La base de données CVE échappe de justesse à sa disparition
La base de données CVE a échappé de peu à une interruption brutale. Le financement de MITRE, l’organisation à but non lucratif qui gère ce référentiel de vulnérabilités, a été prolongé in extremis par l’Agence fédérale américaine de cybersécurité (CISA).
Menacée d’interruption dans la cadre des pressions budgétaires exercées par l'administration Trump, la base de données CVE a été sauvée in extremis. La CISA (Cybersecurity and Infrastructure Security Agency) a fini par prolonger de 11 mois le financement de MITRE, l’organisation à but non lucratif qui maintient et administre ce référentiel de vulnérabilités essentiel pour la cybersécurité mondiale, rapporte Bleeping Computer.
Menace soudaine de disparition
Ce 16 avril, le financement de MITRE par le gouvernement américain arrivait à expiration, sans garantie de renouvellement. Une interruption brutale du service aurait provoqué un effet domino dans l’ensemble de la chaîne de gestion des vulnérabilités: arrêt des bases de données nationales, interruption des flux d’information entre outils de cybersécurité, paralysie des réponses aux incidents… Autant de conséquences soulignées avec inquiétude par les experts du secteur et par Yosry Barsoum, vice-président de MITRE, dans une lettre accessible en ligne.
Face à l’urgence et à la mobilisation de la communauté de la cybersécurité, la CISA a finalement décidé d’exécuter une clause contractuelle permettant de prolonger temporairement le financement.
Des alternatives en gestation
Cet épisode a en outre mis en lumière la fragilité d’un écosystème reposant sur un seul acteur. En réaction, certains membres du conseil du CVE ont annoncé la création de la CVE Foundation, une organisation à but non lucratif destinée à garantir à terme l’indépendance et la pérennité du programme. Parallèlement, l’Europe développe sa propre initiative. L’Agence européenne pour la cybersécurité (ENISA) a lancé une base de données des vulnérabilités baptisée EUVD.
