Mais au cours des dernières années, le programme CVE a connu des difficultés qui ont menacé sa fiabilité et sa pérennité. Retour sur les déboires de cet outil indispensable et sur les efforts déployés pour le remettre sur les rails.
À l’origine, le programme CVE, piloté par la société Mitre, bénéficiait d’un soutien unanime de la communauté de la cybersécurité. Il offrait un identifiant unique pour chaque vulnérabilité, simplifiant la communication entre les chercheurs, les éditeurs de logiciels, et les équipes de sécurité informatique. Cependant, au fil des ans, plusieurs problèmes sont apparus : retards dans la publication des identifiants, manque de personnel dédié à leur traitement, et critiques quant à la transparence du processus.
En 2016, un rapport de l’Atlantic Council pointait déjà du doigt la difficulté pour Mitre de répondre à la demande croissante de nouvelles entrées CVE. L’insatisfaction grandissait dans la communauté, en particulier parmi les éditeurs de sécurité qui dépendaient de ces identifiants pour corriger rapidement les failles. Les entreprises se retrouvaient parfois sans informations fiables pendant des semaines, voire des mois, ce qui compliquait leur
gestion des risques.
Une réaction nécessaire pour éviter l’obsolescence
Consciente de ces défis, Mitre a commencé à prendre des mesures pour redresser la situation. Avec l’appui de la Cybersecurity and Infrastructure Security Agency (CISA), l’organisation a renforcé son équipe, rationalisé les processus internes et mis en place des outils automatisés pour accélérer la publication des CVE. La CISA, principal sponsor gouvernemental du programme, a injecté des fonds supplémentaires et soutenu des initiatives pour améliorer la qualité et la rapidité des informations publiées. Dans un communiqué officiel, un représentant de la CISA a déclaré : « Le programme CVE est un élément fondamental de l’écosystème de la cybersécurité. Notre objectif est de garantir sa pérennité, sa fiabilité et son accessibilité pour toutes les parties prenantes ».Un tournant majeur du sauvetage a été la création de la CVE Foundation. Cette entité indépendante a introduit une nouvelle structure de gouvernance, avec pour mission de diversifier les parties prenantes et de garantir une plus grande transparence dans les processus de gestion des CVE. La Fondation a également établi des partenariats avec des organisations internationales, renforçant ainsi la crédibilité et la portée du programme. En outre, elle a mis en place des mécanismes de financement durables, afin de réduire la dépendance aux seuls soutiens gouvernementaux et de garantir la stabilité à long terme du programme. « La création de la CVE Foundation marque un tournant. Elle permet d’élargir notre base de soutien et d’introduire une gouvernance collaborative », a souligné Steve Christey Coley, une figure clé du programme CVE chez Mitre.
Des résultats encourageants et une leçon pour l’avenir
Depuis ces ajustements, les résultats commencent à se faire sentir. Les délais de publication se sont considérablement réduits. Le programme a également étendu sa visibilité grâce à une meilleure communication et à la multiplication des points de contact avec la communauté. Une étude récente, menée par Mitre et publiée sur CVE.org, montre une augmentation de 25 % du nombre d’identifiants publiés en temps et en heure par rapport à l’année précédente.En annonçant ces progrès, Sarah Miller, directrice du programme CVE chez Mitre, a déclaré : « Nous avons écouté la communauté et nous avons agi. Les processus que nous avons mis en place réduisent les délais et améliorent la qualité des informations que
nous fournissons. »
Cette crise a également permis de tirer des enseignements précieux. Elle a rappelé l’importance de maintenir des ressources suffisantes pour des projets critiques, et l’utilité de structures de gouvernance adaptées à des écosystèmes en évolution rapide. Elle a également démontré la force de la collaboration entre les acteurs publics et privés.
Alors que le paysage des menaces devient de plus en plus complexe, le programme CVE, revitalisé, reste un pilier essentiel pour sécuriser les environnements numériques et garantir la confiance dans les infrastructures critiques. Si les déboires du programme CVE ont suscité des inquiétudes, ils ont également montré que des initiatives bien menées, avec le soutien de la communauté et des parties prenantes, peuvent transformer une situation critique en un modèle de résilience et d’innovation.
