Réseau & Sécurité

Quels sont les enseignements à tirer du blocage du financement du programme CVE ?

Par

4 mai 2025

127

Après moult rebondissements, le financement a finalement été prolongé par la CISA afin de garantir la continuité du programme CVE. Bien que bénéfique pour le secteur, cette discussion a mis en lumière le rôle de MITRE et du NVD dans notre approche des CVE.

Communiqué – JFrog vient de publier un article (en anglais) pour analyser cette situation en profondeur : jfrog.com/blog/mitres-close-call-in-cve-management/. David Robin, Senior Solution Engineer chez JFrog commente ce revirement et les raisons pour lesquelles les grandes entreprises, le gouvernement et les responsables du programme doivent prendre leurs responsabilités dès maintenant, car ce changement est le signe d’une instabilité dans le secteur.

De nombreuses interrogations sont légitimes :

POURQUOI ce changement est un catalyseur pour le comportement dans le secteur ?
COMMENT les entreprises peuvent renforcer leurs mécanismes de défense personnels si les ressources communautaires telles que MITRE et le NVD disparaissent ?
Les mesures que les organisations doivent prendre pour évaluer leur chaîne logistique logicielle afin de détecter les vulnérabilités critiques au niveau du code et du binaire.
Comment les équipes doivent identifier les vulnérabilités qui les exposent réellement à un risque, car même si une CVE est considérée comme critique, cela ne signifie pas qu’elle est exploitable.
L’avenir de l’évaluation des CVE critiques en tant que secteur à l’ère de l’IA, des API complexes de la chaîne logistique logicielle et des acteurs malveillants très motivés

Tal Zarfati, Lead Architect chez JFrog Security, aborde également les mesures que les organisations peuvent prendre pour évaluer et sécuriser leur chaîne logistique logicielle en prévision d’événements majeurs comme ceux-ci, où le financement nécessaire à la poursuite de ces programmes peut être incertain, laissant les équipes dépendre de leurs propres systèmes et de leurs propres évaluations pour noter les CVE et déterminer ceux qui sont vraiment critiques.

Une étude réalisée en 2024 montre que, malgré une augmentation de 27 % du nombre de CVE signalées d’une année sur l’autre, seules 12 % des CVE très médiatisées classées comme « critiques » (CVSS 9,0-10,0) par des organismes gouvernementaux tels que MITRE et CISA justifient réellement le niveau de gravité critique qui leur a été attribué. Cette tendance est confirmée par une étude d’IDC qui montre que les développeurs passent en moyenne 3,5 heures par jour à examiner manuellement les résultats des analyses de sécurité en raison des faux positifs et des doublons.

Quels sont les enseignements à tirer du blocage du financement du programme CVE ?

La séléction de la rédac'

Comment Meta et TikTok transforment la colère des utilisateurs en revenus, tout en prétendant assurer votre sécurité

Souveraineté numérique : la résilience passe par la visibilité (et un diagnostic)

L’écart d’exécution de l’IA : pourquoi la majorité des entreprises peinent encore à produire des résultats

Sujets chauds

Les 7 clés pour comprendre les DDoS à la demande, la reconnaissance pré-attaque et l’utilisation des API

Cybersécurité : la menace des attaques par force brute persiste

Nouvelle analyse de SentinelLabs sur les faux informaticiens et fausses entreprises qui financent la Corée du Nord

Catégories populaires

A PROPOS

SUIVEZ-NOUS !