L'incertitude sur l'avenir du suivi des vulnérabilités logicielles

🕐 Temps de lecture estimé : 8 minutes

Imaginez un monde où les alarmes incendie existent, mais personne ne les écoute. C'est à quoi ressemble la cybersécurité lorsque des vulnérabilités sont découvertes mais jamais cataloguées - ou pire, jamais analysées.

Imaginez maintenant que l'institution responsable de la maintenance du catalogue mondial des vulnérabilités - le programme MITRE CVE - pourrait perdre son financement.

Oui. Bienvenue en 2025.

Le système MITRE CVE : Pourquoi est-ce important ?

Depuis des décennies, le programme CVE (Common Vulnerabilities and Exposures) de MITRE agit comme l'index mondial des vulnérabilités logicielles connues. Du tristement célèbre CVE-2021-30860 (alias FORCEDENTRY) au CVE-2020-0022 (alias BlueFrag) - les CVE sont la façon dont nous savons ce qu'il faut corriger, suivre et analyser.

La base de données CVE alimente :

• Les systèmes d’alertes SIEM (Security Information and Event Management)

• Les scanners de vulnérabilités

• Les outils SBOM (Software Bill Of Material)

• Les flux de renseignement sur les menaces

• Et en pratique, chaque triage de SOC (Security Operations Center)

Ainsi, lorsque des rumeurs ont commencé à circuler fin 2024 selon lesquelles la CISA (Cybersecurity and Infrastructure Security Agency) pourrait retirer ou restructurer le financement de MITRE, les signaux d'alarme ont retenti.

Début 2025, MITRE maintient toujours CVE, mais l'avenir est incertain à moins qu'une nouvelle ligne de financement ne soit assurée.

Si MITRE s’arrête, qui prendra la suite ?

Le monde de la sécurité ne peut pas se permettre un trou dans la raquette. Alors, qui se prépare à combler le vide ?

• ENISA (Agence de l'Union européenne pour la cybersécurité)

⚠️ Pourrait introduire une fragmentation si elle n'est pas synchronisée avec les identifiants mondiaux

• OSV (Open Source Vulnerabilities) de Google

⚠️ Se concentre sur l'OSS - pas de couverture pour les applications d'entreprise propriétaires ou les systèmes embarqués

• CNA spécifiques à l'industrie (retour aux années 90)

⚠️ Pas de coordination centrale = chaos pour les scanners, la gestion des actifs et les correctifs

Une organisation à but non lucratif comme une Fondation CVE pourrait être la meilleure option.

Le vrai problème n'est pas seulement de perdre MITRE

Vous pouvez publier tous les CVE que vous voulez. Vous pouvez configurer un avis GitHub, crier sur X...

Mais si les organisations n'analysent pas continuellement leurs applications par rapport à ces vulnérabilités, rien de tout cela n'a d'importance.

🚨 Connaître les CVE c'est bien. Agir c’est mieux.

Que devrions-nous faire ?

• Automatiser l'analyse continue en utilisant des outils SCA (Software Composition Analysis) automatisés

• Utiliser les SBOM pour corréler les logiciels installés avec les CVE connus

• Surveiller plusieurs flux - ne pas se fier uniquement à MITRE CVE