L’intégration avec des outils communs de gestion des vulnérabilités est nécessaire pour que GCVE.eu atteigne son plein potentiel — et n’introduise pas de frictions et de confusion supplémentaires dans les stratégies de remédiation des RSSI.
La communauté de la sécurité a apporté un large soutien à la création d’une base de données de vulnérabilités hébergée par l’UE comme moyen de réduire la dépendance à l’égard des bases de données américaines.
Cependant, certains experts ont exprimé leurs inquiétudes quant au risque de fragmentation potentielle du renseignement de sécurité d’empêcher l’identification rapide des vulnérabilités et leur correction.
La base de données Global Cybersecurity Vulnerability Enumeration (GCVE.eu) regroupe les avis de vulnérabilité provenant de plus de 25 sources publiques en une seule ressource consultable. Les entrées sont normalisées, structurées et référencées entre les identifiants (par exemple, les identifiants CVE, les identifiants GCVE, les identifiants de fournisseur).
La plateforme est hébergée par le Computer Incident Response Centre Luxembourg (CIRCL) dans un centre de données basé au Luxembourg, avec le cofinancement du projet Federated European Team for Threat Analysis (FETTA) de l’UE.
L’émergence de GCVE.eu fait suite à une crise de financement qui a menacé l’année dernière la poursuite du programme de longue date sur les vulnérabilités et expositions communes (CVE). Le programme CVE – qui sous-tend la base de données américaine National Vulnerability (NVD) – est géré par Mitre Corp., avec un financement de la division cyber du département américain de la Sécurité intérieure.
Combattre la fragmentation des failles : cartographie et interopérabilité
Jaya Baloo, co-fondateur, COO et RSSI de la startup de remédiation des vulnérabilités AISLE, affirme que GCVE doit donner la priorité au mappage et à l’interopérabilité avec les entrées CVE afin d’être viable.
« Sans engagements d’interopérabilité exécutoires, « l’allocation indépendante » devient une manière polie de dire que les défenseurs devront vérifier plusieurs systèmes incompatibles pour savoir s’ils sont vulnérables », dit-elle.
David Lindner, RSSI chez Contrast Security, fournisseur de sécurité des applications, a convenu que GCVE présente le risque de créer un nouveau silo qui reflète le NVD, mais ne s’aligne pas sur celui-ci.
« Pour un RSSI, le plus difficile est d’éviter les collisions d’identification où les équipes perdent du temps à trier la même vulnérabilité sous deux drapeaux différents », explique Lindner. « Pour éviter cette confusion et rendre le projet viable, le GCVE doit donner la priorité à une norme de cartographie croisée automatisée qui relie ces bases de données en temps réel. »
Le simple fait de passer du NVD géré aux États-Unis à un GCVE européen ne résout pas le problème de la dépendance, mais ne réussit qu’à changer l’emplacement du silo, selon Lindner.
« Le succès nécessite une approche fédérée dans laquelle les fournisseurs et les chercheurs contribuent à une couche de renseignement unifiée garantissant que, quelle que soit la base de données revendiquant l’entrée, l’industrie voit une seule vérité exploitable plutôt qu’un gâchis fragmenté », affirme Lindner.
Brian Blakley, RSSI chez Bellini Capital, prévient que si GCVE propose uniquement une duplication sans différenciation, cela risque de créer un casse-tête pour les praticiens de la sécurité.
« La plupart des équipes de sécurité sont déjà aux prises avec le bruit », note Blakley. « Toute nouvelle base de données doit réellement améliorer la qualité, l’actualité ou le contexte des données et ne pas se contenter de répliquer les identifiants sous un drapeau différent. »
Zbyněk Sopuch, directeur technique du fournisseur de sécurité des données Safetica, s’est montré plus optimiste, affirmant que GCVE est conçu pour être rétrocompatible avec CVE, de sorte que « les données existantes sont préservées et les entrées indépendantes sont autorisées ».
« Les zones grises concernent la portée, les formats d’identification et le suivi fragmenté, et le GSVE peut prendre certaines mesures pour garantir que les données critiques sont partagées et reçues », explique Sopuch.
Divulgation coordonnée
Nik Kale, ingénieur principal et architecte produit chez Cisco Systems, affirme que le principal défi du GCVE réside dans la création d’une plate-forme sur laquelle la communauté de la sécurité peut s’appuyer pour une divulgation et une correction coordonnées.
« La viabilité dépend bien plus de la gouvernance que des données elles-mêmes », explique Kale. « Cela inclut des règles d’attribution claires, des processus CNA transparents, une prise de décision prévisible et un engagement explicite en faveur de la synchronisation plutôt que de la fragmentation. »
Le système NVD géré aux États-Unis est établi depuis longtemps, de sorte que tout système parallèle doit soit se fédérer proprement avec cette infrastructure existante, soit offrir des avantages opérationnels clairs qui justifient le changement, selon Kale.
« Les chercheurs se tourneront vers le système permettant la divulgation coordonnée la plus rapide et la plus fiable », explique Kale. « Les fournisseurs, quant à eux, doivent avoir l’assurance que les enregistrements de vulnérabilités seront traités de manière cohérente, quelle que soit leur origine. »
« CIRCL gère plusieurs services et projets open source depuis plus de 15 ans, avec un soutien financier et en nature soutenu du secteur public, du secteur privé et des organisations européennes et internationales », expliquent-ils. « GCVE.eu met en œuvre un niveau de gouvernance qui permet un fonctionnement efficace, une livraison rapide et, surtout, une allocation distribuée des identifiants. »
Donner du pouvoir aux chercheurs en sécurité
Fabian Gasser du cabinet de conseil en cybersécurité Cyway affirme que GCVE apporte des avantages en supprimant le point de défaillance unique inhérent au recours au système CVE dirigé par les États-Unis, tout en démocratisant la publication des vulnérabilités.
Le GCVE donne « davantage de voix aux chercheurs indépendants en sécurité, qui peuvent désormais également être d’accord ou en désaccord avec les auto-évaluations des fournisseurs », selon Gasser.
Daniel dos Santos, directeur principal et responsable de la recherche chez Forescout, fournisseur de cybersécurité, affirme que ses recherches ont révélé un nombre important de vulnérabilités sans identifiant CVE et même certaines sont exploitées par des acteurs malveillants. Le GCVE a le potentiel de signaler plus rapidement les vulnérabilités exploitées.
« La base de données GCVE a l’avantage de regrouper plusieurs sources d’informations sur les vulnérabilités et de disposer d’un système décentralisé d’autorités de numérotation », selon dos Santos.
Redondance
Le Dr Ferhat Dikbiyik, directeur de la recherche et du renseignement à la société de renseignement sur les cyberrisques Black Kite, affirme que le lancement du GCVE est le bienvenu à la suite des craintes de financement de 2025.
«Pendant des années, nous avons traité le système CVE dirigé par les États-Unis comme une épine dorsale immuable», explique le Dr Dikbiyik. « Lorsque cette infrastructure a montré des signes de tension en raison de la politique budgétaire, le monde s’est rendu compte que s’appuyer sur un fil unique et centralisé pour le suivi des vulnérabilités constituait un risque stratégique. »
Les bases de données de vulnérabilités localisées sont déjà une réalité dans d’autres régions, comme la Chine.
« La plate-forme chinoise est généralement plus rapide à indexer les divulgations des fournisseurs et fournit des informations supplémentaires par rapport à l’alternative américaine », déclare Martin Jartelius, directeur des produits IA chez le fournisseur de cybersécurité Outpost24.
Pour que le GCVE passe d’un projet régional à une norme mondiale, l’accent doit être mis sur l’intégration avec les outils de sécurité d’entreprise, affirme le Dr Dikbiyik.
« Une base de données n’a autant de valeur que les outils qui l’utilisent », explique le Dr Dikbiyik. « Pour rendre ce projet viable, nous devons voir les fournisseurs de sécurité, les fournisseurs de scanners et les plates-formes GRC traiter le GCVE non pas comme une fonctionnalité supplémentaire, mais comme une source de données principale. »
Le GCVE vise moins à concurrencer qu’à assurer la continuité, de sorte que les divulgations de vulnérabilités ne dépendent pas d’un seul point de défaillance, selon Crystal Morin, stratège principale en cybersécurité chez Sysdig.
« Le succès de l’UE (base de données sur les vulnérabilités) sera mesuré par la façon dont elle complète les efforts existants et permet un tri plus rapide, une réduction des arriérés, une priorisation des risques et un accès cohérent à des données de qualité pour la communauté de la sécurité », a déclaré Morin.
