La cybersécurité est un enjeu crucial dans notre monde technologique actuel. Les entreprises, grands noms de l’industrie, s’appuient sur des programmes bien établis pour identifier et gérer les vulnérabilités de leurs produits. Récemment, un changement majeur a eu lieu, remettant en question la stabilité de ces mécanismes de protection.
Le programme CVE
Le programme Common Vulnerabilities and Exposures (CVE) permet à quiconque, qu’il soit individu ou organisation, de signaler une vulnérabilité de sécurité découverte dans un produit technologique. Chaque rapport est attribué un identifiant unique, facilitant ainsi le suivi et la gestion des problèmes par les entreprises concernées.
Ce système joue un rôle clé dans la coordination des efforts entre différents géants de la technologie, comme Apple, Google et Microsoft. Lorsque plusieurs entreprises doivent agir sur une vulnérabilité commune, le CVE facilite la collaboration et l’échange d’informations.
Bien que ce programme soit sous la tutelle du Department of Homeland Security aux États-Unis, sa gestion quotidienne est confiée à un acteur privé, la MITRE Corporation.
Suppression des fonds fédéraux
Hier, la MITRE Corporation a annoncé une coupure immédiate de ses financements fédéraux, un coup dur pour le programme CVE. Ce retrait pourrait engendrer des conséquences désastreuses pour la gestion des vulnérabilités à l’échelle nationale.
La trajectoire actuelle de contrat pour MITRE pour développer, opérer et moderniser le CVE et plusieurs autres programmes connexes prendra fin le 16 avril 2025. Une interruption de service pourrait entraîner de graves répercussions sur les bases de données de vulnérabilités nationales et sur les conseils de sécurité, parmi d’autres aspects critiques.
Des experts, comme le chercheur en sécurité Lukasz Olejnik, ont exprimé de vives inquiétudes, évoquant un risque de « chaos total » dans le domaine de la cybersécurité. La suppression de ces financements pourrait ainsi affaiblir considérablement le système mondial de cybersécurité.
Les conséquences de cette décision seront une rupture dans la coordination entre les fournisseurs et les systèmes de défense, rendant difficile le suivi des vulnérabilités. Cela pourrait mener à une vulnérabilité accrue pour tous.
Fonds CWE également supprimés
En parallèle, le financement du programme Common Weakness Enumeration (CWE) a également été annulé. Ce programme permet d’identifier les faiblesses communes dans les logiciels et matériels, essentielles pour prévenir les problèmes de sécurité.
Le CWE fournit des recommandations précieuses aux entreprises technologiques, leur permettant d’éviter d’introduire des failles de sécurité dans leurs produits. C’est un moyen d’apprendre des erreurs passées et d’améliorer la sécurité globale.
Analyse de Netcost-security.fr
Les programmes CVE et CWE sont reconnus pour leur efficacité et leur rapport coût-bénéfice. La décision de supprimer leur financement est perçue comme une folie, mettant en péril notre sécurité collective dans un paysage numérique déjà vulnérable.