L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a prolongé son contrat pour le programme CVE (Common Vulnerabilities and Exposures) géré par MITRE

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a prolongé son contrat pour le programme CVE (Common Vulnerabilities and Exposures) géré par MITRE

L'Agence de cybersécurité et de sécurité des infrastructures (CISA) a déclaré qu'elle était parvenue à un accord pour renouveler le financement d'un programme de lutte contre les vulnérabilités logicielles utilisé par la communauté de la sécurité informatique pour combler les lacunes en matière de sécurité. Le financement sera rétabli pour une période de 11 mois, selon des fonctionnaires au fait de la décision.

Le mardi 15 avril 2025, MITRE Corporation a prévenu que le financement du programme « Common Vulnerabilities and Exposures » (CVE) prendrait fin le 16 avril. Ce programme, financé par le gouvernement, a joué un rôle essentiel dans la manière dont la communauté de la cybersécurité suit les failles logicielles qui risquent d'être exploitées par des adversaires, notamment des groupes criminels et des groupes de menace liés à des États.

L'interruption a été révélée dans une lettre adressée aux membres du conseil d'administration du CVE, puis confirmée dans une déclaration de Yosry Barsoum, vice-président et directeur du Center for Securing the Homeland (Centre pour la sécurisation de la patrie).

« Le mercredi 16 avril 2025, le financement accordé à Mitre pour développer, exploiter et moderniser le programme CVE (Common Vulnerabilities and Exposures Program) et les programmes connexes, tels que le programme CVE (Common Weakness Enumeration Program), expirera », a déclaré Yosry Barsoum dans le communiqué publié avant la conclusion de l'accord de financement. « Le gouvernement continue à faire des efforts considérables pour soutenir le rôle de MITRE dans le programme et MITRE reste engagé dans le programme CVE en tant que ressource mondiale. »


L'industrie du logiciel a protesté le 15 avril, craignant que l'expiration du financement ne paralyse un processus qui a déjà été confronté à une accumulation massive de vulnérabilités qui n'ont pas encore été correctement analysées et corrigées.

« Le programme CVE est inestimable pour la cybercommunauté et constitue une priorité de la CISA », a déclaré un porte-parole de la CISA mercredi. « La nuit dernière, la CISA a exécuté la période d'option du contrat afin de s'assurer qu'il n'y aura pas d'interruption des services CVE essentiels. »

Les experts en sécurité informatique avaient prévenu mardi qu'une interruption du financement aurait pu entraîner des retards massifs dans la divulgation des vulnérabilités et laisser ouverte une large fenêtre pour l'exploitation des failles logicielles.

« Cela retarderait les divulgations de vulnérabilités et affecterait les calendriers de divulgation coordonnés », a déclaré Tim Peck, chercheur principal en menaces chez Securonix. « Les notes sur les correctifs et les remèdes pourraient être retardées, ce qui laisserait aux attaquants une plus grande marge de manœuvre pour s'engager dans l'exploitation ».

Les circonstances précises qui se sont déroulées entre l'avertissement initial de Mitre concernant l'interruption du financement et la décision de la CISA de rétablir le financement restent floues.

Source : CISA

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous cette décision de la CISA crédible ou pertinente ?

Voir aussi :

80 % des organisations ne sont pas prêtes pour les règles CISA sur les pratiques de sécurité, pire encore, 84 % des entreprises interrogées n'ont pas mis en place de nomenclatures logicielles, d'après Lineaje

La CISA publie Untitled Goose Tool, un utilitaire open source pour détecter les activités malveillantes dans les services cloud de Microsoft, dont Azure, Azure Active Directory et Microsoft 365

L'administration Trump a supprimé plusieurs millions de dollars de financement fédéral pour deux initiatives en matière de cybersécurité, dont une visant à aider les autorités électorales des États et localités