Les États-Unis sont «pas un partenaire fiable» pour soutenir la base de données CVE, indique un analyste; Les membres du conseil d’administration de CVE établissent la fondation CVE en réponse.
Les professionnels de l’INFOSEC sont soulagés que l’administration Trump a étendu le soutien à la base de données des vulnérabilités et des expositions (CVE) de Mitre, mais au moins une se demande si le financement se poursuivra.
Le programme devait expirer aujourd’hui, mais hier soir, l’agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) a déclaré que le contrat avec Mitre avait été prolongé. Selon une source, le contrat s’épuisera désormais dans 11 mois à moins qu’un nouveau soit en place.
Bruce Schneier, collègue et conférencier à l’école Kennedy de l’Université Harvard, membre du conseil d’administration de la Fondation Electronic Frontier, et directeur de la sécurité chez Inrurug Inc., s’inquiète du gouvernement quittant le renouvellement du contrat si longtemps avant d’agir.
« Le financement a été coupé au hasard et sans réflexion parce que beaucoup de choses sont coupées », a-t-il déclaré dans une interview. Ensuite, « quelqu’un a remarqué que cela est en fait important et que le financement réinstrué pendant un certain temps. Mais il n’y a pas de confiance que le financement se poursuivra. Donc, je pense que la communauté doit comprendre comment faire sans l’aide du gouvernement américain … il sera intéressant de déterminer ce qu’il (à mitre) sera-t-il ».
Le programme MITER, a-t-il dit, « est le genre de bien qui aide les États-Unis et le monde. »
‘Trop important pour ne pas être financé’
Mais, a-t-il ajouté, « c’est trop important pour revenir à l’ancienne façon où nous n’avions pas cela (base de données CVE). C’est une façon consolidée d’écrire et de parler de vulnérabilités, ce qui est vraiment important. »
Lorsqu’on lui a demandé si laisser une décision de renouvellement à la dernière minute n’était qu’une erreur d’une nouvelle administration axée sur d’autres choses, Schneier a déclaré qu’il soupçonnait qu’il avait été décidé que «cela se situe dans le rayon de souffle» de la réduction des coûts. Quelqu’un, a-t-il dit, a décidé: «« Nous coupons tout, cela fait partie de tout ». Cela s’est produit plusieurs fois.
Schneier ne pouvait pas dire pourquoi le contrat n’a été prolongé que pendant 11 mois. «Je ne pense pas qu’il y ait un signal dans cela.»
Le programme CVE de Mitre est la norme de facto pour identifier les vulnérabilités et guider les programmes de gestion des vulnérabilités des défenseurs. Il fournit des données fondamentales aux produits de cybersécurité à travers la gestion de la vulnérabilité, l’intelligence cyber-menace, les informations de sécurité, la gestion des événements et la détection et la réponse des points finaux.
« La prolongation du financement de la CISA permettra, espérons-le, une transition ordonnée », a déclaré Johannes Ullrich, doyen de la recherche au Sans Institute. «Les numéros CVE sont essentiels pour cataloguer correctement et répondre aux nouvelles vulnérabilités.»
Mitre exploitant le système CVE dans le cadre d’un contrat du gouvernement américain n’a pas été sans controverse auparavant, a-t-il ajouté. Certains membres du conseil d’administration du CVE ont suggéré de créer une nouvelle entité, la Fondation CVE, pour permettre un financement plus diversifié des parties prenantes internationales.
C’est une solution possible, a déclaré Schneier. « Quelque chose doit être fait. Les États-Unis ne sont pas un partenaire fiable ici. »
Mercredi, les préoccupations de Schneier, le conseil d’administration de CVE, ont annoncé la création de cette entité. La nouvelle fondation CVE se concentrera uniquement sur la poursuite de la mission de fournir une identification de vulnérabilité de haute qualité et de maintenir l’intégrité et la disponibilité des données CVE pour les défenseurs du monde entier, ont déclaré les organisateurs. L’annonce n’a pas détaillé comment elle serait financée.
‘Ne devrait pas mendier’
«Les dirigeants de mitres implorent un financement plus privé depuis des années», a déclaré Roger Grimes, évangéliste de défense basé sur les données chez Knowbe4, dans un e-mail.
«Ce n’est pas un type de programme où les chefs de programme devraient mendier le financement. Il doit être entièrement financé, correctement ressources et capable de faire un superbe travail pour sa mission. C’est une ressource incroyablement précieuse et toute la communauté de la cybersécurité veut savoir si elle sera étendue, mais le diable est dans les détails.».
«Maintenant», a-t-il dit, «la question est – est-elle financé au même niveau, moins ou même mieux? Parce que le programme a toujours eu une tonne de carences depuis des années que la communauté espérait être améliorée.
«J’espère que nous pourrons tous nous endormir mieux la nuit en sachant que non seulement il est prolongé, mais qu’il sera en fait amélioré et deviendra le service qu’il aurait dû être toujours… afin que les dirigeants du programme puissent faire moins de mendiant pour le financement et plus de gestion et d’amélioration du programme.»
