Apple et d’autres géants technologiques voient leurs financements pour le programme de sécurité CVE drastiquement réduits. Cette décision soulève des préoccupations concernant la vulnérabilité des systèmes à travers le monde, mettant en lumière des enjeux critiques pour la cybersécurité. Quelles conséquences pour l’innovation et la protection des données personnelles ?
Sommaire :
Le programme CVE de sécurité
Le programme de Common Vulnerabilities and Exposures (CVE) sert de référence pour identifier et suivre les vulnérabilités présentes dans les logiciels et matériels informatiques. Ce programme offre un mécanisme efficace pour toute personne ou organisation souhaitant signaler une vulnérabilité qu’elle a détectée.
Chaque vulnérabilité signalée reçoit un identifiant unique, commençant par CVE- suivi de l’année et d’un numéro de série. Cela permet aux autres utilisateurs de consulter les problèmes déjà rapportés afin d’effectuer leurs propres investigations pour aider l’entreprise technologique concernée à évaluer la gravité de la situation.
Dans les cas où une vulnérabilité nécessite la collaboration de plusieurs entreprises, le système CVE facilite la coordination entre celles-ci. Des géants de la tech tels qu’Apple, Google et Microsoft s’appuient sur ce système pour assurer la sécurité de leurs produits.
Bien que le programme soit placé sous la juridiction du Department of Homeland Security (DHS) des États-Unis, son fonctionnement est sous-traité à une entreprise privée, la MITRE Corporation.
Retrait du financement fédéral par le gouvernement américain
Le MITRE Corporation a récemment annoncé que son financement fédéral a été supprimé avec effet immédiat.
Le mercredi 16 avril 2025, le mécanisme contractuel actuel pour que le MITRE développe, opère et modernise le CVE ainsi que plusieurs autres programmes connexes, tels que le CWE, expirera […]
Si une interruption de service survient, nous anticipons des impacts multiples sur le CVE, y compris la détérioration des bases de données nationales sur les vulnérabilités et des conseils, des outils, des opérations de réponse aux incidents, et de toute sorte d’infrastructures critiques.
Le chercheur en sécurité Lukasz Olejnik a averti que cela pourrait entraîner un « chaos total » dans le domaine de la cybersécurité.
En réduisant des coûts qui s’apparentent à des centimes, l’administration Trump va, en effet, (du moins temporairement) paralyser le système de cybersécurité mondial – CMV […]
Les conséquences incluront une rupture de la coordination entre les fournisseurs, les analystes, et les systèmes de défense — personne ne saura s’il s’agit de la même vulnérabilité. Ce sera le chaos total et une fragilisation soudaine de la cybersécurité dans son ensemble.
Suppression du financement du CWE
Comme mentionné par le MITRE, cette réduction de financement concerne également le programme de Common Weakness Enumeration (CWE). Ce programme complémentaire aide à identifier les voies de faiblesse courantes dans les logiciels et matériels qui pourraient avoir des implications en matière de sécurité.
Le CWE offre des conseils essentiels aux entreprises technologiques pour éviter l’introduction de failles de sécurité dans leurs produits dès le départ, permettant ainsi à chacun d’apprendre des erreurs des autres.
Analyse de 9to5Mac
Les programmes CVE et CWE se sont avérés extrêmement efficaces et très rentables. Le retrait de leur financement paraît irrationnel et constitue un risque accru pour la sécurité de tous.
Pour en savoir plus, vous pouvez consulter ce lien sur le [site officiel du MITRE](https://www.mitre.org/).
Qu’est-ce que le programme de sécurité CVE ?
Le programme CVE fournit un moyen facile et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a trouvée dans un produit technologique. Une fois signalée, elle se voit attribuer un identifiant unique comprenant CVE- suivi de l’année et d’un numéro de série, ce qui permet à d’autres de voir que le problème a été signalé.
Pourquoi le gouvernement américain a-t-il retiré le financement fédéral du programme CVE ?
Le gouvernement américain a annoncé que le financement fédéral accordé à la MITRE Corporation pour le développement et la gestion du programme CVE a été retiré, ce qui pourrait entraîner un chaos total dans le domaine de la cybersécurité et une dégradation des bases de données de vulnérabilités nationales.
Quel impact le retrait du financement pourrait-il avoir sur la cybersécurité ?
Le retrait du financement entraînera une défaillance de coordination entre les fournisseurs, les analystes et les systèmes de défense, rendant incertain le fait que chacun se réfère à la même vulnérabilité, ce qui affaiblira la cybersécurité dans son ensemble.
Qu’est-ce que le programme CWE et son lien avec le CVE ?
Le programme CWE, qui identifie les chemins de faiblesse courants dans les logiciels et le matériel, a également subi une coupure de financement. Ce programme aide les entreprises technologiques à éviter d’introduire des vulnérabilités dans leurs produits en apprenant des erreurs des autres.
Bonjour, je m’appelle Manu Dibango et j’ai 37 ans. Cadre supérieur dans l’administration, je suis passionné par la gestion et l’organisation. Bienvenue sur Camernews où je partage ma veille sur les nouvelles technologies et l’innovation.
