Le programme CVE sauvé : pourquoi est-ce essentiel pour la cyber ?

Ce mercredi 16 avril 2025 a été une journée incertaine pour le programme CVE et cela a généré, à juste titre, l’inquiétude dans la sphère de la cybersécurité. Que s’est-il passé ? En quoi consiste le programme CVE ? Faisons le point sur les événements récents.

CVE… C’est quoi ?

Dans beaucoup de nos articles rédigés dans le cadre de notre veille Cyber, nous faisons référence à des vulnérabilités en précisant un identifiant CVE, sous cette forme : CVE-XXXX-XXXXX, où le second bloc correspond à l’année de découverte de la vulnérabilité et le troisième bloc à un numéro unique (par rapport à l’année).

À chaque fois qu’une vulnérabilité est découverte et validée, que ce soit dans un logiciel ou un système d’exploitation, elle hérite d’un identifiant CVE. Cet identifiant CVE est un identifiant unique attribué à une faille de sécurité et chaque référence CVE correspond à une vulnérabilité spécifique. L’avantage, c’est que chaque CVE est documentée de manière standardisée afin qu’elle puisse être référencée, suivie et corrigée plus facilement.

Cela permet aux éditeurs de logiciels, aux fournisseurs de solutions de sécurité, et aux professionnels de l’IT au sens large de partager une compréhension claire et cohérente des failles. Sans cette nomenclature et ce référencement, le suivi et la gestion des vulnérabilités seraient beaucoup plus complexes et il y a forcément des confusions.

La base de données utilisée actuellement à l’échelle mondiale est gérée par le MITRE, l’organisme en charge du programme CVE (Common Vulnerabilities and Exposures). Elle est mise à disposition sur le site cve.org avant d’être reprise par le NIST (base NVD) et les autres agences de cybersécurité (ANSSI, en France, par exemple).

Les CVE sont un pilier dans la gestion des vulnérabilités, et pourtant tout cela a bien failli prendre fin définitivement…

Le programme CVE sauvé de justesse

Le contrat du MITRE permettant le financement, par le gouvernement américain, du programme CVE est arrivé à échéance ce mercredi 16 avril 2025. Étant donné que le gouvernement de Trump multiplie les restrictions budgétaires, y compris au niveau de la cybersécurité, en affaiblissant notamment la CISA (Cybersecurity and Infrastructure Security Agency), tout le monde a douté du renouvellement de ce contrat.

Le courrier ci-dessous, largement partagé sur les réseaux sociaux ces dernières 24 heures, a permis à tout le monde de prendre connaissance de cette échéance et des risques associés… Sa diffusion a sans doute contribué, d’une certaine manière, à préserver le programme CVE…

Finalement, l’agence américaine CISA a annoncé avoir prolongé le contrat de financement de MITRE. Cette décision, prise in extremis, garantit la continuité d’un service vital pour la cybersécurité mondiale. Ce contrat a été prolongé pour une durée de 11 mois.

Yosry Barsoum, vice-président du MITRE, est revenu sur cette annonce : « Grâce aux mesures prises par le gouvernement, une interruption de service pour le programme Common Vulnerabilities and Exposures (CVE®) et le programme Common Weakness Enumeration (CWE™) a été évitée. Depuis le mercredi 16 avril 2025 au matin, la CISA a identifié des fonds supplémentaires pour maintenir les programmes opérationnels. Nous apprécions le soutien massif à ces programmes qui a été exprimé par la cybercommunauté mondiale, l’industrie et le gouvernement au cours des dernières 24 heures. Le gouvernement continue à faire des efforts considérables pour soutenir le rôle de MITRE dans le programme et MITRE reste engagé dans CVE et CWE en tant que ressources mondiales. » – Le pire scénario a donc été évité.

Une fondation pour garantir l’indépendance du programme

Si le financement de MITRE est prolongé, l’inquiétude demeure sur la dépendance du programme CVE à un unique bailleur de fonds : le gouvernement américain. C’est même étonnant que ce risque n’ait pas été anticipé bien avant. En réponse, plusieurs membres du CVE Board ont annoncé la création de la CVE Foundation, une organisation à but non lucratif visant à assurer la pérennité et la neutralité du programme.

« La Fondation CVE a été officiellement créée pour assurer la viabilité, la stabilité et l’indépendance à long terme du programme CVE (Common Vulnerabilities and Exposures), pilier essentiel de l’infrastructure mondiale de cybersécurité depuis 25 ans.« , peut-on lire sur le site officiel de la CVE Foundation.

L’objectif de cette nouvelle structure est clair : assurer la pérennité de la gestion des vulnérabilités, grâce à un programme communautaire et indépendant. « La création de la Fondation CVE marque une étape importante dans l’élimination d’un point de défaillance unique dans l’écosystème de la gestion des vulnérabilités et dans la garantie que le programme CVE reste une initiative communautaire de confiance au niveau mondial.« , précise le communiqué.

La continuité du programme CVE est assurée pour le moment, mais il est évident que ce mercredi 16 avril 2025 marque un tournant pour les prochaines années.

Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP « Cloud and Datacenter Management ».