La crise de financement qui a failli mettre à l’arrêt le système mondial de suivi des vulnérabilités l’année dernière a été résolue en douceur, atténuant les craintes d’une nouvelle perturbation brutale d’une pierre angulaire de l’écosystème de la cybersécurité.
La Cybersecurity and Infrastructure Security Agency et MITRE Corporation ont renégocié le contrat soutenant le programme Common Vulnerabilities and Exposures, vieux de 26 ans, de manière à éliminer l’expiration imminente qui a déclenché la panique dans la communauté de la sécurité en 2025.
Selon des sources, le programme semble être passé d’un poste de financement discrétionnaire à une ligne protégée dans le budget de la CISA, un changement structurel qui pourrait éviter le genre de crise dramatique qui menaçait le système l’année dernière.
Pendant environ une journée en 2025, le programme qui sous-tend les outils de gestion des vulnérabilités, les plateformes de renseignement sur les menaces et les systèmes de gestion des correctifs dans le monde entier a semblé sur le point de s’arrêter brutalement. Le monde de la cybersécurité a été pris de court lorsque MITRE a révélé que son contrat avec le Département américain de la sécurité intérieure pour gérer le programme allait expirer sans qu’il soit possible de le renouveler.
La CISA est finalement intervenue à la dernière minute, en accordant une prolongation de contrat d’urgence de 11 mois qui a permis au système de continuer à fonctionner, mais a laissé la communauté mondiale de la sécurité se préparer à une nouvelle rupture de financement ce printemps.
Près d’un an plus tard, cette solution provisoire a été remplacée par ce que les sources décrivent comme un arrangement plus durable. Le conseil d’administration du CVE a été informé lors de sa réunion du 21 janvier 2026 qu’il n’y aurait « pas de falaise de financement en mars » et que « les opérations et la planification en cours s’étendent bien au-delà de cette période », selon le procès-verbal de la réunion rendu public par la suite.
De la réflexion secondaire au programme protégé
Pour les défenseurs de longue date de la divulgation des vulnérabilités, le changement le plus important n’est peut-être pas le renouvellement lui-même, mais la manière dont le financement est structuré.
Pete Allor – membre du conseil d’administration de CVE, professionnel chevronné de la cybersécurité et co-fondateur de la Fondation CVE – a déclaré que le programme était historiquement en concurrence avec d’autres initiatives pour les fonds restants dans le budget de CISA.
« Ce que je comprends qui a changé, c’est que nous sommes passés de « Hé, avec tout ce qui reste, pouvons-nous financer le programme CVE avec quelques autres choses ? » au-dessus de cette ligne – il sera financé », a déclaré Allor. « C’est un énorme changement. »
En termes pratiques, ce changement semble élever le programme de catalogage des vulnérabilités d’un élément discrétionnaire qui pourrait être évincé par des priorités concurrentes vers un programme opérationnel de base.
L’amélioration des perspectives de financement a également incité la Fondation CVE – créée pendant l’incertitude de l’année dernière pour explorer des modèles de gouvernance alternatifs – à réévaluer ses prochaines étapes. « Pourquoi mettre le cheval au sol quand je peux l’utiliser bridé? » dit Allor.
Des questions de transparence demeurent
Malgré l’apparente stabilité du financement, le contrat lui-même reste largement opaque – même pour les membres du conseil d’administration du CVE.
Une source proche du programme CVE, qui a requis l’anonymat pour préserver les relations de travail avec le CISA et le MITRE, a qualifié l’accord de rassurant mais manquant de transparence.
« Il s’agit d’un contrat mystère avec un numéro mystère qui a été accepté et adopté », a indiqué la source. « La bonne nouvelle est que les gens n’ont pas à s’inquiéter. Mais maintenant qu’ils n’ont plus à s’inquiéter, il est temps de poser les questions difficiles. »
Ces questions portent notamment sur la manière dont le programme sera modernisé, comment sa performance sera mesurée et si sa structure de gouvernance doit évoluer.
Un membre du conseil d’administration du CVE a demandé à plusieurs reprises l’accès au contrat MITRE-CISA lors des conseils d’administration successifs, selon des sources proches des discussions. MITRE a décliné ces demandes, invoquant les protections juridiques autour de l’accord entre les deux organisations. Une demande distincte de contrat en vertu de la Freedom of Information Act est également restée sans réponse.
« Si vous dites que vous le faites pour le bien public et le bien commun, il vous incombe de dire comment vous mesurez le bien », a déclaré Allor. « C’est une question ouverte et elle ne peut pas être secrète. »
Le conseil d’administration du CVE lui-même – élargi à 24 membres ces dernières années – fonctionne en grande partie comme un organe consultatif, tandis que MITRE conserve le pouvoir décisionnel final sur les opérations du programme.
Des alternatives mondiales commencent à émerger
Le quasi-effondrement du programme CVE l’année dernière a déclenché une vague de plans d’urgence dans l’écosystème de la cybersécurité.
La Fondation CVE a commencé à explorer des modèles de gouvernance qui réduiraient la dépendance à l’égard d’une seule source de financement du gouvernement américain. Dans le même temps, l’Agence de l’Union européenne pour la cybersécurité a commencé à développer son propre cadre d’identification des vulnérabilités, qui a depuis été lancé.
Un porte-parole de l’ENISA a déclaré que l’agence reste engagée dans l’écosystème CVE mais n’a pas de visibilité sur les modalités de financement du programme. « L’ENISA fait partie du programme CVE et reste déterminée à contribuer à la communauté mondiale CVE et à soutenir une gestion coordonnée des vulnérabilités », a déclaré l’agence dans un communiqué.
Les organisations du secteur privé ont également pris des mesures pour se prémunir contre d’éventuelles perturbations. La société de renseignement sur les vulnérabilités VulnCheck, par exemple, a réservé des blocs d’identifiants CVE pour assurer la continuité en cas de défaillance du système de numérotation.
Même une fois la crise du financement résolue, il est peu probable que ces efforts disparaissent. Les préoccupations structurelles concernant la gouvernance et l’indépendance à long terme continuent de susciter l’intérêt pour des systèmes complémentaires ou alternatifs.
Certains acteurs européens, en particulier, restent inquiets du fait qu’un élément essentiel de l’infrastructure mondiale de cybersécurité dépend d’un seul contrat du gouvernement américain.
« Certains Européens ne veulent pas orienter leurs données techniques directement vers un projet financé par le gouvernement américain », a déclaré la source proche du programme CVE. Des discussions auraient commencé sur une éventuelle modification de la loi européenne sur la cyber-résilience pour faire référence à un identifiant géré par l’ENISA plutôt que par le CVE.
Allor a déclaré qu’il s’attend à ce que la CISA élargisse son engagement international autour du programme dans les mois à venir en réponse à ces préoccupations. « Je pense qu’il y a des pays au sein de l’UE, et je connais au moins trois pays extérieurs à l’UE qui s’en plaignaient », a-t-il déclaré. « Je pense que les gens de CISA ont entendu cela très fort. »
En septembre dernier, la CISA a présenté sa « vision » pour le programme CVE, en s’engageant à renforcer les partenariats internationaux et à améliorer la représentation des gouvernements et des organisations en dehors des États-Unis – un signal d’engagement renouvelé après la frayeur de l’année dernière.
Un avertissement que l’industrie n’oubliera pas
Même si la crise de financement immédiate s’estompe, l’environnement institutionnel autour de la CISA reste instable. L’agence a été confrontée à des coupes budgétaires, à un changement de direction et à des réductions de personnel, et elle est restée plus d’un an sans directeur confirmé par le Sénat.
Toutefois, pour l’instant, le catalogue de vulnérabilités qui sert de langage commun à l’industrie de la cybersécurité reste financé et opérationnel.
Mais les événements de l’année dernière ont révélé à quel point l’écosystème de sécurité mondial est devenu dépendant d’un seul contrat du gouvernement américain – et ont déclenché un débat plus large sur la question de savoir si la gouvernance et le financement de ces infrastructures critiques devraient être plus transparents, plus internationaux et moins fragiles.
