sécurité intérieure, y compris le Cybersecurity Review Board (CSRB). Composé d'experts en cybersécurité du public et du privé, le CSRB était chargé d'enquêter sur les cyberattaques critiques - dont la menace Salt Typhoon - et de formuler des recommandations stratégiques pour améliorer la sécurité nationale. La dissolution abrupte du CSRB, alors que les cybermenaces étrangères s'intensifient, a suscité de vives critiques de la part d'anciens membres et d'experts en sécurité.
Source : Lettre adressée au conseil d'administration de CVE
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Répondre avec citation
Partager