Inventaire des vulnérabilités : le programme du Mitre s’en va et puis revient
Identifier, définir, cataloguer les vulnérabilités de cybersécurité, publiquement connues, et faire vivre les référentiels de notation de leur sévérité. Ce sont les missions du programme CVE, pour Common Vulnerabilities and Exposure.
Piloté par un comité de direction indépendant, ce programme est financé par l’agence américaine de la cybersécurité et de la sécurité des infrastructures (Cisa). En pleine tourmente, cette dernière semblait bien partie, hier 15 avril, pour mettre un terme au contrat qui la lie au Mitre sur le programme CVE. Une nouvelle brutale qui n’a pas manqué de susciter étonnement et inquiétude dans le monde de la cybersécurité.
Elle a été découverte au détour d’une lettre de Yosry Barsoum, directeur du Mitre, divulguée sur les réseaux sociaux. Dans celle-ci, Yosry Barsoum déplorait qu’en cas de rupture de service le programme subisse de multiples conséquences, notamment « la détérioration des bases de données et des avis de vulnérabilité nationaux, des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques ».
« Le programme CVE est d’une valeur inestimable pour la cybercommunauté et constitue une priorité pour la Cisa. » Porte-parole de la Cisa
Mais voilà, un accord d’extension du contrat, en vertu duquel le Mitre supervise le programme CVE, a été conclu le mardi 15 avril également. La nouvelle n’a toutefois commencé à se répandre que le mercredi matin.
Un porte-parole de la Cisa a déclaré que « le programme CVE est d’une valeur inestimable pour la cybercommunauté et constitue une priorité pour la Cisa. Hier soir, la Cisa a exécuté la période d’option du contrat afin de s’assurer qu’il n’y aura pas d’interruption des services CVE essentiels. Nous apprécions la patience de nos partenaires et des parties prenantes ». L’agence a également précisé que la prolongation du contrat durera 11 mois.
Entre-temps, la communauté mondiale de la cybersécurité s’est toutefois organisée – avec le lancement de la CVE Foundation, un mouvement qui était déjà en préparation.
Anticipant un tel retrait du gouvernement américain, selon le communiqué de la CVE Foundation, « les membres actifs du conseil d’administration de CVE ont passé l’année dernière à élaborer une stratégie de transition de CVE vers une fondation dédiée à but non lucratif. La nouvelle fondation CVE se concentrera uniquement sur la poursuite de la mission d’identification des vulnérabilités de haute qualité et sur le maintien de l’intégrité et de la disponibilité des données CVE pour les défenseurs du monde entier ».
Et pas question, semble-t-il, de faire marche arrière : « la création de la Fondation CVE marque une étape importante dans l’élimination d’un point de défaillance unique dans l’écosystème de la gestion des vulnérabilités et dans la garantie que le programme CVE reste une initiative communautaire de confiance à l’échelle mondiale. Pour la communauté internationale de la cybersécurité, cette évolution représente une opportunité d’établir une gouvernance qui reflète la nature globale du paysage des menaces d’aujourd’hui ».
L’Union européenne, via son agence de cybersécurité, l’Enisa, maintient également sa propre base de données, publique, sur les vulnérabilités. Son site Web est actuellement dit « en phase beta ».
