Support technique
Documentation
Connexion
Nous contacter
Comment l'expiration d'un contrat a failli entraîner l'effondrement de l'écosystème mondial de gestion des vulnérabilités
C'était un mardi ordinaire dans les centres d'opérations de sécurité du monde entier. Les analystes surveillaient leurs tableaux de bord SIEM, les scanners de vulnérabilités effectuaient leurs analyses quotidiennes et les personnes chargées de répondre aux incidents triaient le flot habituel d'alertes - toutes s'appuyant sur un système d'identifiants auquel la plupart des gens ne pensent jamais.
C'est alors que MITRE a lâché une bombe.
Le 15 avril 2025, le vice-président de MITRE et directeur du Center for Securing the Homeland a envoyé une lettre aux membres du conseil d'administration de CVE qui ressemble à la scène d'ouverture d'un film catastrophe sur la cybersécurité. La lettre indiquait que le mercredi 16 avril - le lendemain même - "la voie contractuelle actuelle permettant à MITRE de développer, d'exploiter et de moderniser CVE et plusieurs autres programmes connexes, tels que CWE, arrivera à expiration".
Pour ceux d'entre nous qui travaillent dans les tranchées de la cybersécurité, il ne s'agissait pas d'un simple problème de financement ou d'une mise à jour de programme. C'était l'équivalent numérique de l'annonce que les fondations de votre maison allaient disparaître du jour au lendemain.
L'architecture silencieuse de notre infrastructure de sécurité
Pour comprendre l'ampleur de ce qui a failli se produire, il faut apprécier l'architecture invisible qui rend possible la cybersécurité moderne. Les identifiants CVE (Common Vulnerabilities and Exposures) sont le langage universel de notre secteur - le système qui, depuis 25 ans, permet aux défenseurs du monde entier de parler des mêmes problèmes de sécurité avec précision et clarté.
Chaque analyseur de vulnérabilité que vous utilisez ? Il associe les résultats aux CVE.
Chaque système de gestion des correctifs ? Organisé par CVE.
Tous les flux de renseignements sur les menaces ? Structuré autour des CVE.
Tous les avis de sécurité des fournisseurs ? Classés par CVE.
Par essence, CVE est la pierre de Rosette de la cybersécurité - la couche de traduction qui rend possible la communication sur les vulnérabilités entre différents outils, équipes, organisations et nations.
Si ce système disparaissait soudainement, comme on l'a menacé le 15 avril, nous perdrions notre capacité à comprendre et à communiquer collectivement sur les risques de sécurité. Imaginez que vous vous rendiez au travail et que vous découvriez que, du jour au lendemain, l'ensemble de votre chaîne d'outils de sécurité a perdu son cadre de référence commun. Le lendemain serait très différent. Suivre les nouvelles vulnérabilités signifierait suivre la liste des vulnérabilités de chaque projet, ce qui est à la fois une tâche sysiphéenne et absolument impossible, puisque la plupart des projets ne suivent même pas les vulnérabilités elles-mêmes dans un format utilisable. Il n'y aurait pas de source de vérité centralisée.
24 heures au bord du précipice
La chronologie des événements qui ont suivi nous rappelle brutalement à quel point notre infrastructure de sécurité peut être fragile :
15 avril 2025, matin : MITRE envoie sa lettre aux membres du conseil d'administration de CVE, les avertissant de l'expiration du contrat le lendemain.
15 avril 2025, après-midi : La nouvelle commence à se répandre dans la communauté de la cybersécurité, tandis que les membres du conseil d'administration digèrent les implications.
16 avril 2025, matin : Un groupe de membres du conseil d'administration de CVE, actifs de longue date, annonce la création de la Fondation CVE - une tentative désespérée de créer un plan de secours pour la survie du programme.
16 avril 2025, tard dans la soirée : La CISA annonce qu'elle a prolongé le contrat avec MITRE "pour garantir qu'il n'y aura pas d'interruption des services CVE essentiels".
En moins de 24 heures, nous avons assisté à la fois à l'effondrement potentiel et au sauvetage d'urgence d'un système fondamental pour la cybersécurité mondiale. Nous l'avons échappé belle, bien plus que ne le pensent la plupart des professionnels de la sécurité.
Ce qui a failli se briser
Si la CISA n'avait pas prolongé le contrat à la dernière minute, les conséquences auraient été immédiates et graves :
- La gestion des vulnérabilités se fracturerait : En l'absence de nouveaux CVE, il n'y aurait pas de moyen standard d'identifier et de suivre les vulnérabilités nouvellement découvertes.
- Les outils de sécurité perdraient en efficacité : Les scanners de vulnérabilité, les SIEM et d'autres outils de sécurité s'appuient sur les correspondances CVE pour corréler les résultats et classer les problèmes par ordre de priorité.
- La gestion des correctifs deviendrait chaotique : Sans les CVE comme points de référence, le suivi des vulnérabilités qui ont été corrigées dans une entreprise deviendrait exponentiellement plus difficile.
- La réponse aux incidents serait entravée : Les équipes perdraient le cadre de référence commun utilisé pour communiquer sur les questions de sécurité lors des incidents.
- Les renseignements sur les menaces seraient fragmentés : La capacité à partager des informations précises sur les menaces actives entre les organisations se détériorerait.
Tout cela se produirait alors que les acteurs de la menace - en particulier les groupes comme Black Basta (récemment révélés par des fuites de messages discutant de leur exploitation de plus de 60 CVE l'année dernière) - continueraient à opérer avec leur cahier des charges existant, face à des défenseurs soudainement privés de leur langage commun en matière de vulnérabilités.
Pas de solution, mais un sursis à l'exécution
Si la crise immédiate a été évitée, ce que nous avons reçu n'est pas une solution mais un sursis. La prolongation du contrat de la CISA ne dure que 11 mois - il s'agit essentiellement d'un "sursis à l'exécution" plutôt que d'une grâce.
Cette mesure temporaire signifie que les questions fondamentales concernant la viabilité à long terme du programme CVE restent sans réponse. Nous disposons désormais d'un compte à rebours défini : 11 mois pour obtenir un financement permanent ou passer avec succès à un autre modèle de gouvernance.
Le système imparfait que nous ne pouvons pas nous permettre de perdre
Le système CVE est loin d'être parfait. Les critiques ont des arguments valables concernant ses limites :
- Il incite parfois à signaler des problèmes qui sont à peine qualifiés de problèmes de sécurité, ce qui oblige les responsables à perdre du temps pour les résoudre.
- Le système de notation CVSS semble souvent plus sensible aux intérêts des entreprises qu'à une analyse objective des risques.
- Ces dernières années, nous avons assisté à un déferlement de nouvelles CVE, en particulier après que le noyau Linux est devenu une ANC et a commencé à signaler un grand nombre de bogues en tant que CVE.
- La conception fondamentale reflète le paysage de la sécurité d'il y a 25 ans, et non l'environnement complexe d'aujourd'hui.
Mais, malgré tous ses défauts, CVE reste le seul système universel dont nous disposons. Il n'y a pas d'alternative viable prête à être déployée. Aucun système de secours n'attend dans les coulisses. Aucun moyen réaliste de suivre indépendamment les vulnérabilités dans des millions de projets différents sans une source unique de vérité.
Et si vous ne croyez pas à l'importance de ce système, prenez un système actuellement utilisé qui a moins d'impact : une simple convention de dénomination pour les différents acteurs de la menace. Comme nous ne disposons pas d'une norme équivalente au système CVE pour nommer les acteurs de la menace, nous avons des schémas de dénomination ridicules propres à chaque fournisseur, comme des couleurs et des phénomènes météorologiques pour un fournisseur, quelque chose de complètement différent pour un autre, un autre fournisseur encore utilise des chiffres - en fin de compte, vous avez besoin d'un guide et d'un dictionnaire simplement pour comprendre si une activité donnée fait référence au même acteur de la menace lorsque vous êtes confronté à des situations différentes. Cela complique et ralentit inutilement la collecte d'informations, en particulier dans les situations où il est essentiel d'avoir des intentions claires et de réagir rapidement. Si cela se produisait pour les CVE, l'impact serait d'autant plus important.
La fragilité cachée des infrastructures critiques
Ce quasi-échec révèle un aspect troublant de l'écosystème de la cybersécurité : nombre de nos ressources les plus critiques reposent sur des fondations étonnamment fragiles.
Pendant 25 ans, la plupart des professionnels de la sécurité ne se sont jamais demandé si le système CVE continuerait d'exister. Il s'agissait d'une infrastructure si fondamentale que sa disparition potentielle n'était pas considérée comme un scénario réaliste - jusqu'à ce que cela se produise presque.
Cela soulève des questions embarrassantes : Quelles autres infrastructures essentielles de cybersécurité pourraient être aussi vulnérables à une perturbation soudaine ? Quels autres systèmes "trop importants pour être défaillants" pourraient être à une expiration de contrat de s'effondrer ?
Aller de l'avant : La course contre une horloge de 11 mois
La création de la Fondation CVE représente une voie potentielle pour l'avenir - une entité à but non lucratif axée uniquement sur la poursuite de la mission d'identification des vulnérabilités de haute qualité et sur le maintien de l'intégrité et de la disponibilité des données CVE dans le monde entier.
Mais avec seulement 11 mois avant que nous ne soyons à nouveau potentiellement confrontés à cette même crise, nous ne pouvons pas nous permettre d'attendre et d'espérer. Cette fenêtre étroite exige une action immédiate et coordonnée sur plusieurs fronts :
- Établir un modèle de gouvernance durable qui représente les intérêts mondiaux, et pas seulement ceux d'une seule nation. Ce modèle doit pouvoir résister aux changements politiques et aux incertitudes en matière de financement.
- Développer des mécanismes de remplacement pratiques pour l'identification, le catalogage et la diffusion des vulnérabilités à l'échelle mondiale - des mécanismes qui peuvent fonctionner sans dépendre d'un seul point de défaillance.
- Adapter l'ensemble de notre chaîne d'outils pour obtenir des informations sur les vulnérabilités à partir de sources multiples et alternatives. Chaque scanner, SIEM, plateforme de renseignement sur les menaces et outil de sécurité existant peut nécessiter des mises à jour pour s'adapter à une nouvelle approche.
Il s'agit d'une entreprise monumentale qui représenterait un défi même s'il fallait des années pour la mettre en œuvre - tenter de le faire en seulement 11 mois semble presque impossible. Pourtant, comme le montre clairement cet incident, le maintien du statu quo n'est pas une solution viable.
La dure réalité est qu'aucun système aussi critique ne devrait rester sous le contrôle d'une seule entité, qu'il s'agisse d'une agence gouvernementale, d'une entreprise ou d'une organisation à but non lucratif. Le modèle de gouvernance actuel s'est avéré fondamentalement peu sûr, quelle que soit la partie qui détient les clés.
Un rappel à l'ordre : CVE n'est qu'un début
Les 24 heures au cours desquelles nous avons failli perdre les fondements de la gestion moderne des vulnérabilités devraient servir de signal d'alarme. Mais nous nous tromperions dangereusement en pensant que le CVE est un cas isolé.
Le système CVE n'était que la victime du jour. D'autres systèmes d'infrastructure internet critiques souffrent de vulnérabilités de gouvernance identiques. Prenons les serveurs racine DNS - un autre système dont dépend l'ensemble du monde numérique, mais qui pourrait théoriquement faire face à des menaces existentielles similaires dans les bonnes (ou mauvaises) circonstances. Il en va de même pour les autorités de certification, les serveurs de temps, l'infrastructure de routage et d'autres systèmes fondamentaux auxquels nous pensons rarement avant qu'ils ne soient menacés.
En tant que professionnels de la sécurité, nous identifions avec diligence les points de défaillance uniques dans les systèmes que nous protégeons quotidiennement. Pourtant, d'une manière ou d'une autre, nous avons permis à l'infrastructure même qui permet à notre profession de développer de graves dépendances et des vulnérabilités en matière de gouvernance.
Le compte à rebours de 11 mois commence - pas seulement pour le CVE, mais aussi pour nous avertir que nous devons repenser les fondations fragiles de notre écosystème numérique. Nous devons mettre à profit ce sursis pour élaborer des modèles de gouvernance plus résistants pour toutes les infrastructures essentielles de cybersécurité, en répartissant le contrôle et en éliminant les points de défaillance uniques, avant de nous retrouver face à une nouvelle crise existentielle - peut-être avec beaucoup moins d'avertissement la prochaine fois.
Le choix est clair : transformer la manière dont nous gouvernons et gérons ces systèmes fondamentaux maintenant, ou continuer à aller de crise en crise, en étant toujours à deux doigts d'une résiliation de contrat et d'un chaos numérique.
