Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Threat Intelligence

    Le programme CVE bénéficie d'une prolongation de son financement, mais des inquiétudes subsistent

    Le financement du programme CVE a été prolongé, mais des difficultés persistantes soulignent la nécessité d'une surveillance soutenue et d'améliorations stratégiques.

    by Jeff Schumann

    Key Points

    • Le programme CVE a bénéficié d'une extension de financement indispensable, garantissant la poursuite de ses activités dans un contexte de préoccupations croissantes en matière de sécurité nationale. 
    • Malgré cette prolongation, d'importants problèmes subsistent, notamment des lacunes dans la surveillance du programme et la transparence opérationnelle. 
    • Des réformes stratégiques et des mesures de responsabilisation renforcées sont essentielles pour remédier aux faiblesses persistantes et améliorer l'impact à long terme du programme. 

    Le programme CVE (Common Vulnerabilities and Exposures) est un pilier de l'industrie de la cybersécurité, car il fournit le langage commun sur lequel les professionnels s'appuient pour identifier et traiter les vulnérabilités des logiciels. Cette semaine, il s'est trouvé à un carrefour critique, car MITRE, l'opérateur de longue date du programme, a anticipé une perte brutale de financement fédéral. Cette nouvelle a provoqué une onde de choc dans la communauté de la cybersécurité, faisant craindre une perturbation des infrastructures de gestion des vulnérabilités. Heureusement, l'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a annoncé une prolongation de 11 mois du financement du programme. Toutefois, les incertitudes qui entourent son avenir rendent le paysage flou et la dépendance du secteur à son égard nouvellement fragile.

    L'importance du programme CVE

    Le programme CVE, géré par MITRE et financé par le ministère américain de la sécurité intérieure, est l'épine dorsale de la gestion des vulnérabilités. En cataloguant et en normalisant les identifiants des vulnérabilités connues, le programme permet aux équipes de sécurité de tous les secteurs d'aligner leurs efforts avec rapidité et précision lorsqu'elles s'attaquent aux risques. Des centres opérationnels de sécurité (SOC) aux fournisseurs de cybersécurité, le registre CVE est à la base des outils, des systèmes de réponse aux incidents et de la protection des infrastructures critiques à l'échelle mondiale.

    Sans le système CVE, les organisations perdraient un cadre universellement reconnu pour la hiérarchisation des vulnérabilités, la gestion des correctifs et les divulgations, ce qui rendrait la protection contre les cyberattaques beaucoup plus difficile. Cette ressource centralisée offre un niveau d'efficacité et de standardisation qui ne peut pas être facilement reproduit.

    La question du financement

    Le 15 avril, MITRE a annoncé que son financement pour le programme CVE devait expirer le 16 avril, ce qui risque de tout perturber, de la divulgation des vulnérabilités à l'état de préparation opérationnelle des bases de données nationales. Le vice-président de MITRE, Yosry Barsoum, a souligné les impacts potentiellement catastrophiques en déclarant : "Si une interruption de service devait se produire, nous prévoyons de multiples impacts pour CVE, y compris la détérioration des bases de données nationales sur les vulnérabilités, des opérations de réponse aux incidents et des infrastructures critiques." 

    Bien que la CISA ait agi rapidement pour prolonger temporairement le financement, cette solution provisoire met en évidence un problème flagrant : la dépendance du programme à l'égard d'un single sponsor gouvernemental. Dans le climat géopolitique actuel, marqué par des attaques d'États-nations contre des organisations par des moyens de plus en plus complexes et sophistiqués, il n'y a pas de place pour un single point de défaillance. 

    "Le programme CVE est inestimable pour la cybercommunauté et constitue une priorité de la CISA. Hier soir, la CISA a exécuté la période d'option du contrat afin de s'assurer qu'il n'y aura pas d'interruption des services CVE essentiels", selon un communiqué de la CISA.

    La création de la Fondation CVE, une organisation à but non lucratif visant à préserver la neutralité et la viabilité du programme, permet d'espérer une stabilité à long terme. Toutefois, les détails de cette transition restent rares, ce qui suscite l'appréhension des parties prenantes.

    Impact immédiat sur l'industrie

    Cette brève incertitude quant au financement a déjà fait des vagues dans le secteur de la cybersécurité. Les responsables SOC et les intervenants en cas d'incident se sont empressés de se préparer à combler les lacunes potentielles de leurs flux de travail en matière de gestion des vulnérabilités. De nombreux fournisseurs de solutions de sécurité ont été contraints d'explorer des systèmes alternatifs décentralisés tels que la base de données des vulnérabilités de l'Union européenne (EUVD) ou des initiatives récemment lancées telles que le Global Cyber Vulnerability Ecosystem (GCVE).

    Les acteurs étatiques, connus pour exploiter les moments de vulnérabilité opérationnelle, constituent une préoccupation majeure. Les tensions géopolitiques alimentent déjà un nombre croissant d’advanced persistent threat, et un écosystème CVE affaibli pourrait amplifier leur efficacité. MITRE émettant plus de 24 000 identifiants CVE par an, tout ralentissement de ses opérations pourrait permettre aux stratégies d'attaque des États-nations de se développer sans contrôle.

    L'appel à l'unité du secteur

    Ce coup du sort nous rappelle brutalement que la communauté de la cybersécurité ne peut se permettre de relâcher son attention. Plutôt que de s'appuyer uniquement sur des initiatives gouvernementales, les parties prenantes doivent collaborer pour renforcer la capacité de l'industrie à identifier les menaces émergentes et à s'en défendre. 

    Les fournisseurs de solutions de sécurité doivent renforcer leur collaboration

    La gestion des vulnérabilités va au-delà des CVE. Les fournisseurs de solutions de sécurité jouent un rôle essentiel dans le partage des informations sur les menaces et le maintien de la transparence, en particulier en l'absence d'efforts centralisés. Les contributions de sources ouvertes, la collaboration par l'intermédiaire des centres de partage et d'analyse de l'information (ISAC) et les efforts unified peuvent contribuer à atténuer les risques pendant les périodes d'instabilité. Les fournisseurs doivent également renforcer le développement de systèmes interopérables afin de maintenir la cohérence entre les plateformes.

    Éviter la désinformation et la peur, l'incertitude et le doute (FUD)

    Lorsque des perturbations de grande ampleur surviennent, il est essentiel d'adopter une approche mesurée et factuelle de la communication. Les vendeurs et les prestataires de services doivent éviter de profiter de la situation pour répandre la peur ou promouvoir leurs solutions individuelles comme étant la seule option possible. Les efforts devraient plutôt se concentrer sur l'éducation, le partage d'informations et la coopération afin de maintenir la confiance et la fiabilité dans un paysage tumultueux.

    Gestion interne des risques 

    Pour les entreprises, les périodes d'incertitude soulignent l'importance d'une gestion efficace des risques humains. Les organisations doivent reconnaître que les employés constituent souvent la première ligne de défense, ainsi que des vulnérabilités potentielles. Des programmes de formation complets doivent être mis en œuvre pour s'assurer que les individus comprennent leur rôle dans la protection des intérêts de l'organisation, en particulier lorsqu'ils sont confrontés à des menaces émergentes. En outre, la promotion d'une culture de la vigilance et de la responsabilité encourage les employés à donner la priorité à la sécurité, à signaler les risques potentiels et à collaborer à la recherche de solutions. La direction doit également assurer une communication claire et un soutien pendant les périodes de changement, car l'incertitude peut entraîner du stress et une mauvaise prise de décision. En mettant l'accent sur l'élément humain dans la gestion des risques, les entreprises peuvent constituer une main-d'œuvre résiliente capable d'atténuer les difficultés et de s'adapter à des circonstances dynamiques.

    • Effectuer des analyses de vulnérabilité en temps opportun et classer par ordre de priorité les expositions à haut risque
    • Surveillez de près les informations sur les menaces pour rester au courant des campagnes de menaces et des nouveaux schémas d'attaque.
    • Rationaliser les processus de gestion des correctifs afin de réduire la fenêtre d'exploitation. 
    • Formez les employés à reconnaître les tentatives de phishing et de spoofing, souvent utilisées par les cybercriminels dans un contexte de vulnérabilité accrue.

    Perspectives d'avenir

    Le programme CVE est encore en vie, mais sa survie dépend des mesures immédiates prises pour assurer la pérennité de son infrastructure. La création de la fondation CVE est un signe de progrès, mais le secteur de la cybersécurité doit se préparer à faire face à des défis systémiques plus importants, qu'ils découlent de l'instabilité financière ou de l'escalade de la cyberguerre.

    La centralisation a ses inconvénients, mais l'alternative de cadres de vulnérabilité fragmentés présente des risques égaux, voire supérieurs. Grâce à des collaborations internationales telles que l'EUVD et aux innovations d'entités nouvellement créées telles que le GCVE, la communauté mondiale de la cybersécurité a la possibilité de se prémunir contre la dépendance à l'égard des points de défaillance single. Toutefois, cette transition doit se faire avec précision, rapidité et inclusivité pour faire face à l'escalade des menaces.

    "L'appel à l'action unified du secteur est clair." Nous devons créer un écosystème collaboratif résistant aux perturbations et prêt à relever les défis à venir. Les responsables de la cybersécurité, les fournisseurs de logiciels et les gouvernements ont une responsabilité éthique et financière dans le maintien et le renforcement de nos défenses mondiales. Les enjeux n'ont jamais été aussi importants.

    12BLOG_1.jpg
    Up Next
    Threat Intelligence |
    Journée mondiale du mot de passe 2025 : Assurer la sécurité des données d'identification

    Related Articles

    Threat Intelligence
    Menaces de niveau olympique & Courses à l'armement en matière d'IA : La cybersécurité en 2026
    Threat Intelligence
    Comprendre les tendances des cybermenaces dans le secteur juridique
    Threat Intelligence
    Le manuel du ransomware moderne : Phishing et attaques GenAI

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page