● Silicon.fr Télécom 📅 20/04/2026 à 10:14

Le NIST ne peut plus suivre le rythme des CVE

Cybersécurité 👤 Clément Bohic
Illustration
Rattrapé par le volume de CVE, le NIST ne promet plus de les enrichir toutes avant de les intégrer à la NVD (National Vulnerability Database). L’agence gouvernementale américaine va prioriser certaines vulnérabilités. En l’occurrence, celles qui : Apparaissent dans son catalogue KEV (vulnérabilités exploitées) Affectent des logiciels qu’utilise le gouvernement fédéral Touchent des logiciels « critiques » selon la définition qu’en donne le décret présidentiel no 14028 de 2021 Ce décret définit comme tel tout logiciel qui inclut – ou a des dépendances directes envers – un ou plusieurs composants ayant au moins un des attributs suivants : Conçu pour fonctionner avec des privilèges élevés ou pour gérer des privilèges Dispose d’un accès direct ou privilégié aux ressources réseau ou de calcul Conçu pour contrôler l’accès aux données ou à l’OT Assure une fonction de confiance critique ou opère en dehors des limites de confiance normales avec un accès à privilèges Une liste est annexée au décret. Elle vise assez large. Entre autres : IAM, OS, hyperviseurs, navigateurs web, monitoring, sécurisation du réseau et sauvegarde/restauration. Lire aussi : L'Europe tient son programme CVE décentralisé Jusque-là, le NIST attribuait systématiquement un score de criticité, même si les autorités de numérotation CVE l’avaient déjà fait. Ce ne sera plus le cas. Des demandes pourront toutefois lui être faites par e-mail. Même chose pour la réanalyse de CVE enrichies et ensuite modifiées. Par défaut, l’agence n’y procédera plus que si elle a connaissance d’une modification « sensiblement impactante ». Il y a 2 ans, les premiers signaux Au-delà du score de criticité, l’enrichissement des CVE apporte notamment des listes des éditeurs concernés, des renvois vers des bulletins tiers et des liens vers les correctifs disponibles. Au printemps 2024, le NIST avait commencé à communiquer ouvertement sur l’accumulation des vulnérabilités à traiter. Il affirmait déjà prioriser les plus importantes. Et chercher une solution à long terme, comme la mise en place d’un consortium industriel. L’objectif était alors d’avoir écoulé le backlog pour l’automne. En fin d'année, l'agence avait admis que cet objectif était trop optimiste. Elle avait invoqué, en particulier, la réception des CVE dans un format difficile à importer et à améliorer. En mars 2025, ce format modifié, le NIST avait assuré avoir retrouvé son rythme d'avant le printemps 2024. Sauf que dans le même temps, le volume de CVE avait nettement augmenté... Quelques semaines plus tard, il fut finalement décidé d'attribuer le statut « différé » aux CVE en attente publiées avant 2018. Un indicateur du fait qu'elles ne seraient plus prioritaires pour l'enrichissement. Début 2026, l'agence avait esquissé les grandes lignes de ce qui est désormais officiellement sa nouvelle politique. Elle y voit une façon de « stabiliser » le programme NVD, le temps « d'améliorer les processus » et de « développer des systèmes automatisés ». Le NIST sous pression budgétaire... comme le programme CVE Cette évolution aura des conséquences en aval, sur les solutions qui exploitent la NVD. Parmi eux, nombre de SIEM, d'outils de pentest et de scanners de vulnérabilités. Lire aussi : Le NIST publie ses premiers standards post-quantiques L'absence de « caution NIST » systématique sur les scores de criticité peut poser question si on considère que certains éditeurs sont autorités de numérotation... et pourraient être tentés de minimiser l'importance de vulnérabilités dans leurs logiciels. Sous la présidence de Donald Trump, l'agence évolue à budget réduit. Elle est dans le collimateur de Washington pour son « agenda climatique radical ». Emblème : son programme économie circulaire, qui se nourrirait de subventions universitaires pour promouvoir un « alarmisme environnemental ». Le programme CVE, que gère l'organisation à but non lucratif MITRE, a lui aussi été un temps en danger. Son refinancement in extremis par le gouvernement US avait mis en lumière les travaux de l'Union européenne sur le programme alternatif GCVE (Global CVE Allocation System) et l'EUVD (EU Vulnerability Database). Illustration générée par IA
← Retour