Connexion
La base de données de vulnérabilités CVE a failli perdre son financement américain
vulnérabilités au carré
La base de données de vulnérabilités CVE, mondialement utilisée pour connaître et corriger des risques de cybersécurité, a bien cru voir son financement fédéral américain s’arrêter. Alors qu’il devait expirer aujourd’hui même, l’Agence de cybersécurité américaine CISA l’a renouvelé à la dernière minute. En parallèle, des responsables de CVE ont lancé une fondation pour assurer son indépendance à long terme.
L’Agence de cybersécurité américaine CISA a finalement décidé de continuer à financer la base de données de vulnérabilités CVE en étendant son contrat avec la MITRE, l’organisation à but non lucratif qui gère le projet.
« Le programme CVE est inestimable pour la cybercommunauté et constitue une priorité de la CISA. Hier soir, la CISA a exécuté la période d’option du contrat afin de s’assurer qu’il n’y aura pas d’interruption des services CVE essentiels », a affirmé l’agence dans un communiqué envoyé à Forbes et notre BleepingComputer.
Le stress de la communauté cyber
Il était temps. La communauté de la cybersécurité avait commencé, mardi soir, à s’émouvoir sur les réseaux sociaux de la possible disparition de cette base de données. En effet, ce contrat arrivait à échéance ce mercredi 16 avril. Cette information a fuité mardi via une lettre adressée aux membres du bureau du CVE publiée sur Bluesky.
Yosry Barsoum, le vice-président du MITRE, l’organisation à but non-lucratif dont dépend le CVE, y annonçait un possible arrêt de financement et affirmait : « Si une interruption de service devait se produire, nous prévoyons de multiples conséquences pour CVE, notamment la détérioration des bases de données et des avis nationaux sur les vulnérabilités, des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques ».
Le spécialiste en cybersécurité Kevin Beaumont réagissait par exemple en affirmant que « le secteur de la cybersécurité dans son ensemble est également en difficulté – c’est l’éléphant dans la pièce – l’effondrement du soutien de la Maison-Blanche à la cybersécurité est évident et prononcé en raison des coupes budgétaires généralisées ».
En effet, CVE est vraiment devenu un outil indispensable dans ce secteur depuis sa création en 1999. Elle recense toutes les vulnérabilités de sécurité des systèmes informatiques en indiquant leurs sévérités. Cette base permet notamment d’unifier les noms des failles pour s’assurer que tout le monde s’entende et ne fasse pas de confusion. Toutes les personnes travaillant dans le secteur l’utilise. On peut aussi s’appuyer sur CVE pour analyser la variation du nombre failles de sécurité, mais attention à le faire en prenant en compte leur exploitation et pas seulement leur nombre absolu.
Une fondation créée à la hâte
Alors que l’annonce de la reconduction du contrat n’avait pas encore été faite, des membres du bureau du CVE ont annoncé le lancement de la Fondation CVE. Celle-ci doit assurer « la viabilité, la stabilité et l’indépendance à long terme du programme CVE, pilier essentiel de l’infrastructure mondiale de cybersécurité depuis 25 ans ».
Elle est présentée comme une réponse à l’instabilité dans laquelle se trouve le CVE. En même temps, ce texte explique qu’elle est le fruit d’« une coalition de membres actifs et de longue date du conseil d’administration de CVE [qui] a passé la dernière année à élaborer une stratégie de transition de CVE vers une fondation à but non lucratif ».
Il est difficile pour l’instant de savoir quelle sera l’avenir de la gouvernance du CVE entre cette fondation et la gestion historique par le MITRE.
Ce dernier a, certes, finalement pu reconduire le contrat avec la CISA, mais 442 employés du MITRE ont été licenciés récemment après l’arrêt de contrats par le DOGE équivalent à 28 millions de dollars de budget, selon Virginia Business. Difficile de promettre une stabilité au projet dans ce contexte.
