📅 Source : The Record Media — 15 avril 2026

Contexte

Le National Institute of Standards and Technology (NIST), gestionnaire de la National Vulnerability Database (NVD), annonce une refonte majeure de sa politique d’enrichissement des entrées CVE. Cette décision fait suite à une croissance exponentielle des soumissions de vulnérabilités, aggravée par la démocratisation des outils d’IA pour la revue de code.

Chiffres clés

  • Les soumissions du premier trimestre 2026 sont en hausse de +33% par rapport à la même période en 2025
  • ~42 000 CVE enrichis en 2025, soit 45% de plus que toute année précédente
  • L’équipe NVD compte toujours 21 personnes malgré la croissance continue du volume
  • Un arriéré de CVE non enrichis antérieurs au 1er mars 2026 sera classé en catégorie “Not Scheduled”

Nouveaux critères d’enrichissement prioritaire

À compter du 15 avril 2026, le NIST n’enrichira que :

  1. Les CVE figurant dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA — enrichissement sous 24h après notification
  2. Les CVE affectant des produits utilisés par le gouvernement fédéral américain
  3. Les CVE dans des logiciels jugés “critiques”

Les autres CVE resteront listées sans enrichissement. Les chercheurs peuvent demander un enrichissement par e-mail.

Changements additionnels

  • Le NIST ne fournira plus ses propres scores de sévérité pour tous les CVE soumis, s’appuyant désormais sur les scores fournis par le soumettant
  • L’arriéré antérieur au 1er mars 2026 est officiellement abandonné, sauf si les entrées répondent aux nouveaux critères

Contexte historique

En 2024, des coupes budgétaires avaient déjà provoqué une crise où 90% des soumissions n’étaient pas enrichies. La CISA avait alors suppléé le NIST, et un consortium avait été créé. Des dizaines d’experts avaient signé une lettre au Congrès qualifiant le NVD d’“infrastructure critique”.

Facteurs aggravants identifiés

  • Démocratisation des outils d’IA de revue de code générant un afflux de vulnérabilités mineures
  • Émergence de systèmes autonomes capables de découvrir et exploiter des bugs sans intervention humaine

📌 Type d’article : Annonce institutionnelle relayée par la presse spécialisée, visant à informer la communauté CTI et les équipes de gestion des vulnérabilités des changements opérationnels majeurs affectant le NVD.

🟡 Indice de vérification factuelle : 35/100 (moyenne)

  • ✅ therecord.media — source reconnue (liste interne) (20pts)
  • ✅ 5420 chars — texte complet (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ⬜ aucune TTP identifiée (0pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://therecord.media/nist-to-limit-work-on-cve-entries-surge

🖴 Archive : https://web.archive.org/web/20260416064929/https://therecord.media/nist-to-limit-work-on-cve-entries-surge