Coupes budgétaires sous Trump : quels sont les impacts pour les CVEs
Les CVEs (Common Vulnerabilities and Exposures) sont des identifiants standardisés utilisés pour recenser les vulnérabilités de sécurité connues, servant de base pour gérer les risques liés à la cybersécurité. Les coupes budgétaires en cybersécurité opérées par l’administration Trump inquiètent les experts du secteur. Cette situation fragilise particulièrement la protection des infrastructures critiques et compromet les efforts de coopération internationale dans la gestion des vulnérabilités. Ce contexte suscite des inquiétudes sur la capacité des agences telles que la CISA (Cybersecurity and Infrastructure Security Agency) et le NIST (National Institute of Standards and Technology) à maintenir une base de données des CVEs efficace, à diffuser des informations en temps réel et à coordonner les efforts de cybersécurité à l’échelle mondiale.
Rôle des CVEs dans la gestion des vulnérabilités
Chaque CVE représente une faille de sécurité bien définie, accompagnée d’un identifiant unique. Ces identifiants sont utilisés dans des bases de données telles que la NVD (National Vulnerability Database) pour évaluer les risques associés à chaque vulnérabilité. Les CVEs sont des identifiants essentiels dans l’écosystème de la cybersécurité. Elles permettent aux professionnels du secteur d’identifier, de suivre et de gérer les vulnérabilités qui pourraient être exploitées par des attaquants.
Ces bases de données jouent également un rôle clé dans la mise à jour des systèmes, en indiquant les vulnérabilités qui nécessitent des corrections importantes, souvent en lien avec des patches de sécurité publiés par les fournisseurs de logiciels. La gestion des vulnérabilités est un processus continu qui repose en grande partie sur l’identification rapide de nouvelles failles, grandement facilité par la base de données des CVEs.
Impact des CVEs sur les secteurs d’infrastructures critiques
Les CVEs sont très importantes pour les infrastructures critiques comme l’énergie, l’eau, les transports et la santé. Ces secteurs sont souvent ciblés par des cyberattaques, et font face à une menace grandissante : les attaques de type supply chain. Ces attaques exploitent les failles chez les fournisseurs ou partenaires technologiques, permettant aux attaquants d’infiltrer indirectement les systèmes critiques.Comme nous l’avons vu, SolarWinds a sunnite une attaque en 2020, où une mise à jour logicielle compromise a eu un impact sur des milliers d’organisations. Ce type d’attaque est particulièrement inquiétant, car une seule vulnérabilité non corrigée peut permettre à un attaquant de se propager toute au long de la chaîne d’approvisionnement, impactant plein de systèmes connectés. Identifier et gérer rapidement les CVEs est donc important pour limiter ces risques et éviter des interruptions de service ou des violations de données dans ces secteurs essentiels.
L’impact des coupes budgétaires sur la gestion des CVEs
Réduction des fonds pour la cybersécurité sous l'administration Trump
Aux Etats-unis, la cybersécurité mondiale a été mise à l’épreuve par une menace de réduction de financement pour des programmes cruciaux. Le programme des CVEs de MITRE, une base de données mondiale des failles de sécurité essentielle, a vu son contrat avec le Département de la Sécurité intérieure des États-Unis non renouvelé, menaçant ainsi son fonctionnement au-delà du 16 avril 2025. Yosry Barsoum, vice-président de MITRE, avait publiquement averti que l’expiration du financement pour le CVE et d’autres programmes connexes comme le CWE « pourrait être un désastre pour la sécurité« , prévoyant de « multiples impacts sur les CVEs, notamment la détérioration des bases de données et des avis nationaux de vulnérabilité, des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques. » Face à cette menace imminente, la CISA est intervenue à la dernière minute, annonçant une prolongation de 11 mois du contrat avec MITRE. Un porte-parole de la CISA a confirmé : « Le programme CVE est précieux pour la communauté cybernétique et constitue une priorité pour la CISA. Hier soir, la CISA a mis en œuvre la période d’option du contrat afin de garantir la continuité des services CVE essentiels. » Bien que cette prolongation ait permis de soulager temporairement les tensions, l’incertitude plane encore sur l’avenir du financement à long terme de ce programme.
Impacts sur la diffusion des informations sur les vulnérabilités
Les coupes budgétaires affectent non seulement les bases de données des CVEs, mais également la vitesse à laquelle les vulnérabilités sont découvertes et corrigées. Les agences comme la CISA et le NIST sont responsables de la coordination de la diffusion des alertes de sécurité. Lorsque leurs ressources sont limitées, ces processus peuvent être ralentis, entraînant un retard dans l’identification et la gestion des nouvelles vulnérabilités, ce qui augmente le risque d’exploitation par des attaquants.
L'augmentation inquiétante des cyberattaques ciblées
Infrastructures critiques : des cibles vulnérables aux conséquences dramatiques
Avec la réduction du budget de la cybersécurité, les secteurs d’infrastructures critiques deviennent des cibles privilégiées pour les cybercriminels. Le manque de mise à jour des bases de données CVEs et la diminution des efforts de coordination des vulnérabilités peuvent exposer ces secteurs à un plus grand nombre d’attaques, notamment des ransomwares, des attaques par déni de service (DDoS), et des violations de données.
Les attaques contre ces infrastructures peuvent avoir des conséquences dramatiques, allant de la perturbation des services de santé à l’interruption de l’approvisionnement en eau ou en électricité. Le ralentissement des processus de gestion des vulnérabilités et la diffusion retardée des informations de sécurité augmentent la probabilité de ces cyberattaques ciblées.
L'impact sur la collaboration internationale
Les réductions budgétaires peuvent également perturber les efforts de collaboration internationale en matière de cybersécurité. Le partage d’informations entre pays et organisations de cybersécurité est essentiel pour contrer les menaces transnationales. Les CVEs jouent un rôle clé dans ce partage, mais un manque de financement peut freiner les efforts de collaboration, affectant ainsi la sécurité globale du cyberespace.
L'émergence de l'EUVD : la réponse européenne à la gestion des vulnérabilités
Alors que les États-Unis ont prolongé in extremis le financement du programme CVE en renouvelant le contrat avec MITRE pour 11 mois, l’Europe, elle, avance sur sa propre alternative. La directive NIS2 a ouvert la voie à la création de l’EUVD (European Vulnerability Database), une base de données des vulnérabilités pilotée par l’ENISA, l’agence européenne pour la cybersécurité. Toujours en version bêta, l’EUVD s’appuie sur le logiciel open source Vulnerability-Lookup, cofinancé par l’Union européenne et le CERT luxembourgeois, pour agréger des données issues de multiples sources, comme le catalogue des vulnérabilités exploitées de la CISA ou les bases de GitHub, Cisco, et MITRE. Cinq CSIRT européens, accrédités par MITRE ces dernières années, participent également à l’attribution d’identifiants CVE. Avec cette initiative, l’Europe cherche à renforcer son autonomie en matière de cybersécurité tout en assurant la complémentarité avec l’écosystème CVE mondiale.
