Après l’expérience de la mort imminente du programme du CVE en avril, les Européens pourraient-ils rechercher un système à long terme plus fiable?
À partir de cette semaine, l’industrie mondiale de la technologie dispose d’une nouvelle base de données pour vérifier les derniers défauts de sécurité des logiciels: la base de données de la vulnérabilité de l’Union européenne (EUVD).
Rendu opérationnel par l’Agence européenne de l’Union pour la cybersécurité (EISA) pour réaliser la directive NIS2 de cybersécurité de l’UE, EUVD rejoint un petit mais important groupe de plateformes de suivi de vulnérabilité mondiales dirigées par le programme commun des vulnérabilités et des expositions communs des États-Unis (CVE).
La première question évidente est de savoir pourquoi le monde a besoin d’un autre système de suivi de la vulnérabilité lorsque l’industrie il y a longtemps est standardisée sur CVES comme moyen d’identifier les défauts logiciels.
Selon ENISA, l’EUVD et son nouveau système d’identification sont destinés à compléter le programme CVE plutôt que de le rivaliser.
Les vulnérabilités recevront un tracker EUVD si elles sont signalées pour la première fois par des sociétés ou des certificats européennes et auront une certaine pertinence dans ce contexte, par exemple affectant des infrastructures critiques ou des entreprises de l’UE elle-même.
Cependant, les défauts EUVD seront référencés avec un identifiant CVE où l’on est disponible. Si aucun CVE n’a été attribué – vraisemblablement un événement rare étant donné les principes convenus de coordination de divulgation – l’identifiant EUVD se tiendra seul.
Par exemple, une vulnérabilité critique affectant le téléchargeur de métadonnées du compositeur visuel de NetWeaver de SAP signalée cette semaine peut être suivie en tant que EUVD-2025-14349 ou CVE-2025-42999.
Une deuxième préoccupation est que l’UE est en mesure de suivre ses obligations en vertu de la législation NIS2 à l’aide d’un système indépendant. Le vice-président exécutif de la Commission européenne pour la souveraineté technologique, la sécurité et la démocratie, le henné Virkkunen, a fait valoir ce point dans le communiqué de presse officiel:
«La base de données de la vulnérabilité de l’UE est une étape majeure vers le renforcement de la sécurité et de la résilience de l’Europe. En réunissant des informations sur la vulnérabilité pertinentes pour le marché de l’UE, nous augmentons les normes de cybersécurité, permettant à la fois les parties prenantes du secteur privé et public pour mieux protéger nos espaces numériques partagés avec une plus grande efficacité et autonomie», a-t-elle déclaré.
Expérience de mort imminente
Bien qu’il ait été promis pendant un certain temps, l’arrivée de l’EUVD pourrait également être un bon moment.
Pendant quelques heures en avril, il semblait qu’il y avait une chance que le programme CVE puisse arrêter après un quart de siècle lorsque le Département américain de la sécurité intérieure (DHS) n’a pas renouvelé le contrat avec l’organisme à but non lucratif qui l’exploite, Mitre Corporation.
Cette possibilité impensable n’était évitée qu’après que l’agence de sécurité de la cybersécurité et de l’infrastructure (CISA) est intervenue pour financer la continuation du programme.
En termes de cybersécurité, le financement du plus grand système de suivi de la vulnérabilité au monde reviendrait à abolir le dollar américain dans le commerce, c’est pourquoi cela ne s’est pas produit.
Néanmoins, l’expérience de la mort imminente a rappelé à l’industrie des critiques qui ont été nivelées au programme CVE, qui opère en collaboration avec la base de données nationale de vulnérabilité (NVD) américaine, gérée séparément par le NIST.
Il s’agit notamment que cela dépend trop des largesses du gouvernement américain et n’aide pas les organisations à comprendre quelles vulnérabilités pour hiérarchiser au-delà de leur donner un score CVSS général.
Cependant, cela ne signifie pas que tout le monde célèbre l’arrivée de l’EUVD.
« La création de l’EUVD est un mélange de bons et de mauvais traits », a déclaré Morey J. Haber, conseiller en chef de la sécurité auprès du vendeur de sécurité Beyondtrust. « Il s’agit d’un service complémentaire qui pourrait améliorer les temps de réponse et les lacunes de pont dans la couverture CVE », a-t-il déclaré, mais « perdre Mitre CVE en tant qu’autorité mondiale est décourageant ».
Alors que Haber a déclaré que le traitement du système CVE comme une «source unique de vérité» n’est plus viable dans un environnement de vulnérabilité mondialisé, l’arrivée de l’EUVD «pourrait créer des conflits de notation, des problèmes de hiérarchisation des risques et des conflits au sein des organisations multinationales qui tentent de remédier aux défauts des logiciels».
Selon Boris Cipot, ingénieur principal de la sécurité chez Black Duck (anciennement Synopsys), l’arrivée d’un nouveau système de vulnérabilité créera plus de travail pour les professionnels de la sécurité.
« Encore une autre base de données doit maintenant être surveillée et référencée. Cela ajoute de la complexité pour les organisations qui doivent rester au courant de plusieurs sources, comprendre leurs différences et assurer une couverture complète », a déclaré CIPOT.
«Les organisations qui s’appuient uniquement sur la base de données nationales américaines de la vulnérabilité devraient évaluer comment leurs outils d’analyse de composition logicielle (SCA) intègrent de nouvelles sources comme l’EUVD.»
« Alternativement, ils peuvent avoir besoin d’établir des processus manuels pour surveiller directement l’UVDD, en particulier pour rester conforme aux réglementations potentielles de l’UE ou pour répondre aux exigences des clients et des projets basés à l’UE. »
Le site Web actuel EUVD est toujours dans sa phase bêta. Nous avons demandé à Enisa de clarifier combien de temps cela pourrait durer mais n’a reçu aucun commentaire au moment de la presse.
