Dans un tournant inattendu, le programme de sécurité CVE, essentiel pour les entreprises comme Apple, Microsoft et Google, a vu son financement réduit. Cette décision soulève des questions sur l’avenir de la cybersécurité et la protection des utilisateurs face aux vulnérabilités critiques dans un monde numérique en constante évolution.
Le programme de sécurité CVE
Le programme CVE (Common Vulnerabilities and Exposures) facilite la déclaration de vulnérabilités de sécurité dans des produits technologiques. Grâce à ce système, tout individu ou organisation peut signaler des failles qu’ils ont identifiées.
Une fois qu’une vulnérabilité est reportée, elle se voit attribuer un identifiant unique, commençant par CVE- suivi de l’année et d’un numéro de série. Cela permet aux autres parties prenantes de vérifier que le problème a été signalé et d’effectuer leurs propres analyses pour aider l’entreprise concernée à évaluer la gravité de la situation.
En cas de vulnérabilité nécessitant une action de la part de plusieurs entreprises technologiques, le système CVE les aide à coordonner leurs efforts. Des géants comme Apple, Google et Microsoft s’appuient sur ce système.
Bien que le programme soit sous l’égide du Département de la sécurité intérieure des États-Unis, ses activités sont sous-traitées à une entreprise privée, la MITRE Corporation.
Suppression des financements fédéraux par le gouvernement américain
La MITRE Corporation a récemment annoncé que son financement fédéral était supprimé avec effet immédiat. Cette décision a été rendue publique hier, suscitant des inquiétudes sur l’avenir du programme CVE.
Le mercredi 16 avril 2025, le contrat actuel de la MITRE pour le développement, l’exploitation et la modernisation du programme CVE et de plusieurs autres programmes connexes, tels que le CWE, expirera […]
Si une interruption de service se produit, nous prévoyons de multiples impacts sur le CVE, y compris la détérioration des bases de données de vulnérabilités nationales et des avis, des outils des fournisseurs, des opérations de réponse aux incidents, et une multitude d’infrastructures critiques.
L’un des chercheurs en sécurité notables, Lukasz Olejnik, a exprimé que cela entraînerait un « chaos total » dans le domaine de la cybersécurité.
En réduisant ce qui équivaut à des coûts dérisoires, l’administration Trump va effectivement (au moins temporairement) paralyser le système de cybersécurité mondial — le CVE […]
Les conséquences seront un effondrement de la coordination entre les fournisseurs, les analystes et les systèmes de défense — personne ne sera certain qu’ils parlent de la même vulnérabilité. Cela créera un chaos total et un affaiblissement soudain de la cybersécurité dans son ensemble.
Financement du CWE également supprimé
Comme l’a mentionné MITRE, la suppression des financements touche également le programme Common Weakness Enumeration (CWE). Ce programme connexe permet d’identifier les chemins de faiblesse communs dans les logiciels et le matériel, qui pourraient avoir des implications sur la sécurité.
Le CWE fournit des directives qui aident les entreprises technologiques à éviter d’introduire des failles de sécurité dans leurs produits dès le départ, permettant ainsi à chacun d’apprendre des erreurs des autres.
Analyse de 9to5Mac
Les programmes CVE et CWE sont très efficaces et extrêmement rentables. La suppression de leurs financements est perçue comme une décision irrationnelle.
Une mise à jour importante : il semble que les membres du conseil d’administration de CVE aient prévu le risque de cette situation. Ils ont annoncé la création d’une Fondation CVE pour continuer le travail du programme.
Cette préoccupation est devenue urgente suite à une lettre du 15 avril 2025 de MITRE notifiant le conseil d’administration de CVE que le gouvernement des États-Unis ne souhaite pas renouveler son contrat pour la gestion du programme. Bien que nous espérions que ce jour n’arriverait pas, nous nous y sommes préparés.
En réponse, une coalition de membres actifs et de longue date du conseil d’administration de CVE a passé l’année passée à élaborer une stratégie de transition du CVE vers une fondation à but non lucratif dédiée. La nouvelle Fondation CVE se concentrera uniquement sur la mission de fournir une identification de vulnérabilités de haute qualité et de maintenir l’intégrité et la disponibilité des données CVE pour les défenseurs du monde entier.
La Fondation prévoit de publier plus d’informations sur ses plans dans les jours à venir. Le financement sera crucial, et il est probable qu’Apple sera parmi les géants de la technologie à offrir son soutien.
Qu’est-ce que le programme de sécurité CVE ?
Le programme CVE fournit un moyen simple et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a trouvée dans un produit technologique. Une fois signalée, elle se voit attribuer un identifiant unique comprenant CVE- suivi de l’année et d’un numéro de série.
Pourquoi le financement fédéral du programme CVE a-t-il été supprimé ?
Le financement fédéral du programme CVE a été supprimé immédiatement en raison de l’expiration de la voie contractuelle actuelle de la MITRE Corporation pour développer, exploiter et moderniser CVE et plusieurs autres programmes connexes.
Quelles seront les conséquences de ce retrait de financement ?
Les conséquences de la coupure de financement incluent un affaiblissement de la coordination entre les fournisseurs, les analystes et les systèmes de défense, entraînant une incertitude quant à la référence aux mêmes vulnérabilités et une dégradation de la cybersécurité.
Qu’est-ce que la fondation CVE ?
La fondation CVE a été créée par des membres du conseil d’administration de CVE pour continuer le travail de gestion des vulnérabilités. Elle se concentrera sur la livraison d’une identification de vulnérabilités de haute qualité et sur le maintien de l’intégrité et de la disponibilité des données CVE pour les défenseurs à travers le monde.
