Le programme CVE, utilisé par des entreprises comme Apple pour suivre les vulnérabilités au sein des produits matériels et logiciels, a vu son financement fédéral supprimé avec effet immédiat.
Ce programme est essentiel pour identifier les failles de sécurité au sein des technologies, permettant à tout individu ou organisation de signaler une vulnérabilité. Une fois signalée, chaque vulnérabilité reçoit un identifiant unique, ce qui facilite le suivi et l’investigation de la situation par les entreprises concernées.
Fonctionnement du programme CVE
Le système CVE permet également de coordonner les efforts entre plusieurs entreprises lorsque des actions sont nécessaires pour traiter une vulnérabilité. Des géants de la technologie comme Apple, Google et Microsoft utilisent ce système pour se protéger contre les menaces informatiques.
Bien que le programme soit supervisé par le Département de la sécurité intérieure des États-Unis, sa gestion est assurée par une entreprise privée, la MITRE Corporation.
Suppression du financement et ses conséquences
La MITRE Corporation a annoncé hier que son financement fédéral avait été interrompu, avec effet immédiat, précisant que le chemin contractuel actuel pour le développement et la gestion de la CVE expirait le 16 avril 2025.
Selon les experts en sécurité, ceci entraînera un “chaos total” dans le domaine de la cybersécurité. Lukasz Olejnik a déclaré que la réduction de ce financement risque d’entraver la coordination entre les entreprises, les analystes et les systèmes de défense. Cette situation pourrait mener à une défaillance dans la gestion des vulnérabilités et à une baisse de la cybersécurité globale.
Impact sur le programme CWE
Le financement du programme CWE, qui permet d’identifier les faiblesses communes dans les logiciels et le matériel, a également été supprimé. Ce programme fournit des orientations précieuses pour éviter l’introduction de défauts de sécurité dans les produits. Cela permet aux entreprises d’apprendre des erreurs des autres et de renforcer ainsi la sécurité de leurs offres.
La suppression du financement de ces deux programmes, qui se sont révélés efficaces et peu coûteux, représente une menace sérieuse pour la cybersécurité, mettant en péril la sécurité de tous.
