Le programme CVE qui suit les vulnérabilités des logiciels ne perdra finalement pas ses fonds. Le monde de la sécurité pousse un soupir de soulagement.
Mitre, l’organisation qui supervise le célèbre programme CVE, pourra encore compter sur les fonds du gouvernement américain. Un porte-parole de l’organisation américaine de sécurité CISA l’a confirmé à Bleeping Computer. La situation semblait critique pour le programme lorsque Mitre a annoncé que son financement serait interrompu le 16 avril en raison d’un manque de fonds gouvernementaux.
CVE, abréviation de Common Vulnerabilities and Exposures, joue un rôle crucial dans la sécurité informatique mondiale. La base de données CVE maintient un aperçu des vulnérabilités connues dans les outils logiciels. Chaque vulnérabilité est ainsi désignée par un code CVE. Depuis la création du programme en 1999, plus de 275 000 vulnérabilités ont été enregistrées.
Chaos total
La nouvelle selon laquelle le programme ne recevrait plus le soutien du gouvernement américain, son principal bailleur de fonds, a donc suscité l’inquiétude parmi les experts en sécurité. Des expressions telles que ‘chaos total’ et ‘paralysie mondiale de la cybersécurité’ ont été évoquées par des experts sur les réseaux sociaux.
“Si une interruption de service devait se produire, nous anticipons plusieurs conséquences, notamment une détérioration des bases de données et des conseils sur les vulnérabilités (inter)nationales, des fournisseurs d’outils et des opérations de réponse aux incidents pour les infrastructures critiques”, explique Yosry Barsoum de Mitre de manière plus nuancée à Bleeping Computer.
L’organisation semble avoir compris qu’il serait préférable de devenir moins dépendante du gouvernement américain. Avec Donald Trump, on ne sait jamais quand il changera d’avis à nouveau. C’est pourquoi l’organisation à but non lucratif CVE Foundation a été créée. Celle-ci est moins liée au gouvernement, ce qui lui permet de collecter des fonds ailleurs.
De nombreuses entreprises européennes s’appuient également sur la base de données CVE américaine pour rester informées des vulnérabilités des produits logiciels qu’elles utilisent. Moins connu est EUVD, l’homologue européen géré par l’ENISA. Dans le cadre de la législation NIS2, l’Union européenne a décidé de créer son propre système de suivi des vulnérabilités.
lire aussi