Le financement a été restauré pour le programme de cybersécurité essentiel de l’Agence de cybersécurité et de sécurité des infrastructures (CISA). Cependant, l’incertitude plane toujours quant à l’avenir de la protection numérique aux États-Unis. Les enjeux sont critiques face à l’augmentation des cybermenaces mondiales.
Le financement fédéral a été rétabli pour un programme de cybersécurité essentiel utilisé par Apple et d’autres géants de la technologie, après un retournement de situation de dernière minute. Des experts en sécurité avaient qualifié la décision initiale de supprimer ce financement d’absurde, dangereuse et chaotique.
Cependant, l’avenir du programme Common Vulnerabilities and Exposures (CVE) reste incertain, malgré son rôle crucial dans l’identification et la correction des failles de sécurité présentes dans les produits des grandes entreprises technologiques.
Sommaire :
Le programme de sécurité CVE
Le programme CVE offre un moyen simple et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité qu’elle a trouvée dans un produit technologique. Lorsqu’une vulnérabilité est signalée, elle se voit attribuer un identifiant unique comprenant le préfixe CVE-, suivi de l’année et d’un numéro de série. Ce système permet à d’autres d’accéder à l’information concernant le problème et de mener leurs propres investigations afin d’aider l’entreprise technologique concernée à évaluer la gravité de la faille.
Si une vulnérabilité nécessite l’intervention de plusieurs entreprises technologiques, le système CVE les aide à coordonner leurs efforts. Apple, Google et Microsoft figurent parmi les nombreuses entreprises qui dépendent de ce système. Bien que le programme soit sous l’égide du Département de la Sécurité intérieure des États-Unis, son travail est sous-traité à une entreprise privée, The MITRE Corporation.
Trois développements en 24 heures
Les événements ont pris un tournant lorsque MITRE a annoncé qu’un financement fédéral avait été supprimé, avec seulement un jour de préavis. Les professionnels de la sécurité ont rapidement exprimé leur incrédulité et leur désespoir face à cette décision. Peu de temps après, un membre du conseil d’administration du CVE a déclaré qu’ils avaient discrètement travaillé sur un plan de contingence pour cette éventualité. Ils ont annoncé la création d’une Fondation CVE, mais aucune information n’a été fournie sur la manière dont cela serait financé. Il a été spéculé que Apple et d’autres géants de la technologie pourraient probablement y contribuer.
Dans le développement le plus récent, Reuters a rapporté un retournement de situation de la part du gouvernement, qui a déclaré que le financement allait se poursuivre.
Des responsables américains prolongeront le soutien pendant 11 mois pour une base de données de faiblesses informatiques qui joue un rôle crucial dans la lutte contre les bugs et les piratages, a déclaré un porte-parole mercredi, juste au moment où le financement devait prendre fin […]
Ce changement de plan de dernière minute, après que l’importance de ce service a été soulignée publiquement, démontre une nouvelle fois la confusion au sein du gouvernement alors que l’administration du président Donald Trump opère des coupes profondes dans les dépenses publiques.
Le vice-président de MITRE en charge du programme a exprimé sa gratitude envers la communauté de la sécurité.
« Nous apprécions le soutien écrasant pour ces programmes exprimé par la communauté mondiale de la cybersécurité, l’industrie et le gouvernement au cours des dernières 24 heures », a déclaré Barsoum.
L’incertitude persiste
Bien que la pression immédiate soit levée, l’avenir à long terme du programme reste flou. Aucune indication n’a été donnée sur le fait que ce retournement de situation soit temporaire ou permanent. Il est incertain si le conseil d’administration du CVE poursuivra ses plans pour établir une fondation à but non lucratif indépendante afin de tenter de garantir le financement nécessaire.
Pour plus d’informations sur la cybersécurité, consultez CISA.
FTC : Nous utilisons des liens d’affiliation générant des revenus. Plus d’informations.
1. Quel est le rôle du programme CVE dans la cybersécurité ?
Le programme CVE fournit un moyen facile et efficace pour toute personne ou organisation de signaler une vulnérabilité de sécurité trouvée dans un produit technologique. Une fois signalée, elle se voit attribuer un identifiant unique pour permettre aux autres de vérifier que le problème a été signalé.
2. Pourquoi le financement fédéral a-t-il été restauré pour le programme CVE ?
Le financement fédéral a été restauré après une réaction négative des experts en sécurité, qui avaient décrit la décision initiale de supprimer le financement comme stupide, dangereuse et chaotique. Cette restauration vise à continuer le soutien aux efforts de lutte contre les vulnérabilités de cybersécurité.
3. Quelles incertitudes restent quant à l’avenir du programme CVE ?
Bien que le financement ait été rétabli pour le moment, l’avenir à long terme du programme reste incertain. Il n’est pas clair si ce retournement de situation est temporaire ou permanent, et le conseil d’administration du CVE pourrait envisager des plans pour une fondation indépendante à but non lucratif pour assurer son financement futur.
4. Comment les grandes entreprises technologiques, comme Apple, utilisent-elles le système CVE ?
Des entreprises comme Apple, Google et Microsoft comptent sur le système CVE pour les aider à identifier et à corriger les failles de sécurité dans leurs produits. Le système favorise également la coordination des efforts entre plusieurs entreprises lorsqu’une vulnérabilité nécessite leur intervention commune.
Bonjour, je m’appelle Manu Dibango et j’ai 37 ans. Cadre supérieur dans l’administration, je suis passionné par la gestion et l’organisation. Bienvenue sur Camernews où je partage ma veille sur les nouvelles technologies et l’innovation.
