« Le manque de planification stratégique et d’action décisive du NIST a permis à l’arriéré de vulnérabilités non traitées de continuer à croître », a déclaré l’inspecteur général du département du Commerce.
Un rapport de l’inspecteur général du département américain du Commerce accuse le National Institute of Standards and Technology (NIST) d’être responsable du retard toujours croissant de vulnérabilités à inclure dans la National Vulnerability Database (NVD). Mais les praticiens de la cybersécurité affirment que l’arriéré, bien que très réel, s’accumule depuis des années et que le gouvernement ne fait pas grand-chose pour y remédier.
Les défenseurs du NIST soulignent les coupes budgétaires qui ont rendu sa mission bien plus difficile. Et un problème potentiellement plus important est que la nature de l’identification des vulnérabilités et des correctifs a fortement changé au cours des deux dernières années, via les développements de genAI qui ont considérablement augmenté le nombre de vulnérabilités découvertes et accéléré leur découverte. Cela soulève la question de savoir si les processus de NVD doivent être complètement repensés.
Des querelles inter-agences
Le rapport de l’Inspecteur général accuse le NIST d’être responsable de diverses lacunes en matière de gestion et de stratégie.
« Le manque de planification stratégique et d’action décisive du NIST a permis à l’arriéré de vulnérabilités non traitées de continuer à croître », indique le rapport, soulignant que le NIST et la Cybersecurity and Infrastructure Security Agency (CISA) mettent en œuvre deux programmes d’enrichissement des vulnérabilités avec un chevauchement important, conduisant à une duplication des efforts et à un gaspillage d’environ 200 000 $ depuis mai 2024. De plus, indique-t-il, la communication insuffisante du NIST a frustré les parties prenantes et diminué la confiance dans le NVD.
Le rapport indique également : « Le NIST doit améliorer l’efficacité des processus d’enrichissement pour garantir la durabilité. Nous estimons que le NIST pourrait consacrer environ 800 000 dollars à une meilleure utilisation au cours des deux prochaines années. »
Il attribue également certains problèmes liés aux programmes d’identification des vulnérabilités à des luttes intestines bureaucratiques au fil des ans, soulignant que depuis deux ans, la CISA fournit de manière indépendante presque toutes les mêmes données d’enrichissement que le NIST.
« Par conséquent », dit-il, « il existait une opportunité pour le NIST d’exploiter les données de la CISA pour accélérer la réduction du retard. Cependant, les responsables du NIST ont déclaré que le système NVD nécessitait des mises à jour techniques pour incorporer les données d’enrichissement de la CISA parce que le système n’avait pas la capacité d’attribuer les données à des sources spécifiques. «
Pour cette raison, avant que les mises à jour du système et les modifications ultérieures des processus ne soient terminées en mars 2025, le NIST a refusé d’utiliser les données de CISA car il aurait semblé qu’un analyste NVD avait effectué l’enrichissement.
« Bien qu’il soit compréhensible que le NIST ait voulu être clair sur la source des données dans le NVD », indique le rapport, « cela a finalement retardé le traitement des vulnérabilités pour distinguer si l’enrichissement avait été effectué par le NIST ou la CISA, les deux agences fédérales ayant accès aux mêmes informations publiques. »
Un autre exemple d’inefficacité concernait également l’enrichissement : « En mai 2024… CISA a lancé son propre programme d’enrichissement de vulnérabilités, appelé Vulnrichment. À l’époque, CISA a invité le NIST à collaborer et à publier une déclaration commune sur le nouveau programme. Cependant, le NIST n’a pas participé à une déclaration commune ni publié d’annonce sur le programme de CISA. En fin de compte, les deux programmes ont fonctionné sans coordination et ont fait double emploi avec des activités d’enrichissement. «
Les calculs du score de gravité du NIST « pourraient ne plus être nécessaires »
Une autre préoccupation évoquée concernait la fiabilité du calcul des scores de gravité par le NIST.
« Pour générer un score de gravité des vulnérabilités, le NIST utilise le système commun de notation des vulnérabilités (CVSS), standard de l’industrie. … Notre examen a révélé que la mise en œuvre dépend fortement des informations disponibles et du jugement professionnel », indique le rapport, notant que lors des tests internes, les scores de gravité parmi les évaluateurs indépendants du BIG ne correspondaient que dans 12 % des cas. « Nous avons conclu que les scores de gravité varient en fonction de la personne qui effectue le travail et des informations dont elle dispose. »
Il ajoute : « Traditionnellement, le NIST calculait son propre score de gravité indépendant pour chaque vulnérabilité. Le NIST a déclaré qu’il le faisait dans le cadre de son mandat consistant à déterminer la nature et l’étendue des vulnérabilités en matière de sécurité de l’information et à attribuer indépendamment des mesures de gravité aux vulnérabilités identifiées. Cependant, le NIST n’est pas tenu de calculer un score de gravité pour chaque vulnérabilité. Aujourd’hui, cette approche n’est peut-être plus nécessaire et, compte tenu du volume croissant de soumissions de vulnérabilités, n’est plus viable. «
Dans cette réponse, le NIST a déclaré qu’il était d’accord avec toutes les recommandations techniques du rapport, impliquant principalement la création d’un meilleur plan stratégique pour le NVD et d’un meilleur plan de gestion du retard, mais qu’il n’était pas d’accord avec le ton et la formulation utilisés.
« Plutôt que d’évaluer l’impact des actions du NIST d’une manière juste, factuelle et objective, cette déclaration jette inutilement le doute sur les intentions et les priorités du NIST », a déclaré la réponse du NIST, attribuée au directeur par intérim Craig Burkhardt. « Le projet de rapport regorge de termes qui vont au-delà d’une évaluation objective et factuelle. »
Réponse de l’industrie
Cependant, ont déclaré certains observateurs, même si le rapport de l’AG était exact, il n’avait pas une vue d’ensemble.
« L’arriéré retient toute l’attention, mais en dessous, il y a une histoire d’argent. La CISA couvrait près de la moitié du financement du NVD, puis s’en est retirée, et le budget du laboratoire du NIST a été réduit en plus. Vous ne pouvez pas retirer ce genre d’argent d’un projet aussi important et ensuite être surpris quand il se brise », a déclaré Jeff Williams, CTO chez Contrast Security.
Il a souligné la révélation selon laquelle les calculs de gravité des vulnérabilités des analystes du BIG ne correspondaient à ceux du NIST que 12 % du temps, suggérant que la mesure, utilisée par le service informatique pour prioriser les correctifs, « est à peine meilleure que de deviner ». Cela devrait inquiéter les gens plus que l’arriéré, a-t-il déclaré.
Williams a également fait valoir que les parties manuelles de l’analyse des menaces n’ont plus beaucoup de sens, soulignant que les « parties faciles » de la sécurité telles que l’analyse et l’émission de tickets sont déjà automatisées.
« Nous sommes très doués pour produire des résultats, mais nous n’avons jamais réussi à les traiter. Le véritable travail de prévention – modélisation des menaces et examen approfondi de l’architecture – est toujours effectué à la main par un petit nombre de personnes expérimentées », a-t-il souligné. « Nous avons automatisé la mauvaise moitié. Là où l’IA peut être vraiment révolutionnaire, c’est en aidant au travail d’experts pour lequel nous ne pourrions jamais embaucher suffisamment de personnes, afin de prévenir les vulnérabilités en premier lieu. »
Braden Perry, avocat spécialisé dans les litiges, la réglementation et les enquêtes gouvernementales chez Kennyhertz Perry, a également contesté la défense du NIST selon laquelle les obligations juridiques l’obligeaient à prendre certaines de ces décisions.
« C’est un argument d’avocat et un argument partiel », a-t-il déclaré. « La loi définit la mission. Elle ne dicte pas les choix qui ont créé l’arriéré. Voici la distinction : le NIST cite (une règle fédérale) qui ordonne à l’agence d’attribuer des mesures de gravité aux vulnérabilités des logiciels open source. C’est un mandat. Mais il ne couvre que les logiciels open source, pas toutes les vulnérabilités. Il dit « mesures de gravité », pas CVSS. »
Et, a-t-il ajouté, la règle ne demande pas au NIST de recalculer un score déjà produit par un fournisseur ou le CISA ; c’était la décision du NIST. « Le mandat est donc restreint et la pratique est large », a-t-il déclaré, soulignant que le rapport de l’inspecteur général l’indiquait clairement.
« Les statuts cités par le NIST ne disent pas comment gérer la base de données ni quoi produire », a-t-il noté. « Ils confient les appels opérationnels au NIST. Sur la question centrale, à savoir si le NIST était légalement contraint de respecter cet arriéré, la réponse est non. Le devoir de maintenir la base de données en fonctionnement est réel. Le désordre était un choix. »
Les plaintes du NIST, a-t-il déclaré, « sont des échecs de gestion, et non des commandements statutaires. (NIST) consacre la majeure partie de son énergie à affirmer que le rapport était injuste et manquait de contexte. Il s’agit d’une plainte de procédure. Ce n’est pas une défense du dossier. »
Erik Avakian, conseiller technique chez Info-Tech Research Group, a déclaré que les problèmes de NVD identifiés dans le rapport sont moins préoccupants que le fait que trop d’entreprises sont devenues dépendantes du NVD comme seule source de vérité sur les vulnérabilités.
« Je poserais la question : pourquoi attendons-nous que le NIST nous dise quelque chose d’important ? » dit Avakian. « Les organisations qui s’appuient autant sur le NVD ont des problèmes de maturité plus profonds, car le NVD doit être traité comme une fonction de support d’un programme de gestion des vulnérabilités, et non comme l’intégralité de celui-ci. »
Ishraq Khan, PDG du fournisseur d’outils de productivité de codage Kodezi, a ajouté que l’ampleur changeante de la découverte des vulnérabilités constitue le problème le plus important.
« L’infrastructure de cybersécurité doit évoluer au même rythme que la découverte des vulnérabilités. Si la découverte devient exponentiellement plus rapide grâce à l’automatisation et à l’IA, alors que l’enrichissement et l’analyse restent largement manuels, l’écart continuera de se creuser », a déclaré Khan.
« Je soupçonne que de nombreux RSSI liront ce rapport moins comme un résultat d’audit que comme un signal d’alarme. La question n’est plus de savoir si des vulnérabilités peuvent être détectées. La question est de savoir si les institutions chargées de les organiser et de les hiérarchiser peuvent suivre le rythme. »
