Cybersécurité sans CVE : vers une désorganisation mondiale ?

Que se passe-t-il avec le programme CVE ?

Le programme Common Vulnerabilities and Exposures (CVE), qui sert depuis plus de vingt ans de catalogue universel des failles de sécurité, est confronté à un tournant critique. Le financement fédéral américain du CVE – géré par l’organisme à but non lucratif MITRE – prendra fin le 16 avril 2025, à l’expiration du contrat liant MITRE à l’administration américaine.

Cette annonce a l’effet d’un coup de tonnerre dans la communauté cyber, car le CVE constitue un socle de référence mondial pour l’identification et le suivi des vulnérabilités.

Quels sont les facteurs politico-stratégiques ayant mené à cette situation, et les conséquences potentielles à court et moyen terme sur la coordination de la sécurité informatique?

Le programme CVE : un socle technique de la cybersécurité mondiale depuis 1999

Lancé en 1999 par le MITRE avec le soutien du gouvernement américain, le programme CVE a pour mission de recenser et standardiser les failles de sécurité logicielles connues. Il fournit une base de données dans laquelle des organisations partenaires (éditeurs, CERT, chercheurs, etc.) peuvent assigner un identifiant unique – au format CVE-AAAA-NNNN – à chaque vulnérabilité découverte . Par exemple, les failles majeures Heartbleed d’OpenSSL ou Meltdown d’Intel ont été respectivement référencées comme CVE-2014-0160 et CVE-2017-5754 . Ce système d’identifiants communs permet à tous les acteurs (entreprises, développeurs, équipes de réponse, grand public…) de s’assurer qu’ils parlent de la même vulnérabilité lorsqu’ils évoquent un correctif ou une alerte, évitant toute confusion dans la communication.

En deux décennies, le CVE est devenu le standard de facto pour le suivi des failles de sécurité à l’échelle mondiale. « Le programme CVE de MITRE est un pilier fondamental de l’écosystème cybersécurité global, et la référence incontournable pour identifier les vulnérabilités et guider les programmes de gestion des failles des défenseurs ». Il alimente en effet de nombreuses solutions et bases de sécurité : la base NVD du NIST enrichit chaque entrée CVE avec des informations additionnelles, et la plupart des outils de gestion des vulnérabilités, de renseignement de menace ou de protection endpoint utilisent les identifiants CVE comme clé de référence . Plus de 40 000 nouvelles failles ont ainsi été cataloguées sous un identifiant CVE rien qu’en 2024 – illustrant l’ampleur de l’écosystème construit autour de ce référentiel commun. En somme, depuis 1999, CVE fournit le langage universel des vulnérabilités logicielles, indispensable pour coordonner la veille et les réponses entre chercheurs, industriels et autorités.

Fin du financement de MITRE : une décision politique lourde de conséquences

Des décisions politiques qui fragilisent un acquis technique

Malgré ce rôle critique, le programme CVE dépend entièrement d’un financement public américain. MITRE opère le service via un contrat fédéral, sponsorisé par la Cybersecurity and Infrastructure Security Agency (CISA) du département de la Sécurité intérieure (DHS). Or, ce contrat n’a pas été renouvelé fin 2024, ce qui entraîne l’arrêt de son financement au 16 avril 2025 . Cette rupture s’inscrit dans un contexte politique bien particulier : l’administration Trump, revenue au pouvoir en 2025, a engagé de larges coupes budgétaires dans l’appareil fédéral, y compris dans le domaine de la cybersécurité. Dans le cadre d’une initiative de « rationalisation » des dépenses pilotée par le milliardaire Elon Musk (baptisée U.S. Department of Government Efficiency, ou DOGE), le gouvernement Trump a taillé dans les budgets de nombreuses agences, notamment la CISA qui finance CVE . D’après Reuters, la CISA – comme l’ensemble du gouvernement fédéral – subit un réduction drastique des effectifs, résultat de cette chasse aux coûts.

Ces décisions ont eu pour effet de fragiliser les initiatives publiques/privées telles que CVE. La collaboration entre le gouvernement et le MITRE autour du CVE est un exemple de partenariat public-privé technique mis à mal par la nouvelle orientation politique. En interne, la CISA a été durement touchée : « des équipes vitales de support ont disparu, et les partenariats internationaux se sont retrouvés mis à rude épreuve » sous l’effet des changements de priorités imposés par la Maison-Blanche. Par ailleurs, des sources soulignent que le coût annuel du programme CVE est relativement modeste (« ne ferait pas exploser le budget » selon un expert) comparé aux autres dépenses fédérales . Son abandon semble donc résulter davantage de choix stratégiques que d’une nécessité financière absolue. Quoiqu’il en soit, la décision du DHS de ne pas renouveler le contrat après 25 ans de service laisse le monde de la sécurité dans l’incertitude.

Quelles conséquences pour la gestion mondiale des vulnérabilités ?

Le non-renouvellement du programme CVE soulève des inquiétudes immédiates en matière de coordination et de gestion des vulnérabilités, ainsi que des questions de gouvernance à plus long terme. À partir du 16 avril 2025, MITRE cessera d’ajouter de nouvelles entrées dans la base CVE .

Les enregistrements historiques du catalogue CVE resteront accessibles en lecture (une copie statique sera disponible sur GitHub) , mais le flux continu de nouvelles identifications s’interrompra.

Vers un chaos dans la gestion des failles en entreprise ?

Perte du langage commun : la désorganisation menace

À court terme, cela pourrait entraîner une désorganisation de la coordination entre acteurs de la cybersécurité. Privés du langage commun qu’est l’ID CVE, chercheurs, éditeurs et équipes de réponse auront plus de mal à s’assurer qu’ils font bien référence à la même vulnérabilité – un risque de confusion générale pointé par l’expert Lukasz Olejnik, pour qui l’absence de CVE pourrait « paralyser les systèmes de cybersécurité autour du globe » . Un ancien membre du board CVE, Brian Martin, avertit qu’on assisterait à un « effet domino immédiat à l’échelle mondiale sur la gestion des vulnérabilités » : en l’absence de nouvelles entrées CVE, les équipes de réponse d’urgence (CERT) n’auraient plus accès à leur source unifiée d’intelligence sur les failles, et « chaque entreprise dans le monde » voyant sa veille de vulnérabilités perturbée « va ressentir de vives douleurs dans son programme de gestion des failles** ».

Plusieurs éditeurs de logiciels pourraient découvrir indépendamment la même faille sans le réaliser, ou au contraire utiliser des dénominations différentes pour une seule et même vulnérabilité – compliquant d’autant la communication des correctifs et les alertes de sécurité.

Traitement des vulnérabilités : un processus ralenti

Cette perte du référentiel commun risque aussi de ralentir le traitement des vulnérabilités.

Sans ce socle, il devient beaucoup plus difficile de suivre les nouvelles failles découvertes, d’évaluer leur sévérité ou d’anticiper leur exploitation, et « nous ne pourrons certainement plus prendre les meilleures décisions quant aux correctifs à appliquer » ajoute-t-il.

En d’autres termes, le temps de réaction face à une faille critique pourrait s’allonger, faute de savoir rapidement de quoi il s’agit et quelle priorité lui donner par rapport à des milliers d’autres vulnérabilités en veille. John Hammond, chercheur en sécurité, compare même la perte du CVE à la suppression soudaine de tous les dictionnaires : « nous perdrions le langage et le vocabulaire que nous utilisons pour traiter les problèmes en cybersécurité. 

Risque systémique : une crise de gouvernance mondiale

À moyen terme, si aucune solution n’émerge pour reprendre le flambeau, les impacts pourraient s’aggraver en une véritable crise de gouvernance de la sécurité informatique.

Le programme CVE était jusqu’ici géré par les États-Unis mais utilisé par quasi tous les pays : de fait, les bases de données nationales de vulnérabilités – qu’il s’agisse de la NVD américaine, ou des bases maintenues par la Chine, la Russie et d’autres – s’appuient sur les CVE pour indexer leurs entrées . Sans nouvelles attributions, ces bases « s’assècheront » progressivement, privant des centaines de CERT nationaux et régionaux d’une ressource gratuite cruciale.

Katie Moussouris, pionnière des programmes de divulgation chez Microsoft, avertit qu’un arrêt brutal du CVE équivaudrait à « priver l’industrie cyber de son oxygène en espérant qu’elle se mette soudain à respirer autrement ». Elle souligne que tous les secteurs dans le monde dépendent du programme CVE pour garder la tête hors de l’eau face aux menaces. En son absence, c’est toute la cybersécurité globale qui s’affaiblit soudainement , exposant notamment les infrastructures critiques à des risques accrus.

Un retour en arrière pour les entreprises ?

Enfin, les pratiques de gestion des vulnérabilités en entreprise devraient être entièrement ré-adaptées. De nombreux outils internes ou services tiers intègrent directement le flux CVE/NVD ; ils pourraient cesser de fonctionner correctement ou devenir largement incomplets.

À l’échelle de l’industrie, « le management des vulnérabilités deviendrait chaotique à nouveau, tant que personne ne reprend le flambeau », prévient Dustin Childs, responsable du Zero Day Initiative chez Trend Micro.

Avant l’instauration du CVE, rappelle-t-il, chaque éditeur utilisait son propre jargon pour référencer les bugs, ce qui semait la confusion chez les clients sur leur exposition réelle. Un retour à une telle fragmentation serait un net recul.

En somme, sans intervention, on peut s’attendre dans les mois suivant l’arrêt du CVE à :

• une dégradation des bulletins de vulnérabilités (bases nationales moins complètes),

• des délais accrus dans les analyses,

• des réactions plus lentes de la part des éditeurs et des équipes de défense,

• et des difficultés de conformité pour les entreprises (qui s’appuient sur les CVE/NVD pour suivre les directives réglementaires en matière de correctifs).

« Espérons que cette situation trouve rapidement une issue favorable », conclut Dustin Childs, soulignant l’urgence d’une réponse pour éviter le scénario du pire.

Un écosystème en manque cruel d’alternative au CVE

Face à cette perspective alarmante, la question se pose : qui, ou quoi, pour prendre le relais du CVE ? À ce jour, il n’existe pas d’alternative officielle équivalente. La base NVD du NIST ne peut combler le vide, car elle dépend en amont des identifiants CVE (elle les utilise mais n’en crée pas de nouveaux). D’autres bases privées ou sectorielles (par exemple celles de certains éditeurs) reposent elles aussi sur le référentiel CVE pour structurer leurs données.

Conscient de cette lacune, un acteur privé comme VulnCheck (entreprise de veille de vulnérabilités et CNA dans le cadre du programme CVE) a d’ores et déjà réservé 1 000 identifiants CVE pour l’année 2025. Cette initiative vise à pouvoir continuer d’assigner temporairement des numéros aux nouvelles failles, mais elle ne représente qu’un répit de quelques semaines tout au plus (MITRE délivrait entre 300 et 600 nouveaux CVE par mois). Sans coordination centrale pour valider et publier ces entrées, l’effort restera limité.

Quel avenir pour la gouvernance des vulnérabilités ?

Du côté des autorités américaines, on assure chercher une issue. « Bien que le contrat avec MITRE arrive à expiration, la CISA travaille d’arrache-pied pour atténuer l’impact et maintenir les services CVE dont dépendent les acteurs du monde entier » a déclaré un porte-parole de l’agence. MITRE aussi affirme rester engagée à soutenir CVE en tant que ressource globale, l’organisation se tenant prête pour toute solution de secours éventuelle.

Néanmoins, au 16 avril 2025, aucun plan de remplacement pérenne n’a été annoncé. Les experts appellent à une mobilisation urgente. « Le secteur de la sécurité doit se mobiliser pour combler le vide », exhorte par exemple Patrick Garrity, chercheur chez VulnCheck. Certains évoquent la possible création d’une nouvelle structure collaborative, éventuellement sous l’égide d’un groupement d’industriels ou d’organismes internationaux, pour reprendre la mission d’identification des vulnérabilités. Mais mettre en place un tel écosystème ne se fera pas en un jour, d’où l’inquiétude immédiate.

Conclusion : sans CVE, peut-on encore sécuriser le cyberespace ?

En conclusion, l’annonce de la fin du financement du programme CVE révèle la dépendance critique de l’écosystème cyber envers cette infrastructure commune – et les risques systémiques induits par son interruption. Qualifié de « véritable tragédie » par plusieurs chercheurs , cet événement souligne la nécessité d’une réflexion stratégique sur la gouvernance globale des vulnérabilités. À défaut d’une réaction rapide des pouvoirs publics ou d’une alliance d’acteurs privés pour reprendre le flambeau, une période d’incertitude s’ouvre où le monde de la cybersécurité devra opérer sans son référentiel central historique. Les prochaines semaines seront décisives pour éviter que cette érosion d’un acquis collectif ne se traduise par un affaiblissement durable de la sécurité numérique à l’échelle mondiale.

Mise à jour (17 avril 2025) : Le programme CVE prolongé et vers une gouvernance plus résiliente

Prolongation in extremis du financement du programme CVE

Le 16 avril 2025, à la veille de l'expiration du contrat liant MITRE à l'administration américaine, la Cybersecurity and Infrastructure Security Agency (CISA) a annoncé la prolongation du financement du programme CVE pour une durée de 11 mois. Cette décision de dernière minute évite une interruption brutale du service, assurant ainsi la continuité de l'attribution des identifiants de vulnérabilités critiques pour la cybersécurité mondiale .​

Parallèlement, des membres du conseil du programme CVE ont proposé la création d'une fondation indépendante, la "CVE Foundation", visant à pérenniser le programme au-delà des fluctuations politiques et budgétaires. Cette initiative vise à garantir la neutralité et la durabilité du programme, en le détachant d'une dépendance exclusive au financement gouvernemental .

L’Europe amorce sa propre alternative au CVE !

Alors que le programme CVE tangue sous les secousses politiques américaines, l’Union européenne a décidé de ne plus rester spectatrice. Le 16 avril 2025, des représentants de la Commission ont annoncé la création d’une base européenne des vulnérabilités, portée par l’ENISA, avec pour objectif : ne plus dépendre exclusivement du système américain pour nommer, tracer et partager les failles de sécurité.

Cette nouvelle base, encore en phase de conception, vise à reprendre certains fondamentaux du modèle CVE, tout en introduisant des mécanismes de transparence, de gouvernance partagée entre États membres, et une logique plus adaptée aux exigences européennes (notamment en matière de RGPD et de souveraineté numérique).

Concrètement, l’Europe veut se doter de son propre système d’identifiants de vulnérabilités, capable d’interagir avec les bases existantes (comme le NVD), mais piloté depuis le continent. Une manière de garantir une autonomie stratégique, en cas d’instabilité durable du programme CVE ou de changement de cap aux États-Unis.

Aucun calendrier précis n’a encore été rendu public, mais le message politique est clair : la sécurité de l’information en Europe ne peut plus dépendre d’un seul acteur tiers, aussi historique soit-il.

Sources : 

(The CVE program for tracking security flaws is about to lose federal funding | The Verge)

(CVE program faces swift end after DHS fails to renew contract, leaving security flaw tracking in limbo | CSO Online)

(Homeland Security funding for CVE program expires • The Register)

(https://www.lemagit.fr/actualites/366622793/Inventaire-des-vulnerabilites-le-programme-du-Mitre-sen-va-et-puis-revient)