Imaginez un système d’alerte incendie en parfait état de marche… mais que plus personne n’écoute.
C’est un peu le sort que pourrait connaître la cybersécurité si les vulnérabilités logicielles ne sont plus centralisées, ni correctement référencées.
Et c’est pourtant une réalité qui se profile en 2025.
Le programme MITRE CVE (Common Vulnerabilities and Exposures), pierre angulaire de la gestion des vulnérabilités dans le monde entier, voit son avenir remis en question.
Le CVE de MITRE : la colonne vertébrale de la cybersécurité
Depuis plus de 20 ans, le programme CVE (Common Vulnerabilities and Exposures) de MITRE permet de structurer et partager les informations sur les failles logicielles connues.
Des identifiants comme CVE-2021-30860 (FORCEDENTRY) ou CVE-2020-0022 (BlueFrag) sont devenus des repères indispensables pour les professionnels de la sécurité.
La base CVE est utilisée quotidiennement par :
- Les outils SIEM (Security Information and Event Management)
- Les scanners de vulnérabilités
- Les gestionnaires de SBOM (Software Bill of Materials)
- Les services de threat intelligence
- Et bien sûr, les SOC (Security Operations Center)
Mais en fin d’année 2024, une alerte inattendue est apparue : la CISA (Cybersecurity and Infrastructure Security Agency) envisagerait de revoir (voire de retirer) son soutien financier à MITRE.
En ce début 2025, le programme tient toujours… mais pour combien de temps ?
Quelles alternatives si MITRE disparaît ?
Si la structure qui assure la cohérence globale du système CVE disparaît, quelles options resteront ?
Plusieurs initiatives existent, mais aucune ne semble prête à assumer ce rôle critique :
- ENISA, l’agence européenne de cybersécurité
⚠️ Risque de fragmentation s’il n’y a pas d’alignement global - Google OSV, dédié aux vulnérabilités open source
⚠️ Pas adapté aux logiciels propriétaires ni aux systèmes embarqués - Les CNA (CVE Numbering Authorities) industrielles
⚠️ Retour à une approche dispersée, avec une faible coordination
À ce jour, la piste d’une fondation indépendante dédiée à la gestion des CVE semble être l’option la plus prometteuse… mais encore théorique.
Le vrai enjeu : l’exploitation des vulnérabilités
Même avec un catalogue parfait, un autre problème persiste ➡️ Si les entreprises n'analysent pas leurs applications à la lumière des vulnérabilités identifiées, le danger reste intact.
On peut publier des CVE à l’infini, mais sans analyse continue ni corrélation automatique, la sécurité n’avance pas.
🚨 Identifier une faille ne suffit pas. Il faut agir.
Vers une cybersécurité proactive
Alors, que faire dans un contexte incertain ?
- Automatiser l’analyse continue avec des solutions SCA (Software Composition Analysis)
- Exploiter les SBOM pour associer les composants logiciels aux CVE connus
- Multiplier les sources de renseignement, sans se reposer uniquement sur MITRE
Chez neopixl et Smile, nous sommes convaincus que la sécurité doit être intégrée dès les premières phases du développement.
C’est pourquoi nous mettons en œuvre des outils automatisés qui permettent de détecter, corréler et traiter les vulnérabilités tout au long du cycle de vie logiciel.
Besoin d’un accompagnement pour sécuriser vos applications ? Parlons-en.
