Le financement pour le programme de cybersécurité de Cybersecurity and Infrastructure Security Agency a été rétabli, soulignant son importance face à l’augmentation des cybermenaces. Cependant, des incertitudes persistent quant à l’avenir et aux ressources nécessaires pour renforcer la protection des infrastructures critiques aux États-Unis.
Le programme de cybersécurité CVE
Le programme Common Vulnerabilities and Exposures (CVE), utilisé par des géants de la technologie tels qu’Apple, a récemment vu son financement restauré par le gouvernement fédéral, à la suite d’une volte-face inattendue. Cette initiative est essentielle pour aider les entreprises à identifier et corriger les failles de sécurité dans leurs produits. Les experts en sécurité avaient auparavant vivement critiqué la décision initiale de supprimer le financement, la qualifiant d’irresponsable et dangereuse.
Le CVE permet à toute personne ou organisation de signaler facilement une vulnérabilité de sécurité qu’elle a détectée dans un produit technologique. Lorsqu’une vulnérabilité est signalée, elle se voit attribuer un identifiant unique, commençant par CVE- suivi de l’année et d’un numéro de série. Cela permet à d’autres de vérifier que le problème a été signalé et de mener leurs propres enquêtes pour aider l’entreprise concernée à évaluer la gravité de la situation.
Dans les cas où une vulnérabilité nécessite l’intervention de plusieurs entreprises technologiques, le système CVE facilite la coordination de leurs efforts. Des entreprises comme Apple, Google et Microsoft s’appuient sur ce système pour renforcer leur cybersécurité.
Le programme est sous l’égide du département de la sécurité intérieure des États-Unis, mais son exécution est sous-traitée à une société privée, The MITRE Corporation.
Trois développements en 24 heures
La situation a pris un tournant lorsque MITRE a annoncé que le financement fédéral avait été supprimé, et ce, avec un préavis d’un jour seulement. Les professionnels de la sécurité ont immédiatement exprimé leur disbelief et leur déception face à cette décision. Peu après, un membre du conseil d’administration du CVE a révélé qu’ils avaient discrètement travaillé sur un plan de contingence pour cette éventualité, annonçant la création d’une fondation CVE. Cependant, aucune information sur les modalités de financement de cette fondation n’a été fournie, bien que l’on suppose qu’Apple et d’autres entreprises technologiques pourraient y contribuer.
Dans le développement le plus récent, Reuters a signalé un revirement de la part du gouvernement, annonçant que le financement se poursuivrait.
« Des responsables américains prolongeront le soutien pendant 11 mois à une base de données de vulnérabilités informatiques qui joue un rôle critique dans la lutte contre les bogues et les piratages », a déclaré un porte-parole mercredi, juste au moment où le financement était sur le point d’expirer […]
Ce changement de plan de dernière minute, après que l’importance de ce service ait été mise en avant publiquement, illustre la confusion au sein du gouvernement alors que l’administration du président Donald Trump procède à des coupes budgétaires profondes.
Le vice-président de MITRE chargé du programme a exprimé sa gratitude envers la communauté de la sécurité.
« Nous apprécions le soutien massif pour ces programmes qui a été exprimé par la communauté mondiale de la cybersécurité, l’industrie et le gouvernement au cours des dernières 24 heures », a déclaré Barsoum.
L’incertitude demeure
Bien que la pression immédiate soit levée, l’avenir à long terme du programme reste flou. Il n’y a eu aucune indication sur le fait que ce revirement soit temporaire ou permanent, et il est incertain que le conseil d’administration du CVE poursuive ses projets de création d’une fondation à but non lucratif indépendante pour tenter d’assurer le financement.
Accessoires mis en avant
Photo par Roman Synkevych sur Unsplash
Nous utilisons des liens d’affiliation générant des revenus. Plus d’infos.
Quel est le programme de sécurité CVE ?
Le programme CVE fournit un moyen facile et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a trouvée dans un produit technologique. Une fois signalée, la vulnérabilité reçoit un identifiant unique commençant par CVE- suivi de l’année et d’un numéro de série.
Pourquoi le financement du programme a-t-il été rétabli ?
Le financement fédéral a été rétabli après une décision initiale de le supprimer, considérée par les experts en sécurité comme stupide et dangereuse. La pression de la communauté de la cybersécurité a joué un rôle clé dans ce retournement de situation.
Quel sera l’avenir du programme CVE ?
Bien que le financement ait été rétabli temporairement, l’avenir à long terme du programme reste incertain, avec des questions sur la continuité du financement et la possibilité d’une fondation indépendante non lucrative pour le soutenir.
Comment le programme CVE aide-t-il les entreprises technologiques ?
Le système CVE aide les entreprises telles qu’Apple, Google et Microsoft à coordonner leurs efforts pour résoudre les vulnérabilités. Cela leur permet de travailler ensemble pour évaluer la gravité des problèmes identifiés et d’assurer la sécurité de leurs produits.
