Recherche
En ce moment En ce moment

/ Cybersécurité

Le programme CVE refinancé in extremis : l'Europe a son alternative

Washington a finalement étendu le contrat avec MITRE pour le programme CVE. En Europe, la NIS2 a ouvert la voie à la constitution d'une base similaire.

Publié par Clément Bohic le | mis à jour à
Lecture
3 min
  • Imprimer
Le programme CVE refinancé in extremis : l'Europe a son alternative
© généré par IA

Finalement, le gouvernement américain n'abandonne pas le programme CVE (Common Vulnerabilities Exposure).

In extremis, il a renouvelé le contrat de financement avec MITRE. Pour 11 mois, semble-t-il.

Le risque de non-reconduction avait poussé des membres du programme à envisager la création d'une fondation. Il a aussi braqué les projecteurs sur des initiatives alternatives, dont l'EUVD (European Vulnerability Database). La directive NIS2 en a posé les jalons. L'ENISA (Agence européenne pour la cybersécurité) en a la charge.

L'EUVD utilise Vulnerability-Lookup. Ce logiciel open source (licence AGPL v3) est cofinancé par l'UE et le CERT luxembourgeois. Il favorise les corrélations de vulnérabilités à travers de multiples sources. Parmi lesquelles :

  • Le catalogue des vulnérabilités exploitées de la CISA
  • La base de l'Institut Fraunhofer pour la communication et le traitement de l'information
  • La Global Security Database de la Cloud Security Alliance
  • Le répertoire de paquets malveillants d'OpenSSF
  • L'Advisory Database de GitHub et celle de PySec
  • La base iPedia associée au JVN (Japan Vulnerability Notes)
  • CWE (Common Weakness Enumeration) et CAPEC (Common Attach Pattern Enumeration and Classification), tous deux de MITRE
  • Des flux de diverses organisations (Cisco, Microsoft, Nozomi Networks, Red Hat, Siemens...)

Cinq CSIRT européens sont devenus autorités de numérotation CVE

Pour le moment, l'EUVD est en bêta. Elle propose, par défaut, trois vues filtrées :

  • Vulnérabilités critiques (score CVSS supérieur ou égal à 9)
  • Vulnérabilités activement exploitées
  • Vulnérabilités "coordonnées par les CSIRT"

Cette dernière catégorie regroupe les vulnérabilités auxquelles l'ENISA et les CERT habilités ont attribué un identifiant CVE. Ils sont cinq à le pouvoir :

Lire aussi : STMicro et Thales, premiers bénéficiaires de la certification EUCC

L'ENISA est aussi une CNA (autorité de numérotation CVE), depuis janvier 2024. Elle affirme, avec l'EUVD, chercher à "éviter les doublons et soutenir la complémentarité" avec l'écosystème CVE.

À consulter en complément :

La CISA dans la viseur de Trump : vers une purge des effectifs
MITRE ATT&CK : les dernières techniques intégrées à la matrice principale
NIS2 : les conseils de l'ENISA pour la gestion du risque cyber

Illustration

Sur le même thème

Voir tous les articles Cybersécurité
Les Podcasts de Splunk
sponsorisé
Gestion de crises : les leçons d’un DSI
Gestion de crises : les leçons d’un DSI17:35
SNCF Connect & Tech explore toutes les voies de la rés…23:13
D'une mine à la supply chain, de l'OT à l’industrie 4.…22:33
Champs d'application et exigences NIS220:52
Retour d'expérience : mise en œuvre des exigences par…20:42
Comment simplifier la sécurisation de votre réseau tou…20:23
Sécurité renforcée : comment préparer la conformité à…20:56
Le savoir-faire règlementaire international de Cloudfl…20:32
Se protéger et remédier aux Attaques de Messagerie : U…21:48
[Episode en public] Les leçons de résilience d’OVH29:04
[Énergie] La résilience du réseau et sa mesure d'impact19:43
SASE : La fusion du SD-WAN et du SSE décryptée07:42
Quand la cyber-résilience investit l’espace16:31
Sécurité Multicouche : La clé pour une entreprise rési…16:11
Remettre l’humain au centre du cyber-espace16:55
L’IA, super-pouvoir du cyberespace09:39
Les enjeux de sécurité des médias internationaux de la…14:32
L’IA, un atout pour une continuité de service public p…16:50
Une cyber-résilience à l’aune de l’IA et des régulatio…19:25
Tous les Internets se valent-ils ?10:59
Decathlon : une culture agile à l’international20:08
Comment Carrefour a transformé la crise sanitaire en t…12:48
Comment Groupama s’assure d’être résilient face aux cr…13:48
Comment impulser une culture data dans une grande entr…14:17
Hors-série : La data du futur (Volume 1)08:28
Cegid : la tête dans le Cloud22:16
Hors-série : La data du futur (Volume 2)07:30
La data au service des verres intelligents chez Essilo…09:42
La vision conseil de Deloitte sur la data et l’IA19:04
Data altruisme et IA responsable au Crédit Mutuel Arkéa11:54
[BONUS] La Data Responsable : une vision écologique23:08

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine Se connecter
Retour haut de page