Face aux difficultés croissantes du système américain de suivi des vulnérabilités informatiques, l’Union européenne vient de lancer officiellement sa propre plateforme. La European Vulnerability Database (EUVD) est désormais pleinement opérationnelle, offrant une alternative solide et structurée au moment où les États-Unis peinent à maintenir leur système de référence.
Un lancement qui tombe à point nommé
Depuis mardi, la version complète de l’EUVD est accessible au public. Cette initiative européenne arrive à un moment critique où l’écosystème américain de gestion des vulnérabilités traverse une période de turbulences sans précédent.
« L’UE est maintenant équipée d’un outil essentiel conçu pour améliorer considérablement la gestion des vulnérabilités et des risques associés. »
L’Agence de l’Union européenne pour la cybersécurité (ENISA) avait annoncé ce projet en juin 2024, sous mandat de la directive européenne sur la sécurité des réseaux et des systèmes d’information (NIS 2). Une version bêta à accès limité avait été discrètement déployée le mois dernier, pendant une période d’incertitude entourant le programme américain Common Vulnerabilities and Exposures (CVE).
Les États-Unis en difficulté sur le front de la cybersécurité
Pour comprendre l’importance de cette initiative européenne, il faut rappeler le contexte américain actuel. Le financement gouvernemental du programme CVE devait expirer en avril, avant que la CISA (Cybersecurity and Infrastructure Security Agency) n’intervienne in extremis pour renouveler le contrat avec MITRE, l’organisation chargée de gérer ce programme.
Plus généralement, l’administration américaine a considérablement réduit les budgets de la CISA et d’autres programmes de cybersécurité. De nombreux employés fédéraux clés, responsables du programme « secure-by-design » du gouvernement américain, ont quitté le navire.
La situation s’est encore compliquée lundi dernier, lorsque la CISA a annoncé qu’elle ne publierait plus d’alertes de routine – y compris celles détaillant les vulnérabilités exploitées – sur son site web public. Ces mises à jour seront désormais diffusées uniquement par e-mail, flux RSS et via le compte de l’agence sur X (ex-Twitter).
Face à cette cascade d’événements, il serait compréhensible que les professionnels de la cybersécurité s’interrogent sur l’engagement réel du gouvernement américain en matière de sécurisation des réseaux et de détection des vulnérabilités.
L’EUVD : une alternative européenne robuste
L’EUVD présente des similitudes avec la National Vulnerability Database (NVD) américaine. Elle identifie chaque faille divulguée avec un identifiant CVE attribué ainsi qu’un identifiant EUVD propre, note la criticité de la vulnérabilité et son statut d’exploitation, et fournit des liens vers les avis et correctifs disponibles.
Cependant, contrairement à la NVD qui peine à gérer un arriéré important de soumissions de vulnérabilités et dont l’interface n’est pas des plus intuitives, l’EUVD est mise à jour en temps quasi réel et met en évidence les vulnérabilités critiques et exploitées en haut du site.
Une structure tripartite efficace
L’EUVD propose trois tableaux de bord distincts :
- Un pour les vulnérabilités critiques
- Un pour celles activement exploitées
- Un pour celles coordonnées par les membres du réseau EU CSIRTs
Les informations proviennent de bases de données open-source, d’avis et d’alertes émis par les CSIRT nationaux, de directives d’atténuation et de correctifs publiés par les fournisseurs, ainsi que de détails sur les vulnérabilités exploitées.
Un avenir incertain pour le système de référence mondial
Il est important de noter que l’ENISA est également une autorité de numérotation CVE (CNA), ce qui lui permet d’attribuer des identifiants CVE et de coordonner les divulgations de vulnérabilités dans le cadre du programme CVE. Malgré ce statut, l’ENISA semble être dans l’incertitude concernant l’avenir du programme CVE financé par le gouvernement américain, dont le contrat avec MITRE n’est sécurisé que jusqu’en mars prochain.
L’annonce du lancement précise que « l’ENISA est en contact avec MITRE pour comprendre l’impact et les prochaines étapes suite à l’annonce concernant le financement du programme Common Vulnerabilities and Exposures. »
Implications pour les professionnels de la sécurité européens
Pour les responsables de la sécurité informatique en Europe, l’EUVD représente une avancée significative. La base de données leur offre :
- Une vision centralisée des vulnérabilités critiques affectant les systèmes européens
- Des mises à jour rapides sur les failles activement exploitées
- Une contextualisation européenne des menaces, adaptée aux spécificités du marché et des infrastructures de l’UE
- Une réduction de la dépendance vis-à-vis des systèmes américains en difficulté
Cette initiative s’inscrit dans une stratégie plus large de l’UE visant à renforcer sa souveraineté numérique et sa résilience face aux cybermenaces, conformément aux objectifs de la directive NIS 2.
La fragmentation du système mondial de suivi des vulnérabilités
L’émergence de l’EUVD comme alternative au système CVE/NVD américain soulève des questions sur la fragmentation potentielle du système mondial de suivi des vulnérabilités. Alors que certains experts craignent une dispersion des efforts et une possible confusion, d’autres y voient une évolution naturelle vers un modèle plus résilient et moins centralisé.
Le fait que l’EUVD conserve la compatibilité avec les identifiants CVE tout en ajoutant ses propres identifiants EUVD suggère une approche pragmatique, permettant une transition en douceur tout en préparant un avenir potentiellement plus indépendant.
La question reste ouverte : assistons-nous à une simple diversification des sources d’information ou à une véritable bifurcation du système mondial de référencement des vulnérabilités ? La réponse dépendra en grande partie de l’évolution du programme CVE américain dans les mois à venir et de l’adoption de l’EUVD par les acteurs de la cybersécurité en Europe et au-delà.
En attendant, les professionnels de la cybersécurité disposent désormais d’une source supplémentaire d’informations fiables sur les vulnérabilités, ce qui ne peut qu’améliorer leur capacité à protéger efficacement leurs systèmes.
