L’organisation de recherche et de développement sans but lucratif MITRE, financée par le gouvernement, qui est une ressource critique sur laquelle les professionnels de la cybersécurité du monde entier comptent pour identifier, atténuer et corriger les vulnérabilités de sécurité dans les logiciels et le matériel, est en danger de tomber en panne. Cela pourrait avoir des implications majeures pour la cybersécurité à l’échelle mondiale, car les professionnels dépendent de ces ressources pour maintenir la sécurité des systèmes informatiques. Le 15 avril 2025, Brian Krebs a rapporté que le contrat liant le MITRE Corporation au gouvernement américain pour la gestion du programme CVE (Common Vulnerabilities and Exposures) expirait le 16 avril 2025. Ce programme, essentiel à la cybersécurité mondiale, est traditionnellement financé par le Department of Homeland Security (DHS) via la Cybersecurity and Infrastructure Security Agency (CISA).
Le MITRE a averti que sans renouvellement de financement, il ne serait plus en mesure d’attribuer de nouveaux identifiants CVE, bien que la base de données existante resterait accessible. Cette situation pourrait entraîner des perturbations majeures pour les bases de données nationales de vulnérabilités, les éditeurs d’outils de sécurité, les opérations de réponse aux incidents et les infrastructures critiques. Krebs sur la sécurité
Face à cette crise, le 16 avril, le MITRE a annoncé avoir identifié un financement temporaire pour maintenir le programme opérationnel. Parallèlement, la création d’une entité à but non lucratif, la CVE Foundation, a été annoncée pour assurer la continuité du programme sous une nouvelle structure organisationnelle et de financement.
⚠️ Enjeux et implications Standardisation cruciale : Le programme CVE fournit un système standardisé pour identifier et décrire les vulnérabilités, facilitant la communication et la coordination entre les professionnels de la cybersécurité.
Risques de fragmentation : Sans le programme CVE, les organisations pourraient se retrouver avec des systèmes disparates pour suivre les vulnérabilités, compliquant la gestion des risques et la mise en œuvre de correctifs. Krebs sur la sécurité
Impact sur la sécurité mondiale : Une interruption du programme pourrait ralentir la réponse aux nouvelles menaces, laissant des failles non corrigées exploitées par des acteurs malveillants.
Dépendance au financement gouvernemental : La situation met en lumière la vulnérabilité des infrastructures critiques de cybersécurité face aux décisions budgétaires gouvernementales.
🧭 Perspectives La création de la CVE Foundation représente une opportunité de renforcer la résilience et l’indépendance du programme CVE. Cependant, la transition vers ce nouveau modèle nécessitera une coordination étroite avec les parties prenantes mondiales pour assurer une continuité sans faille.
🔗 Source originale : https://krebsonsecurity.com/2025/04/funding-expires-for-key-cyber-vulnerability-database/